次の方法で共有

Qradar を Microsoft Defender for IoT と統合する

  • [アーティクル]

この記事では、Microsoft Defender for IoT と QRadar を統合する方法について説明します。

QRadar との統合では、次がサポートされます。

  • 統合された IT と OT のセキュリティの監視とガバナンスのための Defender for IoT アラートの IBM QRadar への転送。

  • IT と OT の両方の環境の概要。IT と OT の境界を越えることが多い多段階攻撃を検出して対応できるようにします。

  • 既存の SOC ワークフローとの統合。

前提条件

QRadar 用に Syslog リスナーを構成する

QRadar と連携するように Syslog リスナーを構成するには:

  1. QRadar にサインインし、[管理]>[データ ソース] を選択します。

  2. [データ ソース] ウィンドウで、 [ログ ソース] を選択します。

  3. [モーダル] ウィンドウで、 [追加] を選択します。

  4. [ログ ソースの追加] ダイアログ ボックスで、次のパラメーターを定義します。

    パラメーター 説明
    [ログ ソース名] <Sensor name>
    [ログ ソースの説明] <Sensor name>
    [ログ ソースの種類] Universal LEEF
    [プロトコル構成] Syslog
    [ログ ソース識別子] <Sensor name>

    Note

    [ログ ソース識別子] の名前に空白を含めることはできません。 空白はアンダースコアに置き換えることをお勧めします。

  5. [保存] を選択し、[変更のデプロイ] を選択します。

Defender for IoT の QID をデプロイする

QID は QRadar のイベント識別子です。 すべての Defender for IoT レポートは同じセンサー アラート イベントとしてタグ付けされるため、QRadar でこれらのイベントに同じ QID を使用できます。

Defender for IoT の QID をデプロイするには、次のようにします

  1. QRadar コンソールにサインインします。

  2. xsense_qids という名前でファイルを作成します。

  3. このファイルで、コマンド ,XSense Alert,XSense Alert Report From <XSense Name>,5,7001 を使用します。

  4. sudo /opt/qradar/bin/qidmap_cli.sh -i -f <path>/xsense_qids を実行します。

    QID が正常にデプロイされたことを示す確認メッセージが表示されます。

QRadar 転送ルールを作成する

オンプレミス管理コンソールから QRadar にアラートを転送する転送ルールを作成します。

転送アラート ルールは、転送ルールの作成後にトリガーされたアラートに対してのみ実行されます。 転送ルールが作成される前にシステムに既に存在していたアラートは、ルールの影響を受けません。

次のコードは、QRadar に送信されるペイロードの例です。

<9>May 5 12:29:23 sensor_Agent LEEF:1.0|CyberX|CyberX platform|2.5.0|CyberX platform Alert|devTime=May 05 2019 15:28:54 devTimeFormat=MMM dd yyyy HH:mm:ss sev=2 cat=XSense Alerts title=Device is Suspected to be Disconnected (Unresponsive) score=81 reporter=192.168.219.50 rta=0 alertId=6 engine=Operational senderName=sensor Agent UUID=5-1557059334000 site=Site zone=Zone actions=handle dst=192.168.2.2 dstName=192.168.2.2 msg=Device 192.168.2.2 is suspected to be disconnected (unresponsive).

転送ルールを構成する場合:

  1. [アクション] 領域で、[Qradar] を選びます。

  2. QRadar のホスト、ポート、タイムゾーンの詳細を入力します。

  3. 必要に応じて、暗号化を選んで有効にした後、暗号化を構成したり、外部でのアラート管理を選んだりします。

詳細については、「オンプレミスの OT アラート情報を転送する」を参照してください。

QRadar に通知をマップする

  1. QRadar コンソールにサインインし、[QRadar]>[ログ アクティビティ] を選択します。

  2. [フィルターの追加] を選択し、次のパラメーターを定義します。

    パラメーター 説明
    パラメーター Log Sources [Indexed]
    [オペレーター] Equals
    [ログ ソース グループ] Other
    [ログ ソース] <Xsense Name>

  3. Defender for IoT センサーから検出された不明なレポートを見つけてダブルクリックします。

  4. [イベントのマップ] を選択します。

  5. [Modal Log Source Event] (モーダル ログ ソース イベント) ページで、次のように選択します。

    • [High-Level Category] (高レベルのカテゴリ): [疑わしいアクティビティ] + [Low-Level Category] (低レベルのカテゴリ) - [Unknown Suspicious Event] (不明な疑わしいイベント) + [ログ]
    • [ソースの種類]: 任意

  6. [Search] を選択します。

  7. 結果から、名前 XSense が現れる行を選択し、[OK] を選択します。

すべてのセンサー レポートは今後、センサー アラートとしてタグ付けされます。

QRadar に、次の新しいフィールドが表示されます。

  • UUID:一意のアラート識別子 (1-1555245116250 など)。

  • サイト:アラートが検出されたサイト。

  • Zone:アラートが検出されたゾーン。

次に例を示します。

<9>May 5 12:29:23 sensor_Agent LEEF:1.0|CyberX|CyberX platform|2.5.0|CyberX platform Alert|devTime=May 05 2019 15:28:54 devTimeFormat=MMM dd yyyy HH:mm:ss sev=2 cat=XSense Alerts title=Device is Suspected to be Disconnected (Unresponsive) score=81 reporter=192.168.219.50 rta=0 alertId=6 engine=Operational senderName=sensor Agent UUID=5-1557059334000 site=Site zone=Zone actions=handle dst=192.168.2.2 dstName=192.168.2.2 msg=Device 192.168.2.2 is suspected to be disconnected (unresponsive).

注意

QRadar 用に作成する転送ルールでは、オンプレミス管理コンソールの UUID API が使用されます。 詳細については、「UUID (UUID に基づいてアラートを管理する)」を参照してください。

アラートにカスタム フィールドを追加する

アラートにカスタム フィールドを追加するには:

  1. [プロパティの抽出] を選択します。

  2. [Regex ベース] を選択します。

  3. 次のフィールドを構成します。

    パラメーター 説明
    新しいプロパティ 次のいずれかです。

    - センサー アラートの説明
    - センサー アラート ID
    - センサー アラートのスコア
    - センサー アラートのタイトル
    - センサーの宛先名
    - センサーの直接リダイレクト
    - センサーの送信者 IP
    - センサーの送信者名
    - センサー アラート エンジン
    - センサー ソース デバイス名
    [解析の最適化] オンにします。
    フィールドの型 AlphaNumeric
    有効 オンにします。
    [ログ ソースの種類] Universal LEAF
    [ログ ソース] <Sensor Name>
    イベント名 "センサー アラート" として既に設定されている必要があります
    キャプチャ グループ 1
    Regex 以下を定義します。

    - センサー アラートの説明の正規表現: msg=(.*)(?=\t)
    - センサー アラート ID の正規表現: alertId=(.*)(?=\t)
    - センサー アラートのスコアの正規表現: Detected score=(.*)(?=\t)
    - センサー アラートのタイトルの正規表現: title=(.*)(?=\t)
    - センサーの宛先名の正規表現: dstName=(.*)(?=\t)
    - センサーの直接リダイレクトの正規表現: rta=(.*)(?=\t)
    - センサーの送信者 IP の正規表現: reporter=(.*)(?=\t)
    - センサーの送信者名の正規表現: senderName=(.*)(?=\t)
    - センサー アラート エンジンの正規表現: engine =(.*)(?=\t)
    - センサー ソース デバイス名の正規表現: src

次のステップ

Microsoft およびパートナーのサービスと統合する