Definizione del dominio e tagging

I domini sono definiti in base alle origini di input di IBM QRadar . Quando gli eventi e i flussi entrano in QRadar, le definizioni di dominio vengono valutate e gli eventi e flussi vengono contrassegnati con le informazioni di dominio.

Specifica dei domini per gli eventi

Il seguente diagramma mostra l'ordine di precedenza per la valutazione dei criteri di dominio per gli eventi.

Figura 1. Ordine di precedenza per gli eventi
Ordine di precedenza per criteri di dominio di valutazione per gli eventi
Importante: agli eventi generati dal CRE (custom rule engine) non viene assegnato un dominio basato su proprietà evento personalizzate perché non sono analizzati come eventi da origini log esterne.
Questi sono i modi per specificare i domini per gli eventi:
Proprietà personalizzate
È possibile applicare proprietà personalizzate ai messaggi di log che provengono da una sorgente log.
Importante: quando si crea la propria proprietà evento personalizzata, assicurarsi che la casella di controllo Abilita per l'utilizzo in regole, profili di inoltro e indicizzazione della ricerca sia selezionata.

Per stabilire a quale dominio appartengono i messaggi di registrazione specifici, il valore della proprietà personalizzata viene esaminato contro una mappatura definita nell'editor di Gestione domini.

Questa opzione è utilizzata per le sorgenti di log multi - address o multi - tenant, come i server di file e i repository di documenti.

Raccoglitore log disconnesso
È possibile utilizzare un DLC (Disconnected Log Collector) per la mappatura del dominio. I DLC accodare i loro identificativi universalmente univeri (UUID) al valore di identificativi di Log Source degli eventi che raccolgono. Appendendo l'UUID al valore Identificativo Source Identifier garantisce che il Log Source Identifier sia univoco.
Origini log
È possibile configurare specifiche origini log per appartenere a un dominio.

Questo metodo di tagging domini è un'opzione per le distribuzioni in cui un raccoglitore eventi o gateway di dati può ricevere eventi da più domini.

Gruppi di origini log
È possibile assegnare i gruppi di origine log ad un dominio specifico. Questa opzione consente un controllo più ampio sulla configurazione della sorgente log.

Eventuali nuove origini log che vengono aggiunte al gruppo di origine log ottengono automaticamente il tagging del dominio associato al gruppo di origine log.

Raccoglitori evento e gateway dati
Se un raccoglitore eventi o gateway di dati è dedicato ad uno specifico segmento di rete, gamma di indirizzi IP, tenant, posizione geografica o business unit, è possibile contrassegnare l'intero raccoglitore eventi o gateway di dati come parte di quel dominio.

Tutti gli eventi che arrivano a quel raccoglitore eventi o gateway di dati appartengono al dominio a cui è assegnato il raccoglitore eventi o gateway di dati , a meno che l'origine log per l'evento appartenga ad un altro dominio basato su altri metodi di marcatura più alti in precedenza, come ad esempio una proprietà personalizzata.

Importante:

Se un'origine log viene reindirizzata da una raccoglitore eventi o gateway di dati ad un'altra in un dominio diverso, è necessario aggiungere una mappatura del dominio alla fonte di log per garantire che gli eventi da tale origine log siano ancora assegnati al dominio giusto.

A meno che l'origine log non sia mappata al dominio giusto, gli utenti non admin con restrizioni di dominio potrebbero non vedere offensive associate alla fonte di log.

Specifica dei domini per i flussi

Il seguente diagramma mostra l'ordine di precedenza per la valutazione dei criteri di dominio per i flussi.

Figura 2. Ordine di precedenza per i flussi
Ordine di precedenza per i criteri di dominio di valutazione dei flussi
Questi sono i modi per specificare i domini per i flussi:
Raccoglitori flusso e gateway dati
È possibile assegnare specifici gateway di dati a un dominio.

