Referenzdaten verwalten

Verwenden Sie Referenzdatensammlungen zum Speichern und Verwalten von Geschäftsdaten, die Sie mit den Ereignissen und Alerts in Ihrer IBM® QRadar -Plattform korrelieren möchten. Sie können Geschäftsdaten oder Daten aus externen Quellen zu einer Referenzdatensammlung hinzufügen und dann die Daten in QRadar® -Suchen oder -Filtern verwenden. Referenzdatensammlungen werden auf der QRadar -Plattform gespeichert.

Externe Bedrohungsdaten

Sie können Referenzdatensammlungen verwenden, um IOC-Daten (Indicator of Compromise) von Drittanbietern in die QRadar -Plattform zu integrieren. QRadar verwendet IOC-Daten, um verdächtiges Verhalten schneller zu erkennen. Dies hilft Sicherheitsanalysten, Bedrohungen zu untersuchen und schneller auf Vorfälle zu reagieren.

Sie können beispielsweise IOC-Daten wie IP-Adressen, DNS-Namen, URLs und MD5svon Open-Source-oder subskriptionsbasierten Bedrohungsdatenprovidern hinzufügen. Korrelieren Sie dann die Daten mit Ereignissen und Vorfällen in Ihrem Netz.

Geschäftsdaten

Referenzdatensammlungen können Geschäftsdaten enthalten, die für das eigene Unternehmen spezifisch sind, z. B. eine Liste der Benutzer mit privilegiertem Systemzugriff. Mithilfe der Geschäftsdaten können Sie Blockierlisten und Zulassungslisten erstellen.

Verwenden Sie beispielsweise ein Referenzset, das die Benutzer-IDs von ehemaligen Mitarbeitern enthält, um zu verhindern, dass sie sich am Netzwerk anmelden. Oder verwenden Sie Geschäftsdaten, um eine Zulassungsliste zu erstellen, in der nur eine begrenzte Gruppe von IP-Adressen bestimmte Funktionen ausführen kann.