重叠 IP 地址即分配给网络上的多个设备或逻辑单元(例如,事件源类型)的 IP 地址。 重叠的 IP 地址范围可能导致企业收购后合并网络时出现重大问题或者给带来新客户的受管安全服务供应商 (MSSP) 造成重大问题。
IBM
QRadar 必须能够区分来自不同设备且具有相同 IP 地址的事件 和流 。 如果将相同 IP 地址分配给多个事件源,可以创建域来对其加以区分。
例如,让我们查看 A 公司收购 B 公司的情况,并希望使用 QRadar 的共享实例来监视新公司的资产。 收购具有类似的网络结构,导致对每家公司内不同日志源使用相同 IP 地址。 具有相同 IP 地址的日志源可能导致关联、报告、搜索和资产概要分析方面出现问题。
要区分从日志源进入 QRadar 的事件 和流 的来源,您可以创建两个域并将每个日志源分配到不同的域。 如果需要,还可以将每个事件收集器和流收集器都分配到与向其发送事件的日志源所在的域中。
要查看由域传入的事件,请创建搜索并在搜索结果中包含域信息。