IP アドレスのオーバーラップ

IP アドレスのオーバーラップとは、1 つの IP アドレスが、ネットワーク上にある複数のデバイスまたは論理ユニット (イベント・ソース・タイプなど) に割り当てられていることを意味します。 IP アドレスの範囲がオーバーラップしていると、企業買収後に会社がネットワークをマージする場合や、セキュリティー管理サービス・プロバイダー (MSSP) が新規クライアントを導入する場合に重大な問題が発生する可能性があります。

IBM QRadar は、異なるデバイスから得られるイベントおよびフローと、同じ IP アドレスを持つイベントを区別できる必要があります。複数のイベント・ソースに同じ IP アドレスが割り当てられている場合は、それらを区別するためのドメインを作成します。

例えば、会社 A が会社 B を買収し、新しい会社の資産をモニターするために QRadar の共有インスタンスを使用するとします。買収した会社に同様のネットワーク構造があると、各会社内の異なるログ・ソースに同じ IP アドレスが使用されていることになります。複数のログ・ソースが同じ IP アドレスを持つと、相関、レポート作成、検索、アセット・プロファイルに関する問題の原因となります。

ログ・ソースから QRadar に到着したイベントおよびフローの発生元を区別するには、2 つのドメインを作成し、それぞれのログ・ソースを別々のドメインに割り当てます。必要に応じて、各イベント・コレクター、フロー・コレクター、またはデータ・ゲートウェイを、それらにイベントを送信するログ・ソースと同じドメインに割り当てることもできます。

着信イベントをドメイン別に表示するには、検索を作成し、ドメイン情報を検索結果に含めます。