Integrieren von Qradar in Microsoft Defender für loT

  • Artikel

In diesem Artikel wird beschrieben, wie Microsoft Defender for IoT in QRadar integriert wird.

Die Integration in QRadar unterstützt Folgendes:

  • Weiterleiten von Azure Defender for IoT-Warnungen an IBM QRadar, um für eine einheitliche IT- und OT-Sicherheitsüberwachung und -Governance zu sorgen

  • Eine Übersicht über IT- und OT-Umgebungen, anhand der Sie mehrstufige Angriffe erkennen und darauf reagieren können, die häufig IT- und OT-Grenzen überschreiten.

  • Integration in vorhandene SOC-Workflows

Voraussetzungen

Konfigurieren von Syslog-Listener für QRadar

Konfigurieren von Syslog-Listener für die Zusammenarbeit mit QRadar:

  1. Melden Sie sich bei QRadar an, und wählen Sie Admin>Data Sources aus.

  2. Wählen Sie im Fenster „Datenquellen“ die Option Protokollquellen aus.

  3. Wählen Sie im Fenster Modal die Option Hinzufügen aus.

  4. Legen Sie im Dialogfeld Add a log source die folgenden Parameter fest:

    Parameter BESCHREIBUNG
    Protokollquellenname <Sensor name>
    Protokollquellenbeschreibung <Sensor name>
    Protokollquellentyp Universal LEEF
    Protokollkonfiguration Syslog
    Protokollquellenbezeichner <Sensor name>

    Hinweis

    Der Name des Protokollquellenbezeichners darf keine Leerzeichen enthalten. Es wird empfohlen, Leerzeichen durch einen Unterstrich zu ersetzen.

  5. Wählen Sie Speichern und dann Änderungen bereitstellen aus.

Bereitstellen einer QID für Defender for IoT

Eine QID ist ein QRadar-Ereignisbezeichner. Da alle Defender for IoT-Berichte unter demselben Ereignis (Sensorwarnung) markiert sind, können Sie dieselbe QID für diese Ereignisse in QRadar verwenden.

So stellen Sie eine QID für Defender for IoT bereit

  1. Melden Sie sich an der QRadar-Konsole an.

  2. Erstellen Sie eine Datei mit dem Namen xsense_qids.

  3. Verwenden Sie in der Datei den folgenden Befehl: ,XSense Alert,XSense Alert Report From <XSense Name>,5,7001.

  4. Führen Sie sudo /opt/qradar/bin/qidmap_cli.sh -i -f <path>/xsense_qids aus.

    Eine Bestätigungsmeldung wird mit dem Hinweis angezeigt, dass die QID erfolgreich bereitgestellt wurde.

Erstellen von QRadar-Weiterleitungsregeln

Erstellen Sie eine Weiterleitungsregel über Ihre lokale Verwaltungskonsole, um Warnungen an QRadar weiterzuleiten.

Weiterleitungswarnungsregeln werden nur für Warnungen ausgeführt, die nach dem Erstellen der Weiterleitungsregel ausgelöst werden. Warnungen, die sich bereits im System befanden, bevor die Weiterleitungsregel erstellt wurde, sind von der Regel nicht betroffen.

Der folgende Code ist ein Beispiel für an QRadar gesendete Nutzdaten:

<9>May 5 12:29:23 sensor_Agent LEEF:1.0|CyberX|CyberX platform|2.5.0|CyberX platform Alert|devTime=May 05 2019 15:28:54 devTimeFormat=MMM dd yyyy HH:mm:ss sev=2 cat=XSense Alerts title=Device is Suspected to be Disconnected (Unresponsive) score=81 reporter=192.168.219.50 rta=0 alertId=6 engine=Operational senderName=sensor Agent UUID=5-1557059334000 site=Site zone=Zone actions=handle dst=192.168.2.2 dstName=192.168.2.2 msg=Device 192.168.2.2 is suspected to be disconnected (unresponsive).

Beim Konfigurieren der Weiterleitungsregel gilt Folgendes:

  1. Wählen Sie im Bereich Aktionen die Option Qradar aus.

  2. Geben Sie Details zu Host, Port und Zeitzone von QRadar ein.

  3. Optional können Sie die Verschlüsselung aktivieren und dann konfigurieren und/oder auswählen, dass Warnungen extern verwaltet werden sollen.

Weitere Informationen finden Sie unter Weiterleiten von lokalen OT-Warnungsinformationen.

