A Qradar integrálása a Microsoft Defender for IoT-vel
Ez a cikk bemutatja, hogyan integrálható a Microsoft Defender for IoT a QRadarral.
A QRadarral való integráció a következőket támogatja:
A Defender for IoT-riasztások továbbítása az IBM QRadarnak az egységes informatikai és ot biztonsági monitorozáshoz és szabályozáshoz.
Az informatikai és az OT-környezetek áttekintése, amely lehetővé teszi, hogy észlelje és reagáljon az informatikai és az OT-határokon gyakran átlépő többszakaszos támadásokra.
Integráció meglévő SOC-munkafolyamatokkal.
Előfeltételek
Hozzáférés a Defender for IoT OT-érzékelőhöz Rendszergazda felhasználóként. További információ: Helyszíni felhasználók és szerepkörök az IoT-hez készült Defender használatával végzett OT-monitorozáshoz.
Hozzáférés a Defender for IoT OT helyszíni felügyeleti konzolhoz Rendszergazda felhasználóként. További információ: Helyszíni felhasználók és szerepkörök az IoT-hez készült Defender használatával végzett OT-monitorozáshoz.
Hozzáférés a QRadar Rendszergazda területéhez.
Syslog-figyelő konfigurálása a QRadarhoz
Ha konfigurálja a Syslog-figyelőt a QRadar használatához:
Jelentkezzen be a QRadarba, és válassza Rendszergazda >Data-források lehetőséget.
Az Adatforrások ablakban válassza a Naplóforrások lehetőséget.
A Modal ablakban válassza a Hozzáadás lehetőséget.
A Naplóforrás hozzáadása párbeszédpanelen adja meg a következő paramétereket:
Parameter Leírás Naplóforrás neve <Sensor name>
Naplóforrás leírása <Sensor name>
Naplóforrás típusa Universal LEEF
Protokollkonfiguráció Syslog
Naplóforrás azonosítója <Sensor name>
Megjegyzés:
A naplóforrás azonosítójának neve nem tartalmazhat üres szóközöket. Javasoljuk, hogy minden üres szóközt helyettesítsen aláhúzással.
Válassza a Mentés, majd a Módosítások telepítése lehetőséget.
Defender for IoT QID üzembe helyezése
A QID egy QRadar-eseményazonosító. Mivel az IoT-hez készült Defender összes jelentése ugyanabban a érzékelőriasztási eseményben van megjelölve, ugyanazt a QID-t használhatja ezekhez az eseményekhez a QRadarban.
Az IoT-hez készült Defender QID üzembe helyezése:
Jelentkezzen be a QRadar konzolra.
Hozzon létre egy
xsense_qids
nevű fájlt.A fájlban használja a következő parancsot:
,XSense Alert,XSense Alert Report From <XSense Name>,5,7001
.Futtatás:
sudo /opt/qradar/bin/qidmap_cli.sh -i -f <path>/xsense_qids
.Megjelenik egy megerősítést kérő üzenet, amely jelzi, hogy a QID sikeresen üzembe lett helyezve.
QRadar-továbbítási szabályok létrehozása
Hozzon létre egy továbbítási szabályt a helyszíni felügyeleti konzolról a riasztások QRadarnak való továbbításához.
A továbbítási riasztási szabályok csak a továbbítási szabály létrehozása után aktivált riasztásokon futnak. A szabály nem érinti a rendszerben a továbbítási szabály létrehozása előtt már létező riasztásokat.
Az alábbi kód egy példa a QRadarnak küldött hasznos adatokra:
<9>May 5 12:29:23 sensor_Agent LEEF:1.0|CyberX|CyberX platform|2.5.0|CyberX platform Alert|devTime=May 05 2019 15:28:54 devTimeFormat=MMM dd yyyy HH:mm:ss sev=2 cat=XSense Alerts title=Device is Suspected to be Disconnected (Unresponsive) score=81 reporter=192.168.219.50 rta=0 alertId=6 engine=Operational senderName=sensor Agent UUID=5-1557059334000 site=Site zone=Zone actions=handle dst=192.168.2.2 dstName=192.168.2.2 msg=Device 192.168.2.2 is suspected to be disconnected (unresponsive).
A továbbítási szabály konfigurálásakor:
A Műveletek területen válassza a Qradar lehetőséget.
