アセットの許可リスト

アセット許可リストを使用して、 IBM QRadar アセット・データがアセット・ブラックリストに誤って再表示されないようにすることができます。

アセットの許可リスト とは、アセットのブラックリストにデータが追加される資産差分検出エンジンのロジックをオーバーライドするアセット・データのコレクションです。 システムは、ブラックリストの一致を識別するときに、 許可リストを検査して、値が存在するかどうかを確認します。 アセットの更新が、許可リスト上にあるデータと一致する場合、変更は調整され、アセットは更新されます。 リストされているアセット・データは、すべてのドメインにグローバルに適用されます。

リファレンス・セット管理 ツールを使用して、 許可リストのエントリーを編集できます。 参照セットの操作に関する情報は、 「参照セットの管理」 を参照してください。

許可リストのユース・ケースの例

有効なアセット更新時にブラックリストに表示させ続けるアセット・データがある場合、 許可リストは役立ちます。 例えば、5 つの IP アドレスのセットを循環するように構成されているラウンドロビン DNS ロード・バランサーがあるとします。 アセット調整除外ルールにより、1 つの DNS ホスト名に関連付けられている複数の IP アドレスが、異常なアセット増加を示すものと判断され、この DNS ロード・バランサーがブラックリストに追加されることがあります。 この問題を解決するには、 DNS ホスト名を 資産差分検出 DNS ホワイトリストに追加することができます。

アセットの項目をアセットの許可リストに指定します

アセット・データベースが正確であれば、ネットワーク内の物理アセットまたは仮想アセットにシステムで起動したオフェンスを接続することが一層容易になります。 アセットの許可リストに大量エントリーを追加することでアセットの逸脱を無視することは、正確なアセット・データベースを作成するのには役立ちません。 大量の許可リスト・エントリーを追加する代わりに、アセット・ブラックリストを検討して、異常なアセット増加の原因となっている原因を判別し、それを修正する方法を決定します。

アセットの許可リストのタイプ

ID データの各タイプは、個別の許可リストに保持されます。 次の表に、各アイデンティティー・アセット・データ・タイプのリファレンス収集名とリファレンス収集タイプを示します。
表 1. アセットの許可リスト・データの参照コレクション名
データのタイプ リファレンス収集名 リファレンス収集タイプ
IP アドレス 資産差分検出 IPv4 ホワイトリスト リファレンス・セット [セット・タイプ: IP]
DNS ホスト名 資産差分検出 DNS ホワイトリスト リファレンス・セット [セット・タイプ: ALNIC*]
NetBIOS ホスト名 資産差分検出 NetBIOS ホワイトリスト リファレンス・セット [セット・タイプ: ALNIC*]
MAC アドレス 資産差分検出 MAC ホワイトリスト リファレンス・セット [セット・タイプ: ALNIC*]
* ALNIC は、ホスト名と MAC アドレス値に対応する英数字タイプです。