26 Реалізація автоматичного оновлення (Automatic updates) в ibm qRadar siem. Зміст файлів оновлення в ibm qRadar siem.
Ви можете автоматично або вручну оновлювати файли конфігурації, щоб бути впевненими в тому, що ваші файли конфігурації містять найостаннішу інформацію щодо мережевої безпеки.
Оновлені файли конфігурації допомагають усунути помилкові спрацьовування і захистити вашу систему від новітніх шкідливих сайтів, бот-мереж та інших підозрілих інтернет-активностей.
Вимоги до автоматичного оновлення
Консоль IBM Security QRadar повинна бути підключена до Інтернету, щоб отримувати оновлення. Якщо ваша консоль не підключена до Інтернету, ви повинні налаштувати внутрішній сервер оновлень для своєї консолі для завантаження файлів.
Файли оновлень доступні для ручного завантаження з IBM Fix Central (http://www.ibm.com/support/fixcentral).
Щоб зберегти цілісність вашої поточної конфігурації та інформації, замініть існуючі файли конфігурації або інтегруйте оновлені файли з вашими існуючими файлами.
Після установки оновлень на консолі і розгортання змін консоль оновлює керовані вузли, якщо ваше розгортання визначено в редакторі розгортання.
Опис оновлень
Файли оновлень можуть містити наступні оновлення:
оновлення конфігурації, засновані на контенті, включаючи зміни файлу конфігурації, уразливості, карти QID (QRadar Identifier), сценарії підтримки та оновлення інформації про загрози безпеці;
DSM (Device Support Module), сканер і протоколи, в тому числі виправлення помилок при аналізі, зміни сканера і поновлення протоколу;
основні оновлення, такі як оновлені файли JAR або великі виправлення, які вимагають перезапуску служби користувальницького інтерфейсу;
невеликі оновлення, такі як щоденні журнали автоматичного оновлення або скрипти карти QID, що не перезапускають служби користувальницького інтерфейсу.
27. Управління резервним копіюванням та відновленням (Manage backup and recovery) в IBM QRadar SIEM. Зміст резервних копій в IBM QRadar SIEM.
28. Поняття кореляційне правило та його роль в IBM QRadar SIEM. Призначення механізму виявлення аномалій (Anomaly Detection Engine, ADE). Місце ADE в функціональній схемі IBM QRadar SIEM. Лекция 8
29 Призначення мережевої ієрархії (Network hierarchy) та її значення в IBM QRadar SIEM.
Ієрархічна модель даних — це модель даних, де використовується представлення бази даних у вигляді деревовидної (ієрархічної) структури, що складається з об'єктів (даних) різних рівнів.
Між об'єктами існують зв'язки, кожен об'єкт може включати в себе кілька об'єктів більш низького рівня. Такі об'єкти перебувають у відношенні предка (об'єкт більш близький до кореня) до нащадку (об'єкт більш низького рівня), при цьому можлива ситуація, коли об'єкт-предок не має нащадків або має їх декілька, тоді як в об'єкта-нащадка обов'язково тільки один предок. Об'єкти, що мають спільного предка, називаються близнюками (в програмуванні стосовно до структури даних дерево усталена назва брати).
Наприклад, ви можете організувати свою мережу так, щоб вона включала групи для поштових серверів, користувачів відділів, лабораторій або груп розробників. Використовуючи цю організацію, ви можете диференціювати поведінку мережі і застосовувати політики безпеки управління мережею на основі поведінки. Однак не потрібно групувати сервер, який має унікальну поведінку з іншими серверами в вашій мережі. Розміщення тільки одного унікального сервера забезпечує кращу видимість сервера в QRadar і спрощує створення певних політик безпеки для цього сервера.
Помістіть сервери з великими обсягами трафіку, такі як поштові сервери, у верхній частині групи. Ця ієрархія надає вам візуальне уявлення при виникненні розбіжностей.
Не налаштовуйте мережеву групу з більш ніж 15 об'єктами.
Великі мережеві групи можуть викликати труднощі при детальному перегляді для кожного об'єкта. Якщо ваше розгортання обробляє більше 600 000 потоків, розгляньте можливість створення декількох груп верхнього рівня.
