Ativos e descrição de objetos de infraestrutura crítica

[post-views]
Agosto 10, 2017 · 2 min de leitura
Ativos e descrição de objetos de infraestrutura crítica

Ao implementar e usar o IBM QRadar, os usuários frequentemente fazem as seguintes perguntas: o que são Ativos? Para que eles são necessários? O que podemos fazer com eles? Como automatizar o preenchimento do modelo de Ativos?
‘Ativos’ é um modelo que descreve a infraestrutura e permite que o sistema IBM QRadar reaja de maneira diferente aos eventos associados com os objetos especificados. O aumento na magnitude e severidade, bem como a resposta, são pelo menos os primeiros passos para minimizar falsos positivos no sistema e melhorar a resposta a incidentes vinculados a objetos críticos na infraestrutura.
Antes de começar a preencher ‘Ativos’, é necessário configurar o Asset Profiler. Para fazer isso, vá para Admin – Configuração do Profiler de AtivosNo menu aberto, você precisa especificar os parâmetros que descreverão a configuração:
Configurações de Perfil de Ativos
Descoberta de Porta de Serviço de Ativos
Configuração do Profiler de Ativos
Configuração de Retenção do Profiler de Ativos
Retenção de Vulnerabilidade do QVMSe você precisar criar regras de exclusão na identificação de Ativos, é necessário criar uma Pesquisa sem agrupamento que descreva os critérios de exclusão e adicionar a Pesquisa às exceções na guia Gerenciar Exclusão de Identidade. Recomendo fazer isso apenas após 6-9 meses de uso do IBM QRadar ou se houver erros razoáveis na identificação de Ativos.

Preenchimento de Ativos
Você pode preencher Ativos manualmente ou automaticamente.

Preenchimento manual:
Vá para o menu Ativos – Perfis de Ativos – Adicionar Ativo.Na janela aberta, você precisa preencher os campos que descrevem o Ativo da forma mais precisa possível.
É crucial inserir todas as informações disponíveis sobre o Ativo. Também é recomendado preencher as guias CVSS, Peso & Conformidade e Proprietários.Preencher esses campos permite identificar o Ativo ao criar regras de correlação ou em Ofensas geradas.

Pesquisa Automática de Ativos
Vá para o menu Descoberta de Servidores – Ativos.
Esta função funciona com base em Blocos de Construção preconfigurados. Além disso, você pode especificar portas para pesquisar e restringir a busca pela hierarquia de rede para obter resultados mais precisos.O preenchimento de dados sobre vulnerabilidades requer um scanner de vulnerabilidades conectado.
Isso permite inserir automaticamente informações sobre portas abertas, serviços e vulnerabilidades no Ativo.

Este artigo foi útil?

Curta e compartilhe com seus colegas.
Junte-se à plataforma Detection as Code da SOC Prime para melhorar a visibilidade das ameaças mais relevantes para o seu negócio. Para ajudá-lo a começar e obter valor imediato, agende uma reunião agora com os especialistas da SOC Prime.
Junte-se Gratuitamente Agende uma Reunião

Publicações Relacionadas