자산 및 중요 인프라 객체 설명하기

IBM QRadar를 구현하고 사용할 때, 사용자들은 종종 다음과 같은 질문을 합니다: 자산이란 무엇인가? 왜 필요한가? 우리는 자산으로 무엇을 할 수 있는가? 자산 모델을 자동으로 채우는 방법은?
‘자산’은 인프라를 설명하고 지정된 객체와 관련된 이벤트에 대해 IBM QRadar 시스템이 다르게 반응할 수 있게 하는 모델입니다. 규모와 심각도의 증가뿐만 아니라 응답도 시스템의 오탐을 최소화하고 인프라의 중요한 객체와 관련된 사건에 대한 응답을 향상시키기 위한 첫 단계입니다.
‘자산’을 채우기 전에, 자산 프로파일러를 구성해야 합니다. 이를 위해, 관리자 – 자산 프로파일러 구성으로 이동합니다.열린 메뉴에서 구성의 매개변수를 지정해야 합니다:
자산 프로파일 설정
자산 서비스 포트 발견
자산 프로파일러 구성
자산 프로파일러 보유 구성
QVM 취약성 보유자산 식별에서 제외 규칙을 만들어야 할 경우, 그룹화 없는 검색을 생성하여 제외 기준을 설명하고, 검색을 신원 제외 관리 탭의 예외에 추가해야 합니다. IBM QRadar를 6-9개월 사용한 후 또는 자산 식별에 합리적인 오류가 있는 경우에만 이를 권장합니다.

자산 채우기
자산은 수동으로 또는 자동으로 채울 수 있습니다.

수동 채우기:
자산 – 자산 프로파일 – 자산 추가 메뉴로 이동합니다.열린 창에서 자산을 가능한 한 정확하게 설명하는 필드를 채워야 합니다.
자산에 대한 모든 사용 가능한 정보를 입력하는 것이 중요합니다. 또한 CVSS, 중량 및 준수, 소유자 탭을 채우는 것이 권장됩니다.이 필드를 채우면 상관 규칙을 생성하거나 생성된 위반 항목에서 자산을 식별할 수 있습니다.

자동 자산 검색
자산 – 서버 발견 메뉴로 이동합니다.
이 기능은 미리 구성된 빌딩 블록을 기반으로 작동합니다. 추가로, 검색할 포트를 지정하고 네트워크 계층 구조에 따라 검색을 제한하여 보다 정확한 결과를 얻을 수 있습니다.취약성에 대한 데이터 입력은 연결된 취약성 스캐너가 필요합니다.
이를 통해 자산에 대한 열린 포트, 서비스 및 취약성에 대한 정보를 자동으로 입력할 수 있습니다.