Integrace Qradaru s Microsoft Defenderem pro IoT

Tento článek popisuje, jak integrovat Microsoft Defender pro IoT s QRadar.

Integrace s QRadar podporuje:

  • Předávání výstrah Defenderu pro IoT ibm QRadar pro jednotné monitorování a zásady správného řízení zabezpečení IT a OT

  • Přehled prostředí IT i OT, která umožňují detekovat a reagovat na útoky ve více fázích, které často překračují hranice IT a OT.

  • Integrace s existujícími pracovními postupy SOC

Předpoklady

Konfigurace naslouchacího procesu Syslog pro QRadar

Konfigurace naslouchacího procesu Syslog pro práci s QRadar:

  1. Přihlaste se k QRadar a vyberte Správa> Data Sources.

  2. V okně Zdroje dat vyberte Zdroje protokolů.

  3. V modálním okně vyberte Přidat.

  4. V dialogovém okně Přidat zdroj protokolu definujte následující parametry:

    Parametr Popis
    Název zdroje protokolu <Sensor name>
    Popis zdroje protokolu <Sensor name>
    Typ zdroje protokolu Universal LEEF
    Konfigurace protokolu Syslog
    Identifikátor zdroje protokolu <Sensor name>

    Poznámka:

    Název identifikátoru zdroje protokolu nesmí obsahovat prázdné znaky. Doporučujeme nahradit všechny prázdné znaky podtržítkem.

  5. Vyberte Uložit a pak nasaďte změny.

Nasazení Defenderu pro IoT QID

QID je identifikátor události QRadar. Vzhledem k tomu, že všechny sestavy Defenderu pro IoT jsou označené pod stejnou událostí, můžete pro tyto události v QRadaru použít stejnou QID.

Nasazení defenderu pro IoT QID:

  1. Přihlaste se ke konzole QRadar.

  2. Vytvořte soubor s názvem xsense_qids.

  3. V souboru použijte následující příkaz: ,XSense Alert,XSense Alert Report From <XSense Name>,5,7001.

  4. Spustit: sudo /opt/qradar/bin/qidmap_cli.sh -i -f <path>/xsense_qids.

    Zobrazí se potvrzovací zpráva, která indikuje úspěšné nasazení QID.

Vytvoření pravidel předávání QRadar

Vytvořte pravidlo předávání z místní konzoly pro správu, které předá upozornění na QRadar.

Pravidla přeposílání upozornění se spouštějí jenom u výstrah aktivovaných po vytvoření pravidla předávání. Pravidlo nemá vliv na žádné výstrahy, které už jsou v systému před vytvořením pravidla předávání.

Následující kód je příkladem datové části odeslané do QRadar:

<9>May 5 12:29:23 sensor_Agent LEEF:1.0|CyberX|CyberX platform|2.5.0|CyberX platform Alert|devTime=May 05 2019 15:28:54 devTimeFormat=MMM dd yyyy HH:mm:ss sev=2 cat=XSense Alerts title=Device is Suspected to be Disconnected (Unresponsive) score=81 reporter=192.168.219.50 rta=0 alertId=6 engine=Operational senderName=sensor Agent UUID=5-1557059334000 site=Site zone=Zone actions=handle dst=192.168.2.2 dstName=192.168.2.2 msg=Device 192.168.2.2 is suspected to be disconnected (unresponsive).

Při konfiguraci pravidla předávání:

  1. V oblasti Akce vyberte Qradar.

  2. Zadejte podrobnosti o hostiteli, portu a časovém pásmu QRadar.

  3. Volitelně můžete vybrat, jestli chcete povolit šifrování, a pak nakonfigurovat šifrování a/nebo vybrat, jestli chcete spravovat výstrahy externě.

Další informace najdete v tématu Předávání informací o upozornění místního OT.

