Integrare Qradar con Microsoft Defender per IoT
Questo articolo descrive come integrare Microsoft Defender per IoT con QRadar.
L'integrazione con QRadar supporta:
Inoltro degli avvisi di Defender per IoT a IBM QRadar per il monitoraggio e la governance unificata della sicurezza IT e OT.
Panoramica degli ambienti IT e OT, che consentono di rilevare e rispondere agli attacchi a più fasi che spesso superano i limiti IT e OT.
Integrazione con flussi di lavoro SOC esistenti.
Prerequisiti
Accesso a un sensore OT defender per IoT come utente amministratore. Per altre informazioni, vedere Utenti e ruoli locali per il monitoraggio OT con Defender per IoT.
Accesso all'area di amministrazione di QRadar.
Configurare il listener Syslog per QRadar
Per configurare il listener Syslog per l'uso con QRadar:
Accedere a QRadar e selezionare Origini dati amministratore>.
Nella finestra Origini dati selezionare Origini log.
Nella finestra Modale selezionare Aggiungi.
Nella finestra di dialogo Aggiungi origine log definire i parametri seguenti:
Parametro Descrizione Nome origine log <Sensor name>
Descrizione origine log <Sensor name>
Tipo di origine log Universal LEEF
Configurazione del protocollo Syslog
Identificatore origine log <Sensor name>
Nota
Il nome dell'identificatore origine log non deve includere spazi vuoti. È consigliabile sostituire gli spazi vuoti con un carattere di sottolineatura.
Selezionare Salva e quindi Distribuisci modifiche.
Distribuire un qiD di Defender per IoT
Un qiD è un identificatore di evento QRadar. Poiché tutti i report di Defender per IoT sono contrassegnati con lo stesso evento Sensor Alert, è possibile usare lo stesso qiD per questi eventi in QRadar.
Per distribuire un qiD di Defender per IoT:
Accedere alla console QRadar.
Creare un file denominato
xsense_qids
.Nel file usare il comando seguente:
,XSense Alert,XSense Alert Report From <XSense Name>,5,7001
.Eseguire:
sudo /opt/qradar/bin/qidmap_cli.sh -i -f <path>/xsense_qids
.Viene visualizzato un messaggio di conferma che indica che il qiD è stato distribuito correttamente.
Creare regole di inoltro QRadar
Creare una regola di inoltro dal sensore OT per inoltrare avvisi a QRadar.
L'inoltro delle regole di avviso viene eseguito solo sugli avvisi attivati dopo la creazione della regola di inoltro. La regola non influisce sugli avvisi già presenti nel sistema prima della creazione della regola di inoltro.
Il codice seguente è un esempio di payload inviato a QRadar:
<9>May 5 12:29:23 sensor_Agent LEEF:1.0|CyberX|CyberX platform|2.5.0|CyberX platform Alert|devTime=May 05 2019 15:28:54 devTimeFormat=MMM dd yyyy HH:mm:ss sev=2 cat=XSense Alerts title=Device is Suspected to be Disconnected (Unresponsive) score=81 reporter=192.168.219.50 rta=0 alertId=6 engine=Operational senderName=sensor Agent UUID=5-1557059334000 site=Site zone=Zone actions=handle dst=192.168.2.2 dstName=192.168.2.2 msg=Device 192.168.2.2 is suspected to be disconnected (unresponsive).
Quando si configura la regola di inoltro:
Nell'area Azioni selezionare Qradar.
Immettere i dettagli per l'host, la porta e il fuso orario di QRadar.
Facoltativamente, selezionare questa opzione per abilitare la crittografia e quindi configurare la crittografia e/o selezionare questa opzione per gestire gli avvisi esternamente.
Per altre informazioni, vedere Inoltrare informazioni sull'avviso OT locale.
Eseguire il mapping delle notifiche a QRadar
Accedere alla console QRadar e selezionare QRadar Log Activity (Attività log QRadar>).
Selezionare Aggiungi filtro e definire i parametri seguenti:
Parametro Descrizione Parametro Log Sources [Indexed]
Operatore Equals
Gruppo di origine log Other
Origine log <Xsense Name>
Individuare un report sconosciuto rilevato dal sensore Defender per IoT e fare doppio clic su di esso.
Selezionare Evento mappa.
Nella pagina Modal Log Source Event (Evento origine log modale) selezionare:
- Categoria di alto livello: attività sospetta + categoria di basso livello - Evento sospetto sconosciuto + log
- Tipo di origine: Any
Seleziona Cerca.
Nei risultati selezionare la riga in cui viene visualizzato il nome XSense e selezionare OK.
Tutti i report dei sensori da ora in poi vengono contrassegnati come avvisi del sensore.
I nuovi campi seguenti vengono visualizzati in QRadar:
UUID: identificatore di avviso univoco, ad esempio 1-1555245116250.
Sito: sito in cui è stato individuato l'avviso.
Zona: zona in cui è stato individuato l'avviso.
Ad esempio:
<9>May 5 12:29:23 sensor_Agent LEEF:1.0|CyberX|CyberX platform|2.5.0|CyberX platform Alert|devTime=May 05 2019 15:28:54 devTimeFormat=MMM dd yyyy HH:mm:ss sev=2 cat=XSense Alerts title=Device is Suspected to be Disconnected (Unresponsive) score=81 reporter=192.168.219.50 rta=0 alertId=6 engine=Operational senderName=sensor Agent UUID=5-1557059334000 site=Site zone=Zone actions=handle dst=192.168.2.2 dstName=192.168.2.2 msg=Device 192.168.2.2 is suspected to be disconnected (unresponsive).
Nota
La regola di inoltro creata per QRadar usa l'API UUID
dal sensore OT. Per altre informazioni, vedere UUID (Gestire gli avvisi in base all'UUID).
Aggiungere campi personalizzati agli avvisi
Per aggiungere campi personalizzati agli avvisi:
Selezionare Extract Property (Estrai proprietà).
Selezionare Regex Based (Basato su regex).
Configurare i campi seguenti:
Parametro Descrizione Nuova proprietà Uno dei seguenti:
- Descrizione avviso sensore
- ID avviso sensore
- Punteggio avviso sensore
- Titolo avviso sensore
- Nome destinazione sensore
- Reindirizzamento diretto del sensore
- IP del mittente del sensore
- Nome mittente sensore
- Motore di avvisi del sensore
- Nome dispositivo di origine sensoreOttimizzare l'analisi Controllare. Tipo di campo AlphaNumeric
Abilitato Controllare. Tipo di origine log Universal LEAF
Origine log <Sensor Name>
Nome dell’evento Deve essere già impostato come Avviso sensore Gruppo Capture 1 Regex Definire quanto segue:
- Descrizione avviso sensore RegEx:msg=(.*)(?=\t)
- ID avviso sensore RegEx:alertId=(.*)(?=\t)
- Punteggio di avviso sensore RegEx:Detected score=(.*)(?=\t)
- Titolo avviso sensore RegEx:title=(.*)(?=\t)
- Nome destinazione sensore RegEx:dstName=(.*)(?=\t)
- RegEx reindirizzamento diretto sensore:rta=(.*)(?=\t)
- IP del mittente del sensore: RegEx:reporter=(.*)(?=\t)
- Nome mittente sensore RegEx:senderName=(.*)(?=\t)
- RegEx del motore di avvisi del sensore:engine =(.*)(?=\t)
- Nome dispositivo di origine sensore RegEx:src