Referenzdaten in QRadar

Mit Referenzdatensammlungen können Sie Geschäftsdaten speichern und verwalten, die Sie mit den Ereignissen und Datenflüssen in Ihrer IBM QRadar -Umgebung korrelieren möchten. Sie können Geschäftsdaten oder Daten aus externen Quellen zu einer Referenzdatensammlung hinzufügen und dann die Daten in QRadar -Suchen, Filtern, Regeltestbedingungen und Regelantworten verwenden.

Referenzdatensammlungen werden in der QRadar -Konsole gespeichert, aber die Sammlungen werden regelmäßig auf jeden verwalteten Host kopiert. Für eine optimale Leistung bei der Datensuche bewahrt der verwaltete Host die am häufigsten referenzierten Datenwerte in einem Cache auf.

Externe Bedrohungsdaten

Sie können Referenzdatensammlungen verwenden, um IOC-Daten (Indicator of Compromise) von Drittanbietern in QRadarzu integrieren. QRadar verwendet IOC-Daten, um verdächtiges Verhalten schneller zu erkennen. Dies hilft Sicherheitsanalysten, Bedrohungen zu untersuchen und schneller auf Vorfälle zu reagieren.

Sie können beispielsweise IOC-Daten importieren(z. B. IP-Adressen, DNS-Namen, URLs und MD5s) von Open-Source-oder subskriptionsbasierten Bedrohungsdatenprovidern verwenden und mit Ereignissen und Vorfällen in Ihrem Netz korrelieren.

Geschäftsdaten

Referenzdatensammlungen können Geschäftsdaten enthalten, die für das eigene Unternehmen spezifisch sind, z. B. eine Liste der Benutzer mit privilegiertem Systemzugriff. Verwenden Sie die Geschäftsdaten, um Blockierlisten und Zulassungslisten zu erstellen.

Sie können beispielsweise ein Referenzset verwenden, das die Benutzer-IDs gekündigter Mitarbeiter enthält, um zu verhindern, dass sich diese am Netz anmelden. Oder Sie können Geschäftsdaten verwenden, um eine Zulassungsliste zu erstellen, die nur eine begrenzte Reihe von IP-Adressen für bestimmte Funktionen zulässt.