Integrare Qradar con Microsoft Defender per IoT

  • Articolo

Questo articolo descrive come integrare Microsoft Defender per IoT con QRadar.

L'integrazione con QRadar supporta:

  • Inoltro degli avvisi di Defender per IoT a IBM QRadar per il monitoraggio e la governance unificata della sicurezza IT e OT.

  • Panoramica degli ambienti IT e OT, che consentono di rilevare e rispondere agli attacchi a più fasi che spesso superano i limiti IT e OT.

  • Integrazione con flussi di lavoro SOC esistenti.

Prerequisiti

Configurare il listener Syslog per QRadar

Per configurare il listener Syslog per l'uso con QRadar:

  1. Accedere a QRadar e selezionare Amministrazione> Origini dati.

  2. Nella finestra Origini dati selezionare Origini log.

  3. Nella finestra Modale selezionare Aggiungi.

  4. Nella finestra di dialogo Aggiungi origine log definire i parametri seguenti:

    Parametro Descrizione
    Nome origine log <Sensor name>
    Descrizione origine log <Sensor name>
    Tipo di origine log Universal LEEF
    Configurazione del protocollo Syslog
    Identificatore origine log <Sensor name>

    Nota

    Il nome dell'identificatore origine log non deve includere spazi vuoti. È consigliabile sostituire gli spazi vuoti con un carattere di sottolineatura.

  5. Selezionare Salva e quindi Distribuisci modifiche.

Distribuire un qiD di Defender per IoT

Un qiD è un identificatore di evento QRadar. Poiché tutti i report di Defender per IoT sono contrassegnati con lo stesso evento Sensor Alert, è possibile usare lo stesso qiD per questi eventi in QRadar.

Per distribuire un qiD di Defender per IoT:

  1. Accedere alla console QRadar.

  2. Creare un file denominato xsense_qids.

  3. Nel file usare il comando seguente: ,XSense Alert,XSense Alert Report From <XSense Name>,5,7001.

  4. Eseguire: sudo /opt/qradar/bin/qidmap_cli.sh -i -f <path>/xsense_qids.

    Viene visualizzato un messaggio di conferma che indica che il qiD è stato distribuito correttamente.

Creare regole di inoltro QRadar

Creare una regola di inoltro dalla console di gestione locale per inoltrare gli avvisi a QRadar.

L'inoltro delle regole di avviso viene eseguito solo sugli avvisi attivati dopo la creazione della regola di inoltro. La regola non influisce sugli avvisi già presenti nel sistema prima della creazione della regola di inoltro.

Il codice seguente è un esempio di payload inviato a QRadar:

<9>May 5 12:29:23 sensor_Agent LEEF:1.0|CyberX|CyberX platform|2.5.0|CyberX platform Alert|devTime=May 05 2019 15:28:54 devTimeFormat=MMM dd yyyy HH:mm:ss sev=2 cat=XSense Alerts title=Device is Suspected to be Disconnected (Unresponsive) score=81 reporter=192.168.219.50 rta=0 alertId=6 engine=Operational senderName=sensor Agent UUID=5-1557059334000 site=Site zone=Zone actions=handle dst=192.168.2.2 dstName=192.168.2.2 msg=Device 192.168.2.2 is suspected to be disconnected (unresponsive).

Quando si configura la regola di inoltro:

  1. Nell'area Azioni selezionare Qradar.

  2. Immettere i dettagli per l'host, la porta e il fuso orario di QRadar.

  3. Facoltativamente, selezionare questa opzione per abilitare la crittografia e quindi configurare la crittografia e/o selezionare questa opzione per gestire gli avvisi esternamente.

Per altre informazioni, vedere Inoltrare informazioni sull'avviso OT locale.

Eseguire il mapping delle notifiche a QRadar

  1. Accedere alla console QRadar e selezionare QRadar Log Activity (Attività log QRadar>).

  2. Selezionare Aggiungi filtro e definire i parametri seguenti:

    Parametro Descrizione
    Parametro Log Sources [Indexed]
    Operator Equals
    Gruppo di origine log Other
    Origine log <Xsense Name>

  3. Individuare un report sconosciuto rilevato dal sensore Defender per IoT e fare doppio clic su di esso.

  4. Selezionare Evento mappa.

  5. Nella pagina Modal Log Source Event (Evento origine log modale) selezionare:

    • Categoria di alto livello: attività sospetta + categoria di basso livello - Evento sospetto sconosciuto + log
    • Tipo di origine: Any

  6. Seleziona Cerca.

  7. Nei risultati selezionare la riga in cui viene visualizzato il nome XSense e selezionare OK.

Tutti i report dei sensori da ora in poi vengono contrassegnati come avvisi del sensore.

I nuovi campi seguenti vengono visualizzati in QRadar:

  • UUID: identificatore di avviso univoco, ad esempio 1-1555245116250.

  • Sito: sito in cui è stato individuato l'avviso.

  • Zona: zona in cui è stato individuato l'avviso.

Ad esempio:

<9>May 5 12:29:23 sensor_Agent LEEF:1.0|CyberX|CyberX platform|2.5.0|CyberX platform Alert|devTime=May 05 2019 15:28:54 devTimeFormat=MMM dd yyyy HH:mm:ss sev=2 cat=XSense Alerts title=Device is Suspected to be Disconnected (Unresponsive) score=81 reporter=192.168.219.50 rta=0 alertId=6 engine=Operational senderName=sensor Agent UUID=5-1557059334000 site=Site zone=Zone actions=handle dst=192.168.2.2 dstName=192.168.2.2 msg=Device 192.168.2.2 is suspected to be disconnected (unresponsive).

Nota

La regola di inoltro creata per QRadar usa l'API UUID dalla console di gestione locale. Per altre informazioni, vedere UUID (Gestire gli avvisi in base all'UUID).

Aggiungere campi personalizzati agli avvisi

Per aggiungere campi personalizzati agli avvisi:

  1. Selezionare Extract Property (Estrai proprietà).

  2. Selezionare Regex Based (Basato su regex).

  3. Configurare i campi seguenti:

    Parametro Descrizione
    Nuova proprietà Uno dei seguenti:

    - Descrizione avviso sensore
    - ID avviso sensore
    - Punteggio avviso sensore
    - Titolo avviso sensore
    - Nome destinazione sensore
    - Reindirizzamento diretto del sensore
    - IP del mittente del sensore
    - Nome mittente sensore
    - Motore di avvisi del sensore
    - Nome dispositivo di origine sensore
    Ottimizzare l'analisi Controlla.
    Tipo di campo AlphaNumeric
    abilitata Controlla.
    Tipo di origine log Universal LEAF
    Origine log <Sensor Name>
    Nome dell’evento Deve essere già impostato come Avviso sensore
    Gruppo Capture 1
    Regex Definire quanto segue:

    - Descrizione avviso sensore RegEx: msg=(.*)(?=\t)
    - ID avviso sensore RegEx: alertId=(.*)(?=\t)
    - Punteggio di avviso sensore RegEx: Detected score=(.*)(?=\t)
    - Titolo avviso sensore RegEx: title=(.*)(?=\t)
    - Nome destinazione sensore RegEx: dstName=(.*)(?=\t)
    - RegEx reindirizzamento diretto sensore: rta=(.*)(?=\t)
    - IP del mittente del sensore: RegEx: reporter=(.*)(?=\t)
    - Nome mittente sensore RegEx: senderName=(.*)(?=\t)
    - RegEx del motore di avvisi del sensore: engine =(.*)(?=\t)
    - Nome dispositivo di origine sensore RegEx: src

Passaggi successivi

Integrazioni con Microsoft e servizi partner