Integrowanie usługi Qradar z usługą Microsoft Defender dla IoT

W tym artykule opisano sposób integracji usługi Microsoft Defender dla IoT z usługą QRadar.

Integracja z usługą QRadar obsługuje:

• Przekazywanie alertów usługi Defender dla IoT do rozwiązania IBM QRadar w celu zapewnienia ujednoliconego monitorowania zabezpieczeń i zapewniania ładu w usłudze OT i IT.

• Omówienie środowisk IT i OT, które umożliwiają wykrywanie i reagowanie na ataki wieloetapowe, które często przekraczają granice IT i OT.

• Integracja z istniejącymi przepływami pracy SOC.

Wymagania wstępne

• Dostęp do czujnika ot usługi Defender for IoT jako użytkownik Administracja. Aby uzyskać więcej informacji, zobacz Temat Użytkownicy i role lokalne na potrzeby monitorowania ot za pomocą usługi Defender dla IoT.

• Dostęp do lokalnej konsoli zarządzania usługi Defender for IoT OT jako użytkownik Administracja. Aby uzyskać więcej informacji, zobacz Temat Użytkownicy i role lokalne na potrzeby monitorowania ot za pomocą usługi Defender dla IoT.

• Dostęp do obszaru Administracja QRadar.

Konfigurowanie odbiornika usługi Syslog dla usługi QRadar

Aby skonfigurować odbiornik Syslog do pracy z usługą QRadar:

1. Zaloguj się do usługi QRadar i wybierz pozycję Administracja> Źródła danych.

2. W oknie Źródła danych wybierz pozycję Źródła dzienników.

3. W oknie Modalny wybierz pozycję Dodaj.

4. W oknie dialogowym Dodawanie źródła dziennika zdefiniuj następujące parametry:

   Parametr	Opis
   Nazwa źródła dziennika	<Sensor name>
   Opis źródła dziennika	<Sensor name>
   Typ źródła dziennika	Universal LEEF
   Konfiguracja protokołu	Syslog
   Identyfikator źródła dziennika	<Sensor name>

   Uwaga

   Nazwa identyfikatora źródła dziennika nie może zawierać białych spacji. Zalecamy zastąpienie wszelkich białych spacji podkreśleniami.

5. Wybierz pozycję Zapisz, a następnie wdróż zmiany.

Wdrażanie usługi Defender for IoT QID

QiD jest identyfikatorem zdarzenia QRadar. Ponieważ wszystkie raporty usługi Defender dla IoT są oznaczone w tym samym miejscu, zdarzenie alertu czujnika, można użyć tego samego identyfikatora QID dla tych zdarzeń w usłudze QRadar.

Aby wdrożyć usługę Defender dla IoT QID:

1. Zaloguj się do konsoli QRadar.

2. Utwórz plik o nazwie xsense_qids.

3. W pliku użyj następującego polecenia: ,XSense Alert,XSense Alert Report From <XSense Name>,5,7001.

4. Uruchom polecenie: sudo /opt/qradar/bin/qidmap_cli.sh -i -f <path>/xsense_qids.

   Zostanie wyświetlony komunikat potwierdzający wskazujący, że qiD został pomyślnie wdrożony.

Tworzenie reguł przekazywania QRadar

Utwórz regułę przekazywania z lokalnej konsoli zarządzania, aby przekazać alerty do usługi QRadar.

Przekazywanie reguł alertów jest uruchamiane tylko dla alertów wyzwalanych po utworzeniu reguły przekazywania. Reguła nie ma wpływu na żadne alerty już w systemie przed utworzeniem reguły przekazywania.

Poniższy kod to przykład ładunku wysyłanego do usługi QRadar:

<9>May 5 12:29:23 sensor_Agent LEEF:1.0|CyberX|CyberX platform|2.5.0|CyberX platform Alert|devTime=May 05 2019 15:28:54 devTimeFormat=MMM dd yyyy HH:mm:ss sev=2 cat=XSense Alerts title=Device is Suspected to be Disconnected (Unresponsive) score=81 reporter=192.168.219.50 rta=0 alertId=6 engine=Operational senderName=sensor Agent UUID=5-1557059334000 site=Site zone=Zone actions=handle dst=192.168.2.2 dstName=192.168.2.2 msg=Device 192.168.2.2 is suspected to be disconnected (unresponsive).

Podczas konfigurowania reguły przekazywania:

1. W obszarze Akcje wybierz pozycję Qradar.

2. Wprowadź szczegóły hosta, portu i strefy czasowej QRadar.

3. Opcjonalnie wybierz opcję włączenia szyfrowania, a następnie skonfiguruj szyfrowanie i/lub wybierz, aby zarządzać alertami zewnętrznie.

