A Qradar integrálása a Microsoft Defender for IoT-vel

Ez a cikk bemutatja, hogyan integrálható a Microsoft Defender for IoT a QRadarral.

A QRadarral való integráció a következőket támogatja:

• A Defender for IoT-riasztások továbbítása az IBM QRadarnak az egységes informatikai és ot biztonsági monitorozáshoz és szabályozáshoz.

• Az informatikai és az OT-környezetek áttekintése, amely lehetővé teszi, hogy észlelje és reagáljon az informatikai és az OT-határokon gyakran átlépő többszakaszos támadásokra.

• Integráció meglévő SOC-munkafolyamatokkal.

Előfeltételek

• Hozzáférés a Defender for IoT OT-érzékelőhöz Rendszergazda felhasználóként. További információ: Helyszíni felhasználók és szerepkörök az IoT-hez készült Defender használatával végzett OT-monitorozáshoz.

• Hozzáférés a Defender for IoT OT helyszíni felügyeleti konzolhoz Rendszergazda felhasználóként. További információ: Helyszíni felhasználók és szerepkörök az IoT-hez készült Defender használatával végzett OT-monitorozáshoz.

• Hozzáférés a QRadar Rendszergazda területéhez.

Syslog-figyelő konfigurálása a QRadarhoz

Ha konfigurálja a Syslog-figyelőt a QRadar használatához:

1. Jelentkezzen be a QRadarba, és válassza Rendszergazda >Data-források lehetőséget.

2. Az Adatforrások ablakban válassza a Naplóforrások lehetőséget.

3. A Modal ablakban válassza a Hozzáadás lehetőséget.

4. A Naplóforrás hozzáadása párbeszédpanelen adja meg a következő paramétereket:

   Parameter	Leírás
   Naplóforrás neve	<Sensor name>
   Naplóforrás leírása	<Sensor name>
   Naplóforrás típusa	Universal LEEF
   Protokollkonfiguráció	Syslog
   Naplóforrás azonosítója	<Sensor name>

   Megjegyzés:

   A naplóforrás azonosítójának neve nem tartalmazhat üres szóközöket. Javasoljuk, hogy minden üres szóközt helyettesítsen aláhúzással.

5. Válassza a Mentés, majd a Módosítások telepítése lehetőséget.

Defender for IoT QID üzembe helyezése

A QID egy QRadar-eseményazonosító. Mivel az IoT-hez készült Defender összes jelentése ugyanabban a érzékelőriasztási eseményben van megjelölve, ugyanazt a QID-t használhatja ezekhez az eseményekhez a QRadarban.

Az IoT-hez készült Defender QID üzembe helyezése:

1. Jelentkezzen be a QRadar konzolra.

2. Hozzon létre egy xsense_qids nevű fájlt.

3. A fájlban használja a következő parancsot: ,XSense Alert,XSense Alert Report From <XSense Name>,5,7001.

4. Futtatás: sudo /opt/qradar/bin/qidmap_cli.sh -i -f <path>/xsense_qids.

   Megjelenik egy megerősítést kérő üzenet, amely jelzi, hogy a QID sikeresen üzembe lett helyezve.

QRadar-továbbítási szabályok létrehozása

Hozzon létre egy továbbítási szabályt a helyszíni felügyeleti konzolról a riasztások QRadarnak való továbbításához.

A továbbítási riasztási szabályok csak a továbbítási szabály létrehozása után aktivált riasztásokon futnak. A szabály nem érinti a rendszerben a továbbítási szabály létrehozása előtt már létező riasztásokat.

Az alábbi kód egy példa a QRadarnak küldött hasznos adatokra:

<9>May 5 12:29:23 sensor_Agent LEEF:1.0|CyberX|CyberX platform|2.5.0|CyberX platform Alert|devTime=May 05 2019 15:28:54 devTimeFormat=MMM dd yyyy HH:mm:ss sev=2 cat=XSense Alerts title=Device is Suspected to be Disconnected (Unresponsive) score=81 reporter=192.168.219.50 rta=0 alertId=6 engine=Operational senderName=sensor Agent UUID=5-1557059334000 site=Site zone=Zone actions=handle dst=192.168.2.2 dstName=192.168.2.2 msg=Device 192.168.2.2 is suspected to be disconnected (unresponsive).

A továbbítási szabály konfigurálásakor:

1. A Műveletek területen válassza a Qradar lehetőséget.

2. Adja meg a QRadar-gazdagép, a port és az időzóna adatait.

3. Ha szeretné, engedélyezze a titkosítást, majd konfigurálja a titkosítást, és/vagy válassza ki a riasztások külső kezelését.

