Integración de Qradar con Microsoft Defender para IoT

En este artículo se describe cómo integrar Microsoft Defender para IoT con QRadar.

La integración con QRadar admite:

• La opción de reenviar de alertas de Defender para IoT a IBM QRadar para obtener una gobernanza y supervisión de seguridad de TI y OT unificadas.

• Información general de los entornos de TI y OT, lo que le permite detectar y responder a ataques de varias fases que a menudo cruzan los límites de TI y OT.

• La integración con flujos de trabajo existentes del centro de operaciones de seguridad.

Prerrequisitos

• Acceso a un sensor de OT de Defender para IoT como usuario de Administración. Para obtener más información, consulte Usuarios y roles locales para la supervisión de OT con Defender para IoT.

• Acceso a una consola de administración local de OT para Defender para IoT como usuario administrador. Para obtener más información, consulte Usuarios y roles locales para la supervisión de OT con Defender para IoT.

• Acceda al área de administración de QRadar.

Configuración del cliente de escucha de Syslog para QRadar

Para configurar el cliente de escucha de Syslog para que funcione con QRadar:

1. Inicie sesión en QRadar y seleccione Administración>Orígenes de datos.

2. En la ventana Data Sources (Orígenes de datos), seleccione Log Sources (Orígenes de registro).

3. En la ventana Modal, seleccione Add (Agregar).

4. En el cuadro de diálogo Agregar un origen de registro, defina los siguientes parámetros:

   Parámetro	Descripción
   Nombre de origen de registro	<Sensor name>
   Descripción de origen de registro	<Sensor name>
   Tipo de origen de registro	Universal LEEF
   Configuración de protocolo	Syslog
   Identificador de origen de registro	<Sensor name>

   Nota

   El nombre del identificador de origen del registro no debe incluir espacios en blanco. Se recomienda reemplazar los espacios en blanco por un carácter de subrayado.

5. Seleccione Guardar y, después, Implementar cambios.

Implementación de un QID de Defender para IoT

Un QID es un identificador de evento de QRadar. Dado que todos los informes de Defender para IoT se etiquetan en el mismo evento de alerta del sensor, puede usar el mismo QID para estos eventos en QRadar.

Para implementar un QID de Defender para IoT:

1. Inicie sesión en la consola de QRadar.

2. Cree un archivo llamado xsense_qids.

3. En el archivo, use el comando siguiente: ,XSense Alert,XSense Alert Report From <XSense Name>,5,7001.

4. Ejecute sudo /opt/qradar/bin/qidmap_cli.sh -i -f <path>/xsense_qids.

   Aparecerá un mensaje de confirmación que indica que el QID se implementó correctamente.

Creación de las reglas de reenvío de QRadar

Cree una regla de reenvío desde la consola de administración local para reenviar alertas a QRadar.

Las reglas de reenvío de alertas solo se ejecutan en las alertas desencadenadas después de crear la regla de reenvío. La regla no afecta a las alertas que ya están en el sistema desde antes de crear la regla de reenvío.

El código siguiente es un ejemplo de una carga enviada a QRadar:

<9>May 5 12:29:23 sensor_Agent LEEF:1.0|CyberX|CyberX platform|2.5.0|CyberX platform Alert|devTime=May 05 2019 15:28:54 devTimeFormat=MMM dd yyyy HH:mm:ss sev=2 cat=XSense Alerts title=Device is Suspected to be Disconnected (Unresponsive) score=81 reporter=192.168.219.50 rta=0 alertId=6 engine=Operational senderName=sensor Agent UUID=5-1557059334000 site=Site zone=Zone actions=handle dst=192.168.2.2 dstName=192.168.2.2 msg=Device 192.168.2.2 is suspected to be disconnected (unresponsive).

Al configurar la regla de reenvío:

1. En el área Acciones, seleccione QRadar.

2. Escriba los detalles del host, el puerto y la zona horaria de QRadar.

3. Opcionalmente, seleccione habilitar el cifrado y, después, configure el cifrado o seleccione administrar las alertas externamente.