Zuordnen von Benachrichtigungen zu QRadar

  1. Melden Sie sich bei Ihrer QRadar-Konsole an, und wählen Sie QRadar>Protokollaktivität aus.

  2. Wählen Sie Filter hinzufügen aus, und definieren Sie die folgenden Parameter:

    Parameter Beschreibung
    Parameter Log Sources [Indexed]
    Operator Equals
    Protokollquellengruppe Other
    Protokollquelle <Xsense Name>

  3. Suchen Sie einen unbekannten Bericht, der von Ihrem Defender for IoT-Sensor erkannt wurde, und doppelklicken Sie darauf.

  4. Wählen Sie Map Event (Ereignis zuordnen) aus.

  5. Wählen Sie auf der Seite Modal Log Source Event Folgendes aus:

    • High-Level Category: „Suspicious Activity“ + „Low-Level Category“ – „Unknown Suspicious Event“ + „Log“
    • Source Type: Beliebig

  6. Klicken Sie auf Suchen.

  7. Wählen Sie in den Ergebnissen die Zeile mit dem Namen „XSense“ und dann OK aus.

Alle Sensorberichte sind von nun an als Sensorwarnungen markiert.

Die folgenden neuen Felder werden in QRadar angezeigt:

  • UUID: Eindeutiger Warnungsbezeichner, z. B. 1-1555245116250.

  • Site: Der Standort, an dem die Warnung ermittelt wurde.

  • Zone: Die Zone, in der die Warnung ermittelt wurde.

Beispiel:

<9>May 5 12:29:23 sensor_Agent LEEF:1.0|CyberX|CyberX platform|2.5.0|CyberX platform Alert|devTime=May 05 2019 15:28:54 devTimeFormat=MMM dd yyyy HH:mm:ss sev=2 cat=XSense Alerts title=Device is Suspected to be Disconnected (Unresponsive) score=81 reporter=192.168.219.50 rta=0 alertId=6 engine=Operational senderName=sensor Agent UUID=5-1557059334000 site=Site zone=Zone actions=handle dst=192.168.2.2 dstName=192.168.2.2 msg=Device 192.168.2.2 is suspected to be disconnected (unresponsive).

Hinweis

Die Weiterleitungsregel, die Sie für QRadar erstellen, verwendet die UUID-API aus der lokalen Verwaltungskonsole. Weitere Informationen finden Sie unter UUID (Verwalten von Warnungen basierend auf der UUID).

Fügen Sie benutzerdefinierte Felder zu den Warnungen hinzu

So fügen Sie benutzerdefinierten Feldern Warnungen hinzu:

  1. Wählen Sie Extract Property (Eigenschaft extrahieren) aus.

  2. Wählen Sie RegEx Based (RegEx-basiert) aus.

  3. Konfigurieren Sie die folgenden Felder:

    Parameter BESCHREIBUNG
    Neue Eigenschaft Einer der folgenden:

    – Beschreibung der Sensorwarnung
    – Sensorwarnungs-ID
    – Sensorwarnungsbewertung
    – Sensorwarnungstitel
    – Sensorzielname
    – Direkte Sensorumleitung
    – Sensor-Absender-IP
    – Sensor-Absendername
    – Sensorwarnungsmodul
    – Sensor-Quellgerätname
    Parsing optimieren Aktivieren Sie.
    Feldtyp AlphaNumeric
    Aktiviert Aktivieren Sie.
    Protokollquellentyp Universal LEAF
    Protokollquelle <Sensor Name>
    Ereignisname Sollte bereits als Sensorwarnung festgelegt sein
    Erfassungsgruppe 1
    RegEx Legen Sie Folgendes fest:

    – Sensorwarnungsbeschreibung RegEx: msg=(.*)(?=\t)
    – Sensorwarnungs-ID RegEx: alertId=(.*)(?=\t)
    – Sensorwarnungsbewertung RegEx: Detected score=(.*)(?=\t)
    – Sensorwarnungstitel RegEx: title=(.*)(?=\t)
    – Sensorzielname RegEx: dstName=(.*)(?=\t)
    – Direkte Sensorumleitung RegEx: rta=(.*)(?=\t)
    – Sensor-Absender-IP: RegEx: reporter=(.*)(?=\t)
    – Sensor-Absendername RegEx: senderName=(.*)(?=\t)
    – Sensor-Alarmierungsmodul RegEx: engine =(.*)(?=\t)
    – Sensor-Quellgerätname RegEx: src

Nächste Schritte

Integrationen in andere Microsoft- und Partnerdienste