Aby uzyskać więcej informacji, zobacz Przekazywanie lokalnych informacji o alertach OT.

Mapuj powiadomienia na QRadar

1. Zaloguj się do konsoli QRadar i wybierz pozycję Działanie dziennika QRadar>.

2. Wybierz pozycję Dodaj filtr i zdefiniuj następujące parametry:

   Parametr	Opis
   Parametr	Log Sources [Indexed]
   Operator	Equals
   Grupa źródłowa dziennika	Other
   Źródło dziennika	<Xsense Name>

3. Znajdź nieznany raport wykryty z czujnika usługi Defender for IoT i kliknij go dwukrotnie.

4. Wybierz pozycję Zdarzenie mapy.

5. Na stronie Zdarzenia źródła dziennika modalnego wybierz pozycję:

   • Kategoria wysokiego poziomu: Podejrzane działanie i kategoria niskiego poziomu — nieznane podejrzane zdarzenie i dziennik
   • Typ źródła: dowolny

6. Wybierz pozycję Wyszukaj.

7. W wynikach wybierz wiersz, w którym pojawia się nazwa XSense, a następnie wybierz przycisk OK.

Wszystkie raporty czujników od teraz są oznaczone jako Alerty czujników.

W narzędziu QRadar są wyświetlane następujące nowe pola:

• UUID: unikatowy identyfikator alertu, taki jak 1-1555245116250.

• Witryna: lokacja, w której został odnaleziony alert.

• Strefa: strefa, w której został odnaleziony alert.

Na przykład:

<9>May 5 12:29:23 sensor_Agent LEEF:1.0|CyberX|CyberX platform|2.5.0|CyberX platform Alert|devTime=May 05 2019 15:28:54 devTimeFormat=MMM dd yyyy HH:mm:ss sev=2 cat=XSense Alerts title=Device is Suspected to be Disconnected (Unresponsive) score=81 reporter=192.168.219.50 rta=0 alertId=6 engine=Operational senderName=sensor Agent UUID=5-1557059334000 site=Site zone=Zone actions=handle dst=192.168.2.2 dstName=192.168.2.2 msg=Device 192.168.2.2 is suspected to be disconnected (unresponsive).

Uwaga

Reguła przekazywania utworzona dla usługi QRadar używa interfejsu UUID API z lokalnej konsoli zarządzania. Aby uzyskać więcej informacji, zobacz UUID (Zarządzanie alertami na podstawie identyfikatora UUID).

Dodawanie pól niestandardowych do alertów

Aby dodać pola niestandardowe do alertów:

1. Wybierz pozycję Wyodrębnij właściwość.

2. Wybierz pozycję Na podstawie wyrażenia regularnego.

3. Skonfiguruj następujące pola:

   Parametr	Opis
   Nowa właściwość	Jedną z następujących czynności: - Opis alertu czujnika - Identyfikator alertu czujnika - Wskaźnik alertu czujnika - Tytuł alertu czujnika - Nazwa docelowa czujnika - Bezpośrednie przekierowanie czujnika - Adres IP nadawcy czujnika - Nazwa nadawcy czujnika - Aparat alertów czujnika - Nazwa urządzenia źródłowego czujnika
   Optymalizowanie analizowania	Zaewidencjonuj.
   Typ pola	AlphaNumeric
   Włączono	Zaewidencjonuj.
   Typ źródła dziennika	Universal LEAF
   Źródło dziennika	<Sensor Name>
   Nazwa zdarzenia	Powinna być już ustawiona jako Alert czujnika
   Grupa przechwytywania	1
   Regex	Zdefiniuj następujące elementy: - Opis alertu czujnika RegEx: msg=(.*)(?=\t) - Identyfikator alertu czujnika RegEx: alertId=(.*)(?=\t) - Wynik alertu czujnika RegEx: Detected score=(.*)(?=\t) - Sensor Alert Title RegEx: title=(.*)(?=\t) - Nazwa docelowa czujnika RegEx: dstName=(.*)(?=\t) - Direct Redirect RegEx czujnika: rta=(.*)(?=\t) - Adres IP nadawcy czujnika: RegEx: reporter=(.*)(?=\t) - Sensor Sender Name RegEx( Nazwa nadawcy czujnika: senderName=(.*)(?=\t) - RegEx aparatu alertów czujnika: engine =(.*)(?=\t) - Źródłowa nazwa urządzenia czujnika RegEx: src

Następne kroki

Integracje z usługami firmy Microsoft i partnerami