Adja meg a QRadar-gazdagép, a port és az időzóna adatait.
Ha szeretné, engedélyezze a titkosítást, majd konfigurálja a titkosítást, és/vagy válassza ki a riasztások külső kezelését.
További információ: Helyszíni OT-riasztások továbbítása.
Értesítések leképezése a QRadarba
Jelentkezzen be a QRadar-konzolba, és válassza a QRadar-naplótevékenység>lehetőséget.
Válassza a Szűrő hozzáadása lehetőséget, és adja meg a következő paramétereket:
Parameter Leírás Paraméter Log Sources [Indexed]
Operátor Equals
Naplóforráscsoport Other
Naplóforrás <Xsense Name>
Keresse meg az IoT-érzékelőhöz készült Defenderből észlelt ismeretlen jelentést, és kattintson rá duplán.
Válassza a Map Event (Esemény leképezése) lehetőséget.
A Modal Log Source Event (Modal Log Source Event) lapon válassza a következőt:
- Magas szintű kategória: Gyanús tevékenység + alacsony szintű kategória – Ismeretlen gyanús esemény + napló
- Forrás típusa: Bármely
Select Search.
Az eredmények közül válassza ki azt a sort, amelyben az XSense név megjelenik, majd kattintson az OK gombra.
Mostantól az összes érzékelőjelentés érzékelőriasztásként van megjelölve.
A QRadarban a következő új mezők jelennek meg:
UUID: Egyedi riasztásazonosító, például 1-1555245116250.
Webhely: Az a hely, ahol a riasztást észlelték.
Zóna: Az a zóna, ahol a riasztást észlelték.
Például:
<9>May 5 12:29:23 sensor_Agent LEEF:1.0|CyberX|CyberX platform|2.5.0|CyberX platform Alert|devTime=May 05 2019 15:28:54 devTimeFormat=MMM dd yyyy HH:mm:ss sev=2 cat=XSense Alerts title=Device is Suspected to be Disconnected (Unresponsive) score=81 reporter=192.168.219.50 rta=0 alertId=6 engine=Operational senderName=sensor Agent UUID=5-1557059334000 site=Site zone=Zone actions=handle dst=192.168.2.2 dstName=192.168.2.2 msg=Device 192.168.2.2 is suspected to be disconnected (unresponsive).
Megjegyzés:
A QRadarhoz létrehozott továbbítási szabály a UUID
helyszíni felügyeleti konzol API-ját használja. További információ: UUID (Riasztások kezelése az UUID alapján).
Egyéni mezők hozzáadása a riasztásokhoz
Egyéni mezők hozzáadása riasztásokhoz:
Válassza a Kinyerés tulajdonságot.
Válassza a Regex Based lehetőséget.
Konfigurálja a következő mezőket:
Parameter Leírás Új tulajdonság Az alábbiak egyike:
- Érzékelő riasztásának leírása
- Érzékelő riasztási azonosítója
- Érzékelő riasztási pontszáma
- Érzékelőriasztás címe
- Érzékelő célneve
- Érzékelő közvetlen átirányítása
- Érzékelő feladói IP-címe
- Érzékelő feladója neve
- Érzékelő riasztási motorja
- Érzékelő forráseszközének neveElemzés optimalizálása Ellenőrizze. Mezőtípus AlphaNumeric
Engedélyezve Ellenőrizze. Naplóforrás típusa Universal LEAF
Naplóforrás <Sensor Name>
Esemény neve Érzékelőriasztásként már be kell állítani Rögzítési csoport 1 Regex Adja meg a következőket:
- Érzékelőriasztás leírása RegEx:msg=(.*)(?=\t)
- Érzékelő riasztásazonosítója RegEx:alertId=(.*)(?=\t)
- Érzékelő riasztási pontszáma RegEx:Detected score=(.*)(?=\t)
- Érzékelőriasztás címe RegEx:title=(.*)(?=\t)
- Érzékelő célneve RegEx:dstName=(.*)(?=\t)
- Érzékelő közvetlen átirányítás regEx:rta=(.*)(?=\t)
- Érzékelő feladói IP-címe: RegEx:reporter=(.*)(?=\t)
- Érzékelő feladója neve RegEx:senderName=(.*)(?=\t)
- Érzékelő riasztási motor RegEx:engine =(.*)(?=\t)
- Érzékelő forráseszköz neve RegEx:src