O que é hierarquia de rede e como usá-la no IBM QRadar

Hierarquia de rede é uma descrição do modelo interno da rede da organização. O modelo de rede permite que você descreva todos os segmentos internos da rede, incluindo segmento de servidor, DMZ, segmento de usuário, Wi-Fi e assim por diante. Esses dados são necessários para enriquecer os dados de Ofensas registradas; você pode usar os dados do modelo de rede em regras, buscas, filtros e relatórios, e também é necessário para a identificação precisa de recursos.
Para configurar a hierarquia de rede no QRadar, é necessário abrir o console WEB e ir para Admin – Hierarquia de Rede.

Você pode usar grupos padrão e apenas preenchê-los ou criar grupos personalizados.

Após adicionar um grupo, você precisa realizar ‘Deploy Changes’.

Então, você pode usar essas redes na escrita de análises, criação de buscas ou filtros.
Além disso, a informação da rede é exibida na Ofensa registrada, o que permite determinar a origem dos eventos.

Como usar isso em regras
Vá para Ofensas – aba Regras. Escolha Ações – Nova Regra. Em seguida, no editor gráfico de regras, selecione a condição (por exemplo, ‘quando a rede local é uma das seguintes redes’) e vá para a seleção de rede clicando no link:

Você precisa selecionar uma rede. Aqui você também pode selecionar qualquer rede que você adicionou à hierarquia de rede.

A utilização de uma hierarquia de rede permite que você escreva análises mais flexíveis para detectar anomalias e incidentes de segurança da informação na infraestrutura da organização.

Se o conteúdo do grupo for alterado, você não precisa editar as regras, porque a condição será aplicada automaticamente a novas fontes no grupo.

Como usar isso em Busca
Vá para Atividade de Log – Busca – aba Nova Busca.

Você pode usar condições que descrevem redes nos parâmetros de busca.

Além disso, você pode adicionar na Busca agrupamento ou simplesmente exibir por redes.

Os resultados da busca exibirão as redes descritas na hierarquia de rede.

Usando Redes em Filtros
Vá para Atividade de Log – aba Adicionar Filtro.

O filtro de eventos para redes específicas permitirá priorizar respostas a eventos relacionados a essas redes.

Hierarquia de Rede em Ofensas
Vá para Ofensas – aba Todas as Ofensas.
Abra a ofensa para informações detalhadas.
O campo ‘Rede’ exibirá informações sobre todas as redes que foram afetadas pela ofensa selecionada. Isso permitirá que você tome decisões rápidas sobre as ofensas registradas.