Leitura de dados de vulnerabilidade no painel do QRadar Vulnerability Insights

Visualize o status de vulnerabilidade de sua rede de múltiplas perspectivas na guia QVI.

Cada área do painel apresenta uma aparência exclusiva sobre as vulnerabilidades em sua rede. As setas ao lado dos números exibidos mostram o aumento ou a diminuição relativa desde a última vez em que seu status de vulnerabilidade foi pesquisado no QRadar®. Por exemplo, uma seta apontando para cima representa um aumento na instância desse status de vulnerabilidade quando você o compara com os dados da pesquisa anterior.

Painel

A imagem a seguir é um exemplo da visualização dos dados de vulnerabilidade que são consultados no banco de dados de ativos QRadar.

Figura 1. Insights de vulnerabilidade
gráfico de qvi

Por padrão, todas as redes configuradas em sua implantação QRadar são representadas. É possível filtrar a visualização por uma rede específica no menu All_Networks, que é baseado em sua configuração de hierarquia de rede.

Na linha superior do gráfico, os dados a seguir são referenciados. Para visualizar mais detalhes, clique nos números que estão associados a cada categoria.

Instâncias ativas
Representa todas as instâncias de vulnerabilidades ativas (vulnerabilidades que não são corrigidas). A contagem de instâncias de vulnerabilidade é geralmente maior do que a contagem de vulnerabilidades exclusivas porque a mesma vulnerabilidade que está presente em dois ativos é contada como duas instâncias de vulnerabilidade.
Corrigidas (90 dias)
Representa o número de vulnerabilidades que são corrigidas nos últimos 90 dias.
Com correção
Representa o número de vulnerabilidades para as quais uma correção de software é aplicada para corrigir essas vulnerabilidades.
Nota: o item de painel Correção é baseado no parâmetro de procura "Status de Correção igual a Fixo", que requer integração com o IBM BigFix. A integração permite que ambos os produtos compartilhem dados de vulnerabilidade e de gerenciamento de ativos/correções. Para obter mais informações sobre a integração com o BigFix, consulte IntegraçãoIBM BigFix.
Explorado
As vulnerabilidades Exploradas são vulnerabilidades que estão comprometidas de alguma maneira.
Nota: o item do painel Explorado é baseado na procura padrão "Dias desde o Último Explorado", que correlaciona as assinaturas conhecidas do fornecedor IPS e IDS que podem detectar ou proteger contra os dados de vulnerabilidade. Para executar a correlação sobre se uma tentativa de exploração foi executada, deve-se criar uma regra customizada com base nos eventos de IPS ou IDS com os parâmetros a seguir:
  • Add to a Reference Map of Sets
  • CorrelatedAttackMap
  • Destination IP as the key
  • QID as the value
Figura 2 Exemplo de regra customizada
Exemplo de regra customizada

As imagens a seguir mostram as visualizações de dados de vulnerabilidades do Painel:

Fácil de explorar

Vulnerabilidades que são fáceis de explorar têm as características a seguir:
  • A complexidade de acesso é baixa (as vulnerabilidades são fáceis de acessar).
  • As vulnerabilidades são atacadas por meio da rede e sem autenticação.
Figura 3. Vulnerabilidades fáceis de explorar
Vulnerabilidades fáceis de explorar

Vulnerabilidades de tendência

As vulnerabilidades de tendência são vulnerabilidades relatadas recentemente nas notícias. Se você inserir sua chave e senha da API do IBM® X-Force® Exchange, a lista de vulnerabilidades de tendências será preenchida dinamicamente a partir dos dados X-Force Exchange correlacionados com os dados de vulnerabilidade QRadar Vulnerability Manager.

Figura 4. Vulnerabilidades de tendência

Alto risco

As vulnerabilidades são categorizadas como alto risco ou risco crítico.

Instâncias indica a contagem total da ocorrência de vulnerabilidade, mesmo quando a mesma vulnerabilidade afeta mais de um sistema.

Figure 5. High risk vulnerabilities
High risk vulnerabilities

Bens afetados

O número de ativos que são afetados pelas vulnerabilidades detectadas.

As métricas a seguir são representadas:

Ativos Exploráveis
Ativos que podem ser explorados porque uma vulnerabilidade está presente no ativo.
Recursos Explorados
Os ativos que são explorados ou estão comprometidos de alguma maneira.
Pior afetado
Qualquer ativo que tenha uma pontuação de risco agregada que seja igual a 90 por cento ou maior da pontuação de risco do ativo com a pontuação de risco agregada mais alta em sua rede.
Figure 6. Assets affected by vulnerabilities
Assets affected by vulnerabilities

Vulnerabilidades distintas

A contagem de vulnerabilidades exclusivas que são localizadas.

As métricas a seguir são representadas:

  • Vulnerabilidades exploráveis são vulnerabilidades que podem ser exploradas.
  • Vulnerabilidades exploradas são vulnerabilidades que são exploradas.
  • Publicado recentemente representa as vulnerabilidades que foram publicadas nos últimos 30 dias.
Figure 7. Distinct vulnerabilities
Distinct vulnerabilities

Explorar visualização

Clique no gráfico para visualizar uma representação gráfica do status de vulnerabilidade de sua rede.

Figure 8. Visualization of vulnerabilities
Visualization of vulnerabilities

Filtre suas vulnerabilidades em redes, por estado, gravidade ou Sistema Operacional.

A imagem a seguir mostra a página Explorar visualização na qual é possível filtrar por rede e outros filtros.

Figure 9. Explore Visualization graphs
Visualization of vulnerabilities

Correção indisponível

Uma atualização de software não está disponível para corrigir essa vulnerabilidade. Uma atualização de software pode não estar disponível porque a atualização de software ainda não está disponível ou uma atualização de software não pode ser usada para corrigir essa vulnerabilidade, como uma senha padrão fraca. QRadar recebe atualizações de conteúdo BigFix diariamente.

Figure 10. Patches unavailable
Patches unavailable

Senhas padrão

As vulnerabilidades são descritas como logins e são configuradas com senha padrão conhecidas.

Figure 11. Default passwords
Default passwords

Novos avisos antecipados

Novas vulnerabilidades que são publicadas nos últimos 30 dias e são detectadas em sua rede.

Figure 12. New early warnings
New early warnings