További információ: Helyszíni OT-riasztások továbbítása.

Értesítések leképezése a QRadarba

1. Jelentkezzen be a QRadar-konzolba, és válassza a QRadar-naplótevékenység>lehetőséget.

2. Válassza a Szűrő hozzáadása lehetőséget, és adja meg a következő paramétereket:

   Parameter	Leírás
   Paraméter	Log Sources [Indexed]
   Operátor	Equals
   Naplóforráscsoport	Other
   Naplóforrás	<Xsense Name>

3. Keresse meg az IoT-érzékelőhöz készült Defenderből észlelt ismeretlen jelentést, és kattintson rá duplán.

4. Válassza a Map Event (Esemény leképezése) lehetőséget.

5. A Modal Log Source Event (Modal Log Source Event) lapon válassza a következőt:

   • Magas szintű kategória: Gyanús tevékenység + alacsony szintű kategória – Ismeretlen gyanús esemény + napló
   • Forrás típusa: Bármely

6. Select Search.

7. Az eredmények közül válassza ki azt a sort, amelyben az XSense név megjelenik, majd kattintson az OK gombra.

Mostantól az összes érzékelőjelentés érzékelőriasztásként van megjelölve.

A QRadarban a következő új mezők jelennek meg:

• UUID: Egyedi riasztásazonosító, például 1-1555245116250.

• Webhely: Az a hely, ahol a riasztást észlelték.

• Zóna: Az a zóna, ahol a riasztást észlelték.

Például:

<9>May 5 12:29:23 sensor_Agent LEEF:1.0|CyberX|CyberX platform|2.5.0|CyberX platform Alert|devTime=May 05 2019 15:28:54 devTimeFormat=MMM dd yyyy HH:mm:ss sev=2 cat=XSense Alerts title=Device is Suspected to be Disconnected (Unresponsive) score=81 reporter=192.168.219.50 rta=0 alertId=6 engine=Operational senderName=sensor Agent UUID=5-1557059334000 site=Site zone=Zone actions=handle dst=192.168.2.2 dstName=192.168.2.2 msg=Device 192.168.2.2 is suspected to be disconnected (unresponsive).

Megjegyzés:

A QRadarhoz létrehozott továbbítási szabály a UUID helyszíni felügyeleti konzol API-ját használja. További információ: UUID (Riasztások kezelése az UUID alapján).

Egyéni mezők hozzáadása a riasztásokhoz

Egyéni mezők hozzáadása riasztásokhoz:

1. Válassza a Kinyerés tulajdonságot.

2. Válassza a Regex Based lehetőséget.

3. Konfigurálja a következő mezőket:

   Parameter	Leírás
   Új tulajdonság	Az alábbiak egyike: - Érzékelő riasztásának leírása - Érzékelő riasztási azonosítója - Érzékelő riasztási pontszáma - Érzékelőriasztás címe - Érzékelő célneve - Érzékelő közvetlen átirányítása - Érzékelő feladói IP-címe - Érzékelő feladója neve - Érzékelő riasztási motorja - Érzékelő forráseszközének neve
   Elemzés optimalizálása	Ellenőrizze.
   Mezőtípus	AlphaNumeric
   Engedélyezve	Ellenőrizze.
   Naplóforrás típusa	Universal LEAF
   Naplóforrás	<Sensor Name>
   Esemény neve	Érzékelőriasztásként már be kell állítani
   Rögzítési csoport	1
   Regex	Adja meg a következőket: - Érzékelőriasztás leírása RegEx: msg=(.*)(?=\t) - Érzékelő riasztásazonosítója RegEx: alertId=(.*)(?=\t) - Érzékelő riasztási pontszáma RegEx: Detected score=(.*)(?=\t) - Érzékelőriasztás címe RegEx: title=(.*)(?=\t) - Érzékelő célneve RegEx: dstName=(.*)(?=\t) - Érzékelő közvetlen átirányítás regEx: rta=(.*)(?=\t) - Érzékelő feladói IP-címe: RegEx: reporter=(.*)(?=\t) - Érzékelő feladója neve RegEx: senderName=(.*)(?=\t) - Érzékelő riasztási motor RegEx: engine =(.*)(?=\t) - Érzékelő forráseszköz neve RegEx: src

Következő lépések

Integráció a Microsofttal és a partnerszolgáltatásokkal