Integrace Qradaru s Microsoft Defenderem pro IoT
Tento článek popisuje, jak integrovat Microsoft Defender pro IoT s QRadar.
Integrace s QRadar podporuje:
Předávání výstrah Defenderu pro IoT ibm QRadar pro jednotné monitorování a zásady správného řízení zabezpečení IT a OT
Přehled prostředí IT i OT, která umožňují detekovat a reagovat na útoky ve více fázích, které často překračují hranice IT a OT.
Integrace s existujícími pracovními postupy SOC
Požadavky
Přístup k senzoru OT Defenderu for IoT jako uživatel s rolí správce Další informace najdete v tématu Místní uživatelé a role pro monitorování OT pomocí Defenderu pro IoT.
Přístup k oblasti pro správu QRadar
Konfigurace naslouchacího procesu Syslog pro QRadar
Konfigurace naslouchacího procesu Syslog pro práci s QRadar:
Přihlaste se k QRadar a vyberte Zdroje dat správce>.
V okně Zdroje dat vyberte Zdroje protokolů.
V modálním okně vyberte Přidat.
V dialogovém okně Přidat zdroj protokolu definujte následující parametry:
Parametr Popis Název zdroje protokolu <Sensor name>Popis zdroje protokolu <Sensor name>Typ zdroje protokolu Universal LEEFKonfigurace protokolu SyslogIdentifikátor zdroje protokolu <Sensor name>Poznámka:
Název identifikátoru zdroje protokolu nesmí obsahovat prázdné znaky. Doporučujeme nahradit všechny prázdné znaky podtržítkem.
Vyberte Uložit a pak nasaďte změny.
Nasazení Defenderu pro IoT QID
QID je identifikátor události QRadar. Vzhledem k tomu, že všechny sestavy Defenderu pro IoT jsou označené pod stejnou událostí, můžete pro tyto události v QRadaru použít stejnou QID.
Nasazení defenderu pro IoT QID:
Přihlaste se ke konzole QRadar.
Vytvořte soubor s názvem
xsense_qids.V souboru použijte následující příkaz:
,XSense Alert,XSense Alert Report From <XSense Name>,5,7001.Spustit:
sudo /opt/qradar/bin/qidmap_cli.sh -i -f <path>/xsense_qids.Zobrazí se potvrzovací zpráva, která indikuje úspěšné nasazení QID.
Vytvoření pravidel předávání QRadar
Vytvořte pravidlo předávání ze senzoru OT, které přesměruje upozornění na QRadar.
Pravidla přeposílání upozornění se spouštějí jenom u výstrah aktivovaných po vytvoření pravidla předávání. Pravidlo nemá vliv na žádné výstrahy, které už jsou v systému před vytvořením pravidla předávání.
Následující kód je příkladem datové části odeslané do QRadar:
<9>May 5 12:29:23 sensor_Agent LEEF:1.0|CyberX|CyberX platform|2.5.0|CyberX platform Alert|devTime=May 05 2019 15:28:54 devTimeFormat=MMM dd yyyy HH:mm:ss sev=2 cat=XSense Alerts title=Device is Suspected to be Disconnected (Unresponsive) score=81 reporter=192.168.219.50 rta=0 alertId=6 engine=Operational senderName=sensor Agent UUID=5-1557059334000 site=Site zone=Zone actions=handle dst=192.168.2.2 dstName=192.168.2.2 msg=Device 192.168.2.2 is suspected to be disconnected (unresponsive).
Při konfiguraci pravidla předávání:
V oblasti Akce vyberte Qradar.
Zadejte podrobnosti o hostiteli, portu a časovém pásmu QRadar.
Volitelně můžete vybrat, jestli chcete povolit šifrování, a pak nakonfigurovat šifrování a/nebo vybrat, jestli chcete spravovat výstrahy externě.
Další informace najdete v tématu Předávání informací o upozornění místního OT.
Mapování oznámení na QRadar
Přihlaste se ke konzole QRadar a vyberte aktivitu protokolu QRadar>.
Vyberte Přidat filtr a definujte následující parametry:
Parametr Popis Parametr Log Sources [Indexed]Operátor EqualsSkupina zdrojů protokolů OtherZdroj protokolu <Xsense Name>Vyhledejte neznámou sestavu zjištěnou ze senzoru Defenderu pro IoT a poklikejte na ni.
Vyberte Mapovat událost.
Na stránce Modální zdrojová událost protokolu vyberte:
- Kategorie vysoké úrovně: Podezřelá aktivita + Kategorie nízké úrovně – Neznámá podezřelá událost + protokol
- Typ zdroje: Libovolný
Vyberte Hledat.
Ve výsledcích vyberte řádek, ve kterém se zobrazí název XSense, a vyberte OK.
Všechny sestavy senzorů odteď jsou označené jako výstrahy senzorů.
V QRadaru se zobrazí následující nová pole:
UUID: Jedinečný identifikátor upozornění, například 1-1555245116250.
Web: Web, na kterém byla výstraha zjištěna.
Zóna: Zóna, ve které byla výstraha zjištěna.
Příklad:
<9>May 5 12:29:23 sensor_Agent LEEF:1.0|CyberX|CyberX platform|2.5.0|CyberX platform Alert|devTime=May 05 2019 15:28:54 devTimeFormat=MMM dd yyyy HH:mm:ss sev=2 cat=XSense Alerts title=Device is Suspected to be Disconnected (Unresponsive) score=81 reporter=192.168.219.50 rta=0 alertId=6 engine=Operational senderName=sensor Agent UUID=5-1557059334000 site=Site zone=Zone actions=handle dst=192.168.2.2 dstName=192.168.2.2 msg=Device 192.168.2.2 is suspected to be disconnected (unresponsive).
Poznámka:
Pravidlo předávání, které vytvoříte pro QRadar, používá UUID rozhraní API ze senzoru OT. Další informace najdete v tématu UUID (Správa výstrah na základě UUID).
Přidání vlastních polí do výstrah
Přidání vlastních polí do výstrah:
Vyberte extrahovat vlastnost.
Vyberte položku Regex Based.
Nakonfigurujte následující pole:
Parametr Popis Nová vlastnost Jedna z následujících možností:
- Popis upozornění senzoru
- ID upozornění senzoru
- Skóre upozornění senzoru
- Název upozornění senzoru
- Název cíle senzoru
- Přímé přesměrování senzoru
- IP adresa odesílatele senzoru
- Jméno odesílatele senzoru
- Snímač upozornění motoru
- Název zdrojového zařízení snímačeOptimalizace analýzy Zkontrolujte to. Typ pole AlphaNumericPovoleno Zkontrolujte to. Typ zdroje protokolu Universal LEAFZdroj protokolu <Sensor Name>Název události Mělo by být již nastaveno jako upozornění senzoru. Skupina zachycení 0 Regulární výraz Definujte následující:
- Popis upozornění senzoru RegEx:msg=(.*)(?=\t)
- ID upozornění senzoru RegEx:alertId=(.*)(?=\t)
- Senzor skóre upozornění RegEx:Detected score=(.*)(?=\t)
- Název regEx upozornění senzoru:title=(.*)(?=\t)
- Název cíle senzoru RegEx:dstName=(.*)(?=\t)
- Sensor Direct Redirect RegEx:rta=(.*)(?=\t)
- IP adresa odesílatele senzoru: RegEx:reporter=(.*)(?=\t)
- Sensor Sender Name RegEx:senderName=(.*)(?=\t)
- Sensor Alert Engine RegEx:engine =(.*)(?=\t)
- Název zdrojového zařízení snímače RegEx:src