Збережіть простір на диску, комбінуючи кілька безкласових міждоменних маршрутизацій (Classless Inter-Domain Routings, CIDRs) або підмереж в одну мережеву групу.
Наприклад, додайте ключові сервери як окремі об'єкти та групуйте інші основні, але пов’язані з ними сервери, в об’єкти з кількома CIDR.
30. Управління джерелами потоків (Flow Sources) в IBM QRadar SIEM та його основні функції.
31. Джерела внутрішніх та зовнішніх потоків в IBM QRadar SIEM. Лекция6
32. Призначення протоколу NetFlow. Функціональні компоненти протоколу NetFlow. Роль протоколу NetFlow в IBM QRadar SIEM.
33. Пристрій захоплення пакетів (Packet capture appliance) та варіанти його розгортання в IBM QRadar SIEM.
Аналіза́тор тра́фіку, або сні́фер— програма або програмно-апаратний пристрій, призначений для перехоплення і подальшого аналізу, або тільки аналізу мережного трафіку призначеного для інших вузлів.
34. Керування активами (Asset Management) в IBM QRadar SIEM та його основні функції.
Актив – керований об'єкт, який або розгорнуто, або призначений для розгортання в робочому операційному середовищі.
Активи та профілі активів, створені для серверів та хостів у вашій мережі, надають важливу інформацію, яка допоможе вам вирішити проблеми із безпекою. Використовуючи дані про об’єкти, ви можете включати порушення, що виникають у вашій системі, до фізичних чи віртуальних ресурсів, щоб забезпечити вихідну точку розслідування безпеки.
Вкладка Активи в IBM QRadar забезпечує уніфікований вигляд відомої інформації про активи у вашій мережі. Оскільки QRadar виявляє більше інформації, система оновлює профіль активу та поступово створює повне уявлення про активи.
Профілі активів будуються динамічно з інформації про ідентичність, яка пасивно поглинається з даних про події чи потоки, або з даних, які QRadar активно шукає під час сканування вразливості. Ви також можете імпортувати дані активу або редагувати профіль активу вручну.
35. Основні джерела даних про активи в IBM QRadar SIEM. Зміст даних про активи.
36. Зміст алгоритму оброблення даних про активи в IBM QRadar SIEM.
Алгоритм обробки даних про активи:
1. QRadar приймає подію. Профілювальник активів перевіряє корисне навантаження на предмет ідентифікаційної інформації.
2. Якщо ідентифікаційна інформація включає в себе MAC-адресу, ім'я вузла NetBIOS або ім'я хоста DNS, які вже пов'язані з активом в базі даних активів, то цей актив оновлюється з будь-якою новою інформацією.
3. Якщо єдиною доступною ідентифікаційною інформацією є IP-адреса, система звіряє оновлення з існуючим активом, що має ту ж саму IP-адресу.
4. Якщо оновлення активу має IP-адресу, відповідну існуючому ресурсу, а інша ідентифікаційна інформація не відповідає, то система використовує іншу інформацію, щоб виключити хибнопозитивну відповідність до оновлення існуючого активу.
5. Якщо ідентифікаційна інформація не відповідає існуючому активу в базі даних, то новий актив створюється на основі інформації в корисному навантаженні події.
37. Основні функції IBM QRadar SIEM щодо даних про події та їх зміст.
QRadar збирає журнали подій з джерел журналу, які знаходяться у вашій мережі. Джерелом журналу є джерело даних, такі як брандмауер або система захисту від вторгнень (IPS), яка створює журнал подій.
QRadar збирає події з джерел журналу за допомогою таких протоколів, як syslog, syslog-tcp і SNMP. QRadar також може встановлювати вихідні підключення для вилучення подій за допомогою таких протоколів, як SCP, SFTP, FTP, JDBC, Check Point OPSEC і SMB / CIFS.
Генерація подій
Перш ніж ви зможете переглядати і використовувати дані про події на консолі QRadar, події збираються з джерел журналу, а потім обробляються процесором подій (Event Processor). QRadar може збирати події за допомогою спеціального пристрою Collector Event.
Колектор подій (Event Collector)
Компонент Event Collector виконує наступні функції:
Збірання даних – збирає дані з джерела журналу протоколів, таких як Syslog, JDBC, OPSEC, Log File і SNMP.
