什么是 Asset?
Asset 是网络中发现的设备或主机。
Asset Profile 组成
| 信息类别 | 具体内容 | 用途 |
|---|---|---|
| Identity | IP、MAC、主机名、NetBIOS | 唯一标识 |
| Operating System | OS 类型及版本 | 漏洞评估 |
| Interfaces | 网络接口信息 | 拓扑发现 |
| Services | 开放端口及服务 | 攻击面分析 |
| Vulnerabilities | 关联漏洞(CVSS) | 风险评分 |
| Users | 登录过的用户 | 使用分析 |
| Properties | 自定义属性 | 扩展信息 |
| Events/Flows | 历史活动 | 行为基线 |
查看 Asset
路径:顶部导航栏 Assets
Asset 详情面板
资产重要性
| 权重 | 说明 | 示例 |
|---|---|---|
| Critical | 核心业务系统 | 数据库、域控、核心业务服务器 |
| High | 重要服务器 | 邮件、文件、备份服务器 |
| Medium | 普通工作站 | 员工 PC、测试机 |
| Low | 低风险设备 | 打印机、IoT 设备 |
资产权重影响 Offense 的 Magnitude 计算。同一攻击,目标为 Critical 资产的 Magnitude 更高。
漏洞管理集成
如果使用 QRadar Vulnerability Manager:
- 定期执行漏洞扫描
- 扫描结果自动关联到 Asset Profile
- 在 Dashboard 查看漏洞态势
手动管理 Asset
合并重复 Asset
编辑 Asset
- 打开 Asset 详情
- 点击 Edit
- 修改 OS、描述、重要性等
排除 Asset
# 对于已知安全设备或测试主机
# Assets > Actions > Delete Asset
# 或使用 Reference Set 排除AQL 资产查询
-- 查找 Critical 资产的高风险事件
SELECT sourceip,
ASSETVALUE(sourceip) as asset_value,
QIDNAME(qid),
COUNT(*)
FROM events
WHERE ASSETVALUE(sourceip) = 'Critical'
AND magnitude >= 7
GROUP BY sourceip, QIDNAME(qid)
ORDER BY COUNT(*) DESC
LAST 24 HOURS
-- 按部门统计资产漏洞
SELECT ASSETPROPERTY('Department', sourceip) as dept,
COUNT(DISTINCT sourceip) as asset_count,
SUM(CASE WHEN ASSETVALUE(sourceip) = 'Critical' THEN 1 ELSE 0 END) as critical_count
FROM events
GROUP BY dept
LAST 7 DAYS配套资源
- 📄
00-official-docs/7.5/IBM_QRadar_7.5_User_Guide.pdf - 📄
00-official-docs/7.5/IBM_QRadar_7.5_Administration_Guide.pdf
上一章:03 - 攻击调查实战 下一章:05 - 网络活动与 Flow