네트워크 계층 구조는 조직의 네트워크 내부 모델에 대한 설명입니다. 네트워크 모델을 통해 서버 세그먼트, DMZ, 사용자 세그먼트, Wi-Fi 등 네트워크의 모든 내부 세그먼트를 설명할 수 있습니다. 이 데이터는 등록된 보안위반 사건의 데이터를 풍부하게 하는 데 필요하며, 규칙, 검색, 필터 및 보고서에서 네트워크 모델 데이터를 사용할 수 있으며, 정확한 리소스 식별을 위해 필요합니다.
QRadar에서 네트워크 계층 구조를 설정하려면, 웹 콘솔을 열고 관리 – 네트워크 계층 구조로 이동해야 합니다.
기본 그룹을 사용하여 채우거나 사용자 지정 그룹을 생성할 수 있습니다.
그룹을 추가한 후, ‘변경 사항 배포’를 수행해야 합니다.
그런 다음 이러한 네트워크를 분석 작성, 검색 또는 필터 생성에서 사용할 수 있습니다.
또한, 네트워크 정보가 등록된 보안위반 사건에 표시되어 이벤트의 출처를 결정할 수 있습니다.
규칙에서의 사용 방법
보안위반 사건 – 규칙 탭으로 이동합니다. 동작 – 새 규칙을 선택합니다. 그런 다음, 그래픽 규칙 편집기에서 조건(예: ‘로컬 네트워크가 다음 네트워크 중 하나인 경우’)을 선택하고 링크를 클릭하여 네트워크 선택으로 이동합니다:
네트워크를 선택해야 합니다. 추가한 네트워크 계층 구조에서 원하는 네트워크를 선택할 수도 있습니다.
네트워크 계층 구조를 사용하면 조직의 인프라에서 이상 현상과 정보 보안 사건을 탐지하기 위한 더 유연한 분석을 작성할 수 있습니다.
그룹 콘텐츠가 변경되면 규칙을 편집할 필요가 없습니다. 조건이 자동으로 그룹 내 새로운 소스에 적용되기 때문입니다.
검색에서의 사용 방법
로그 활동 – 검색 – 새 검색 탭으로 이동합니다.
검색 매개변수에 네트워크를 설명하는 조건을 사용할 수 있습니다.
또한, 검색에서 네트워크로 그룹화하거나 네트워크별로 간단히 표시할 수 있습니다.
검색 결과는 네트워크 계층 구조에 설명된 네트워크를 표시할 것입니다.
필터에서 네트워크 사용
로그 활동 – 필터 추가 탭으로 이동합니다.
특정 네트워크에 대한 이벤트 필터링은 이러한 네트워크와 관련된 이벤트에 대한 응답을 우선시할 수 있도록 합니다.
보안위반 사건에서의 네트워크 계층 구조
보안위반 사건 – 모든 보안위반 사건 탭으로 이동합니다.
상세 정보를 위해 보안위반 사건을 엽니다.
‘네트워크’ 필드는 선택한 보안위반 사건에 영향을 미치는 모든 네트워크에 대한 정보를 표시합니다. 이것은 등록된 보안위반 사건에 대해 빠른 결정을 내릴 수 있도록 도와줍니다.