Ліцензійне регулювання (License throttling) (за встановленими лімітами) – контролює кількість вхідних подій в систему для управління вхідними чергами і ліцензуванням EPS (за дозволеними обсягами) (events per second (EPS) and flows per minute (FPM)).
Розбір, аналіз (Parsing) – приймає необроблені події з вихідного пристрою і аналізує поля в форматі QRadar.
Аналіз трафіку даних вихідних журналів і автоматичне виявлення – застосовує проаналізовані і нормалізовані дані подій до можливих DSM (Device Support Modules), які підтримують автоматичне виявлення.
Об'єднання, з'єднання, агрегування (Coalescing) – події аналізуються, а потім об'єднуються на основі спільних атрибутів подій.
Переадресація подій (Event forwarding) – застосовуються правила маршрутизації для системи для пересилання даних на зовнішні цілі, зовнішні системи Syslog, системи JSON (JavaScript Object Notation – простий текстовий формат обміну даними) та інші SIEM-системи.
Прим. Syslog (англ. System log - системний журнал) - стандарт відправки і реєстрації повідомлень про події в системі (тобто створення логів), що використовується в комп'ютерних мережах, які працюють по протоколу IP. Терміном «syslog» називають як стандартизований мережевий протокол syslog, так і програмне забезпечення (додаток, бібліотека), яке займається відправкою / отриманням системних повідомлень.
Коли колектор подій отримує події з джерел журналу, таких як брандмауери, події поміщаються в черзі введення для обробки.
Розміри черги варіюються в залежності від використовуваного протоколу або методу, і з цих черг події аналізуються і нормалізуються. Процес нормалізації включає в себе перетворення необроблених даних в формат, який має такі поля, як IP-адреса, який може використовувати QRadar (тобто придатні до обробки).
QRadar розпізнає відомі джерела журналів по вихідній IP-адресі або назві, що міститься в заголовку.
QRadar аналізує і об'єднує події з відомих джерел журналів в записи. Події з нових або невідомих джерел журналів, які не були виявлені в минулому, перенаправляються на механізм аналізу трафіку (автоматичного виявлення).
Коли виявлені нові джерела журналів, повідомлення конфігурації для додавання джерела журналу вирушає на консоль QRadar. Якщо автоматичне виявлення відключено або ви перевищили встановлений ліміт джерела журналу, нові джерела журналів не повинні додаватися.
Обробка подій
Компонент Event Processor виконує наступні функції:
Механізм користувальницьких правил (CRE) – відповідає за обробку подій, отриманих QRadar, і порівняння їх з певними правилами, відстеження систем, що беруть участь в інцидентах, з часом, генерування повідомлень користувачам. Коли події відповідають правилу, повідомлення відправляється з процесора подій в магістрат на консолі QRadar, щоб певна подія викликала правило. Компонент магістрату на консолі QRadar створює і управляє порушеннями. Коли запускаються правила, генеруються відповіді або дії, такі як повідомлення, syslog, SNMP, повідомлення електронної пошти, нові події і порушення.
Передача потоку (Streaming) – відправляє дані про події в реальному часі в консоль QRadar, коли користувач переглядає події на вкладці «Активність журналу» в режимі реального часу (потокова передача). Потокові події не надаються з бази даних.
Зберігання подій (БД Ariel) - база даних часових рядів для подій, в яких дані зберігаються щохвилини. Дані зберігаються в тих випадках, коли подія обробляється.
Колектор подій відправляє нормовані дані про події на процесор подій, де події обробляються механізмом користувальницьких правил (CRE). Якщо події відповідають користувальницьким правилам CRE, які зумовлені в консолі QRadar, процесор подій виконує дію, яка відповідає правилу.
Магістрат на консолі QRadar
Компонент Magistrate виконує наступні функції:
Правила порушення – моніторинг і дії щодо порушень, таких як створення повідомлень по електронній пошті.
Управління порушеннями – оновлює активні порушення, змінює статус порушень і надає користувачеві доступ до інформації про порушення з вкладки «Порушення».
Зберігання порушень – записує дані про порушення в БД PostgreSQL.
Ядро обробки магістрату (MPC) відповідає за зіставлення порушень з повідомленнями про події від декількох компонентів Event Processor. Тільки пристрій QRadar Console або багатофункціональний пристрій має компонент Magistrate.