Integrar o Qradar ao Microsoft Defender para IoT

Este artigo descreve como integrar o Microsoft Defender para IoT ao QRadar.

A integração com o QRadar dá suporte a:

• Encaminhar alertas do Azure Defender para IoT para o IBM QRadar para a IT unificada e o monitoramento de segurança de OT e governança.

• Um visão geral dos ambientes de TI e OT, permitindo que você detecte e responda a ataques de várias fases que geralmente cruzam os limites de TI e OT.

• Integrar aos fluxos de trabalho existentes do SOC.

Pré-requisitos

• Acesso a um sensor do Defender para IoT OT como um usuário administrador. Para obter mais informações, confira Usuários locais e funções para monitoramento de OT com o Defender para IoT.

• Acesso ao console de gerenciamento local de OT do Defender para IoT como um usuário administrador. Para obter mais informações, confira Usuários locais e funções para monitoramento de OT com o Defender para IoT.

• Acesso à área de administração do QRadar.

Configurar o ouvinte do Syslog para o QRadar

Para configurar o ouvinte do Syslog para trabalhar com o QRadar:

1. Entre no QRadar e selecione Administração>Fontes de Dados.

2. Na janela Fontes de Dados, selecione Fontes de Log.

3. Na janela Modal, selecione Adicionar.

4. Na caixa de diálogo Adicionar uma origem de log, defina os seguintes parâmetros:

   Parâmetro	Descrição
   Nome da Origem de Log	<Sensor name>
   Descrição da Origem de Log	<Sensor name>
   Tipo de Origem de Log	Universal LEEF
   Configuração de Protocolo	Syslog
   Identificador da Origem de Log	<Sensor name>

   Observação

   O nome do Identificador da Origem de Log não deve incluir espaços em branco. É recomendável substituir espaços em branco por um sublinhado.

5. Selecione Salvar e, em seguida Implantar Alterações.

Implantar um QID do Defender para IoT

Um QID é um identificador de evento QRadar. Como todos os relatórios do Defender para IoT são marcados sob o mesmo evento alerta de Alerta do Sensor, use o mesmo QID para esses eventos no QRadar.

Para implantar o QID do Defender para IoT:

1. Entre no console do QRadar.

2. Crie um arquivo chamado xsense_qids.

3. No arquivo, use o seguinte comando: ,XSense Alert,XSense Alert Report From <XSense Name>,5,7001.

4. Execute: sudo /opt/qradar/bin/qidmap_cli.sh -i -f <path>/xsense_qids.

   Uma mensagem de confirmação é exibida, indicando que o QID foi implantado com êxito.

Criar regras de encaminhamento do QRadar

Crie uma regra de encaminhamento do console de gerenciamento local para encaminhar alertas para o QRadar.

As regras de alerta de encaminhamento são executadas somente em alertas disparados após a criação da regra de encaminhamento. A regra não afeta nenhum alerta já existente no sistema antes da criação da regra de encaminhamento.

O código a seguir é um exemplo de conteúdo enviado ao QRadar:

<9>May 5 12:29:23 sensor_Agent LEEF:1.0|CyberX|CyberX platform|2.5.0|CyberX platform Alert|devTime=May 05 2019 15:28:54 devTimeFormat=MMM dd yyyy HH:mm:ss sev=2 cat=XSense Alerts title=Device is Suspected to be Disconnected (Unresponsive) score=81 reporter=192.168.219.50 rta=0 alertId=6 engine=Operational senderName=sensor Agent UUID=5-1557059334000 site=Site zone=Zone actions=handle dst=192.168.2.2 dstName=192.168.2.2 msg=Device 192.168.2.2 is suspected to be disconnected (unresponsive).

Ao configurar a regra de encaminhamento:

1. Na área Ações, selecione Qradar.

2. Insira detalhes sobre o host, a porta e o fuso horário do QRadar.

3. Opcionalmente, selecione para habilitar a criptografia e, em seguida, configure a criptografia e/ou selecione para gerenciar alertas externamente.

