Direcciones IP solapadas
Una dirección IP solapada es una dirección IP que se ha asignado a más de un dispositivo o unidad lógica, como un tipo de origen de sucesos, en una red. Los rangos de direcciones IP solapados pueden causar problemas significativos a las empresas que fusionan redes después de adquisiciones corporativas o a los proveedores de servicios de seguridad gestionados (MSSP) que incorporan nuevos clientes.
IBM QRadar debe ser capaz de diferenciar sucesos y flujos que proceden de distintos dispositivos y que tienen la misma dirección IP. Si la misma dirección IP se ha asignado a más de un origen de sucesos, puede crear dominios para distinguirlos.
Por ejemplo, veamos una situación en la que la empresa A adquiere la empresa B y desea utilizar una instancia compartida de QRadar para supervisar los activos de la nueva empresa. La adquisición tiene una estructura de red similar que hace que se utilice la misma dirección IP para diferentes orígenes de registro en cada empresa. Los orígenes de registro con la misma dirección IP provocan problemas de correlación, creación de informes, búsqueda y creación de perfiles de activo.
Para distinguir el origen de los sucesos y los flujos que entran en QRadar del origen de registro, puede crear dos dominios y asignar cada origen de registro a un dominio diferente. Si es necesario, también puede asignar cada recopilador de sucesos, recopilador de flujos o pasarela de datos al mismo dominio que el origen de registro que les envía sucesos.
Para ver los sucesos entrantes por dominio, cree una búsqueda e incluya la información de dominio en los resultados de la búsqueda.