Tutte le sorgenti di flusso che arrivano a quel raccoglitore di flusso o gateway dati appartengono al dominio; pertanto, qualsiasi nuova sorgente di flusso rilevato automaticamente viene aggiunta automaticamente al dominio.

Origini di flusso
È possibile designare sorgenti di flusso specifiche ad un dominio.

Questa opzione è utile quando un singolo raccoglitore di flusso o gateway dati sta raccogliendo flussi da più segmenti di rete o router che contengono intervalli di indirizzi IP sovrapposti.

ID VLAN di flusso
È possibile designare VLAN specifiche ad un dominio.

Questa opzione è utile quando si raccolgono traffico da più segmenti di rete, spesso con intervalli IP sovrapposti. Questa definizione VLAN si basa sugli ID Enterprise e Customer VLAN.

I seguenti elementi informativi vengono inviati da QFlow quando vengono analizzati i flussi che contengono informazioni VLAN. Questi due campi possono essere assegnati in una definizione di dominio:
  • PEN 2 (IBM), elemento ID 82: Enterprise VLAN ID
  • PEN 2 (IBM), elemento ID 83: ID VLAN del cliente

Specifica dei domini per i risultati della scansione

Importante: lo scanner IBM QRadar Vulnerability Manager è EOL (end of life) in 7.5.0 Update Package 6 e non è più supportato in nessuna versione di IBM QRadar. Per ulteriori informazioni, vedi QRadar Vulnerability Manager: End of service product notification (https://www.ibm.com/support/pages/node/6853425).

È inoltre possibile assegnare gli scanner di vulnerabilità ad un dominio specifico in modo che i risultati della scansione siano correttamente contrassegnati come appartenenti a quel dominio. Una definizione di dominio può essere composta da tutte le sorgenti di input QRadar .

Per ulteriori informazioni sull'assegnazione della tua rete ai domini preconfigurati, consulta Gerarchia di rete.

Ordine di precedenza per valutare i criteri di dominio

Quando gli eventi e i flussi entrano nel sistema QRadar , i criteri di dominio vengono valutati in base alla granularità della definizione di dominio.

Se la definizione del dominio è basata su un evento, l'evento in arrivo viene controllato per la prima volta per qualsiasi proprietà personalizzata mappata alla definizione del dominio. Se il risultato di un'espressione regolare che viene definita in una proprietà personalizzata non corrisponde ad una mappatura del dominio, l'evento viene automaticamente assegnato al dominio predefinito.

Se l'evento non corrisponde alla definizione del dominio per le proprietà personalizzate, viene applicato il seguente ordine di precedenza:

  1. DLC
  2. Origine log
  3. Gruppo di origini log
  4. Raccoglitore evento o gateway dati
Se il dominio è definito in base a un flusso, viene applicato il seguente ordine di precedenza:
  1. Origine flusso
  2. raccoglitore flusso o gateway dati

Se uno scanner ha un dominio associato, tutti gli asset rilevati dallo scanner vengono automaticamente assegnati allo stesso dominio dello scanner.

Importante: lo scanner IBM QRadar Vulnerability Manager è EOL (end of life) in 7.5.0 Update Package 6 e non è più supportato in nessuna versione di IBM QRadar. Per ulteriori informazioni, vedi QRadar Vulnerability Manager: End of service product notification (https://www.ibm.com/support/pages/node/6853425).

Inoltro di dati ad un altro sistema QRadar

Le informazioni sul dominio vengono rimosse quando i dati vengono inoltrati a un altro sistema QRadar . Gli eventi e flussi che contengono informazioni sul dominio vengono assegnati automaticamente al dominio predefinito sul sistema QRadar ricevente. Per identificare quali eventi e flussi sono assegnati al dominio predefinito, è possibile creare una ricerca personalizzata sul sistema ricevente. Si potrebbe voler riassegnare questi eventi e flussi ad un dominio definito dall'utente.