アセット・データの送信元
資産データは、 IBM
QRadar デプロイメント内のいくつかの異なるソースから受信されます。
アセット・データはアセット・データベースに増分的に書き込まれます。通常は 2、3 個のデータが同時に書き込まれます。 ネットワーク脆弱性スキャナーからの更新を除き、各アセット更新に含まれる情報は、一度に 1 つのアセットについてのみです。
アセット・データは、通常は以下のいずれかのアセット・データ・ソースから生じます。
- イベント
- イベント・ペイロード (DHCP または認証サーバーによって作成されたものなど) には、多くの場合、ユーザー・ログイン、IP アドレス、ホスト名、MAC アドレス、その他のアセット情報が含まれています。 このデータは即時にアセット・データベースに提供され、アセット更新の適用先となるアセットを判別するのに役立ちます。
イベントは、異常なアセット増加の主要な原因です。
- フロー
- フロー・ペイロードには、一定の構成可能間隔で収集された IP アドレス、ポート、およびプロトコルなどの通信情報が含まれています。 各間隔の終わりに、データは一度に 1 つの IP アドレスずつ、アセット・データベースに提供されます。
フローからのアセット・データは単一の ID である IP アドレスに基づいてアセットとペアにされるため、フロー・データが異常なアセット増加の原因となることはありません。
重要: IPv6 フローからのアセット生成はサポートされていません。 - 脆弱性スキャナー
- 重要: IBM QRadar Vulnerability Manager スキャナーは、 7.5.0 Update Package 6 の耐用年数終了 (EOL) であり、どのバージョンの IBM QRadarでもサポートされなくなりました。 詳しくは、 QRadar Vulnerability Manager: End of service product notification (https://www.ibm.com/support/pages/node/6853425) を参照してください。QRadar は、 IBM とサード・パーティーの脆弱性スキャナーの両方と統合されており、オペレーティング・システム、インストール済みソフトウェア、パッチ情報などのアセット・データを提供できます。 データのタイプはスキャナーごとに異なっており、スキャンごとに異なる場合もあります。 新規アセット、ポート情報、および脆弱性が検出されると、スキャンで定義されている CIDR 範囲に基づいて、データがアセット・プロファイルに入ります。
スキャナーが異常なアセット増加の原因となる可能性もありますが、まれです。
- ユーザー・インターフェース
- アセット・ロールを持つユーザーは、アセット情報をアセット・データベースに直接インポートまたは提供できます。 ユーザーが直接提供するアセット更新は、特定のアセットを対象としたものであるため、 アセット調整ステージはバイパスされます。
ユーザーによって提供されるアセット更新は、異常なアセット増加の原因にはなりません。
ドメイン認識アセット・データ
アセット・データ・ソースがドメイン情報で構成されると、そのデータ・ソースから生じるすべてのアセット・データは、同じドメインで自動的にタグ付けされます。 アセット・モデルのデータはドメイン対応であるため、ドメイン情報は、ID、オフェンス、アセット・プロファイル、およびサーバー・ディスカバリーを含むすべての QRadar コンポーネントに適用されます。
アセット・プロファイルを表示すると、一部のフィールドがブランクである場合があります。 ブランクのフィールドが存在するのは、システムがその情報をアセット更新で受け取っていない場合か、または情報がアセット保存期間を超過している場合です。 デフォルトの保存期間は 120 日です。 IP アドレスが 0.0.0.0 と表示される場合は、アセットに IP アドレス情報が含まれていないことを示します。