Para obtener más información, consulte Reenvío de información de alertas de OT local.

Asignación de notificaciones a QRadar

1. Inicie sesión en la consola de QRadar y seleccione QRadar>Actividades de registro.

2. Seleccione Agregar filtro y defina los siguientes parámetros:

   Parámetro	Descripción
   Parámetro	Log Sources [Indexed]
   Operador	Equals
   Grupo de origen de registro	Other
   Origen del registro	<Xsense Name>

3. Busque un informe desconocido que se haya detectado desde el sensor de Defender para IoT y haga doble clic en él.

4. Seleccione Map Event (Asignar evento).

5. En la página Evento de origen de registro modal, seleccione los siguientes elementos:

   • Categoría de alto nivel: actividad sospechosa + Categoría de bajo nivel: evento sospechoso desconocido + Registro
   • Tipo de origen: cualquiera

6. Seleccione Search.

7. En los resultados, elija la línea en la que aparezca el nombre XSense y seleccione Aceptar.

Todos los informes del sensor ahora se etiquetan como Alertas de sensor.

Los siguientes campos nuevos aparecerán en QRadar:

• UUID: identificador único de la alerta, como 1-1555245116250.

• Sitio: el sitio en el que se detectó la alerta.

• Zone: la zona en la que se detectó la alerta.

Por ejemplo:

<9>May 5 12:29:23 sensor_Agent LEEF:1.0|CyberX|CyberX platform|2.5.0|CyberX platform Alert|devTime=May 05 2019 15:28:54 devTimeFormat=MMM dd yyyy HH:mm:ss sev=2 cat=XSense Alerts title=Device is Suspected to be Disconnected (Unresponsive) score=81 reporter=192.168.219.50 rta=0 alertId=6 engine=Operational senderName=sensor Agent UUID=5-1557059334000 site=Site zone=Zone actions=handle dst=192.168.2.2 dstName=192.168.2.2 msg=Device 192.168.2.2 is suspected to be disconnected (unresponsive).

Nota

La regla de reenvío que cree para QRadar usa la API UUID desde la consola de administración local. Para obtener más información, consulte UUID (Administración de alertas basadas en UUID).

Adición de campos personalizados a las alertas

Para agregar campos personalizados a alertas:

1. Seleccione Extract Property (Extraer propiedad).

2. Seleccione Regex Based (Basado en Regex).

3. Configure los campos siguientes:

   Parámetro	Descripción
   Propiedad nueva	Uno de los siguientes: - Descripción de la alerta de sensor - Identificador de la alerta de sensor - Puntuación de la alerta de sensor - Título de la alerta de sensor - Nombre de destino del sensor - Redirección directa del sensor - Dirección IP del emisor del sensor - Nombre del emisor del sensor - Motor de alertas del sensor - Nombre de dispositivo de origen del sensor
   Optimizar análisis	Compruébelo.
   Tipo de campo	AlphaNumeric
   Enabled	Compruébelo.
   Tipo de origen de registro	Universal LEAF
   Origen del registro	<Sensor Name>
   Nombre de evento	Ya debe estar establecido como Alerta de sensor
   Grupo de captura	1
   Regex	Defina lo siguiente: - Expresión regular de la descripción de la alerta de sensor: msg=(.*)(?=\t) - Expresión regular del identificador de la alerta de sensor: alertId=(.*)(?=\t) - Expresión regular de la puntuación de la alerta de sensor: Detected score=(.*)(?=\t) - Expresión regular del título de la alerta de sensor: title=(.*)(?=\t) - Expresión regular del nombre del destino del sensor: dstName=(.*)(?=\t) - Expresión regular de la redirección directa del sensor: rta=(.*)(?=\t) - Expresión regular de la dirección IP del emisor del sensor: reporter=(.*)(?=\t) - Expresión regular del nombre del emisor del sensor: senderName=(.*)(?=\t) - Expresión regular del motor de alertas del sensor: engine =(.*)(?=\t) - Expresión regular del nombre de dispositivo de origen del sensor: src

Pasos siguientes

Integraciones con servicios de Microsoft y asociados