Mapování oznámení na QRadar

  1. Přihlaste se ke konzole QRadar a vyberte aktivitu protokolu QRadar>.

  2. Vyberte Přidat filtr a definujte následující parametry:

    Parametr Popis
    Parametr Log Sources [Indexed]
    Operátor Equals
    Skupina zdrojů protokolů Other
    Zdroj protokolu <Xsense Name>
  3. Vyhledejte neznámou sestavu zjištěnou ze senzoru Defenderu pro IoT a poklikejte na ni.

  4. Vyberte Mapovat událost.

  5. Na stránce Modální zdrojová událost protokolu vyberte:

    • Kategorie vysoké úrovně: Podezřelá aktivita + Kategorie nízké úrovně – Neznámá podezřelá událost + protokol
    • Typ zdroje: Libovolný
  6. Vyberte Hledat.

  7. Ve výsledcích vyberte řádek, ve kterém se zobrazí název XSense, a vyberte OK.

Všechny sestavy senzorů odteď jsou označené jako výstrahy senzorů.

V QRadaru se zobrazí následující nová pole:

  • UUID: Jedinečný identifikátor upozornění, například 1-1555245116250.

  • Web: Web, na kterém byla výstraha zjištěna.

  • Zóna: Zóna, ve které byla výstraha zjištěna.

Příklad:

<9>May 5 12:29:23 sensor_Agent LEEF:1.0|CyberX|CyberX platform|2.5.0|CyberX platform Alert|devTime=May 05 2019 15:28:54 devTimeFormat=MMM dd yyyy HH:mm:ss sev=2 cat=XSense Alerts title=Device is Suspected to be Disconnected (Unresponsive) score=81 reporter=192.168.219.50 rta=0 alertId=6 engine=Operational senderName=sensor Agent UUID=5-1557059334000 site=Site zone=Zone actions=handle dst=192.168.2.2 dstName=192.168.2.2 msg=Device 192.168.2.2 is suspected to be disconnected (unresponsive).

Poznámka:

Pravidlo předávání, které vytvoříte pro QRadar, používá UUID rozhraní API z místní konzoly pro správu. Další informace najdete v tématu UUID (Správa výstrah na základě UUID).

Přidání vlastních polí do výstrah

Přidání vlastních polí do výstrah:

  1. Vyberte extrahovat vlastnost.

  2. Vyberte položku Regex Based.

  3. Nakonfigurujte následující pole:

    Parametr Popis
    Nová vlastnost Jedna z následujících možností:

    - Popis upozornění senzoru
    - ID upozornění senzoru
    - Skóre upozornění senzoru
    - Název upozornění senzoru
    - Název cíle senzoru
    - Přímé přesměrování senzoru
    - IP adresa odesílatele senzoru
    - Jméno odesílatele senzoru
    - Snímač upozornění motoru
    - Název zdrojového zařízení snímače
    Optimalizace analýzy Zkontrolujte to.
    Typ pole AlphaNumeric
    Povoleno Zkontrolujte to.
    Typ zdroje protokolu Universal LEAF
    Zdroj protokolu <Sensor Name>
    Název události Mělo by být již nastaveno jako upozornění senzoru.
    Skupina zachycení 0
    Regulární výraz Definujte následující:

    - Popis upozornění senzoru RegEx: msg=(.*)(?=\t)
    - ID upozornění senzoru RegEx: alertId=(.*)(?=\t)
    - Senzor skóre upozornění RegEx: Detected score=(.*)(?=\t)
    - Název regEx upozornění senzoru: title=(.*)(?=\t)
    - Název cíle senzoru RegEx: dstName=(.*)(?=\t)
    - Sensor Direct Redirect RegEx: rta=(.*)(?=\t)
    - IP adresa odesílatele senzoru: RegEx: reporter=(.*)(?=\t)
    - Sensor Sender Name RegEx: senderName=(.*)(?=\t)
    - Sensor Alert Engine RegEx: engine =(.*)(?=\t)
    - Název zdrojového zařízení snímače RegEx: src

Další kroky