Para obter mais informações, confira Encaminhar informações de alerta de OT local.

Mapear notificações para o QRadar

1. Entre no console do QRadar e selecione QRadar>Atividade do Log.

2. Selecione Adicionar Filtro e defina os seguintes parâmetros:

   Parâmetro	Descrição
   Parâmetro	Log Sources [Indexed]
   Operador	Equals
   Grupo de Origem do Log	Other
   Origem do Log	<Xsense Name>

3. Localize um relatório desconhecido detectado no sensor do Defender para IoT e clique duas vezes nele.

4. Selecione Mapear Evento.

5. Na página Evento de Origem do Log Modal, selecione:

   • Categoria de Alto Nível: Atividade Suspeita + Categoria de Baixo Nível – Evento Suspeito Desconhecido + Log
   • Tipo de Origem: Qualquer

6. Selecione Pesquisar.

7. Nos resultados, selecione a linha na qual o nome XSense aparece e selecione OK.

A partir de agora, todos os relatórios do sensor são marcados como Alertas do Sensor.

Os seguintes novos campos aparecem no QRadar:

• UUID: identificador de alerta exclusivo, como 1-1555245116250.

• Site: o site em que o alerta foi descoberto.

• Zone: a zona em que o alerta foi descoberto.

Por exemplo:

<9>May 5 12:29:23 sensor_Agent LEEF:1.0|CyberX|CyberX platform|2.5.0|CyberX platform Alert|devTime=May 05 2019 15:28:54 devTimeFormat=MMM dd yyyy HH:mm:ss sev=2 cat=XSense Alerts title=Device is Suspected to be Disconnected (Unresponsive) score=81 reporter=192.168.219.50 rta=0 alertId=6 engine=Operational senderName=sensor Agent UUID=5-1557059334000 site=Site zone=Zone actions=handle dst=192.168.2.2 dstName=192.168.2.2 msg=Device 192.168.2.2 is suspected to be disconnected (unresponsive).

Observação

A regra de encaminhamento criada para o QRadar usa a API UUID do console de gerenciamento local. Para mais informações, confira UUID (Gerenciar alertas com base na UUID).

Adicionar campos personalizados aos alertas

Para adicionar campos personalizados a alertas:

1. Selecione Extrair Propriedade.

2. Selecione Baseado em Regex.

3. Configure os seguintes campos:

   Parâmetro	Descrição
   Propriedade Nova	Um dos seguintes: - Descrição do Alerta do Sensor - ID do Alerta do Sensor - Pontuação do Alerta do Sensor - Título do Alerta do Sensor - Nome do Destino do Sensor - Redirecionamento Direto do Sensor - IP do Remetente do Sensor - Nome do Remetente do Sensor - Mecanismo do Alerta do Sensor - Nome do Dispositivo de Origem do Sensor
   Otimizar análise	Verificar.
   Tipo de campo	AlphaNumeric
   Enabled	Verificar.
   Tipo de Origem de Log	Universal LEAF
   Origem do Log	<Sensor Name>
   Nome do Evento	Já deve estar definido como Alerta do Sensor
   Grupo de captura	1
   Regex	Defina o seguinte: - RegEx da Descrição do Alerta do Sensor: msg=(.*)(?=\t) - RegEx da ID do Alerta do Sensor: alertId=(.*)(?=\t) - RegEx da Pontuação do Alerta do Sensor: Detected score=(.*)(?=\t) - RegEx do Título do Alerta do Sensor: title=(.*)(?=\t) - RegEx do Nome do Destino do Sensor: dstName=(.*)(?=\t) - RegEx do Redirecionamento Direto do Sensor: rta=(.*)(?=\t) - RegEx do IP do Remetente do Sensor: reporter=(.*)(?=\t) - RegEx do Nome do Remetente do Sensor: senderName=(.*)(?=\t) - RegEx do Mecanismo de Alerta do Sensor: engine =(.*)(?=\t) - RegEx do Nome do Dispositivo de Origem do Sensor: src

Próximas etapas

Integrações com serviços da Microsoft e de parceiros