Мой кабинет

Assets. Описываем критичные объекты инфраструктуры.


165
Август 10, 2017

При внедрении и использовании IBM QRadar часто задаются вопросы: что такое Assets? Зачем они нужны? Что с ними делать? Как автоматизировать заполнение модели Assets?
Так вот — Assets это модель, которая описывает инфраструктуру и позволяет системе IBM QRadar по разному реагировать на события, которые связаны с указанными объектами. Повышение магнитуды и критичности, а также ответная реакция — это, как минимум, первые шаги для минимизации false positives в системе и улучшения реагирования на инциденты, связанные с действительно критичными объектами в инфраструктуре.
Перед началом наполнения Assets необходимо выполнить настройку Asset Profiler. Для этого переходим в Admin — Asset Profiler Configuration

В открытом меню необходимо указать параметры, которые будут описывать конфигурацию:
Asset Profile Settings
Asset Service Port Discovery
Asset Profiler Configuration
Asset Profiler Retention Configuration
QVM Vulnerability Retention

Если необходимо внести правила исключений при идентификации Assets, то требуется создать Search без группировки, который описывает критерии исключений, а также во вкладке Manage Identity Exclusion добавить Search в исключения. Это рекомендуется делать только после 6-9 месяцев использования IBM QRadar или при наличии явных ошибок в идентификации Assets.

Наполняем Assets.
Наполнять Assets можно вручную или автоматически.

Ручное наполнение
Перейти в меню Assets — Asset Profiles — Add Asset

В открытом окне необходимо заполнить поля, которые максимально точно описывают Asset.
Крайне важно внести как можно больше данных по Asset. Также рекомендуется заполнить вкладки CVSS, Weight & Compliance и Owners.

Это позволяет идентифицировать Asset в сгенерированных Offense и при создании правил корреляции.

Автоматический поиск Assets
Перейти в меню Assets — Server Discovery.
Данная функция работает на основе преднастроенных Building Blocks. Дополнительно можно указывать порты для поиска и ограничивать поиск сетями иерархии для более точных результатов.

Наполнение данными по уязвимостям требует подключенного сканера уязвимости.
Это позволяет автоматически вносить данные о наличии открытых портов, сервисов и наличии уязвимостей на Asset.

Related Posts