Integre o Qradar com o Microsoft Defender para IoT

Este artigo descreve como integrar o Microsoft Defender para IoT com o QRadar.

A integração com o QRadar suporta:

• Encaminhando alertas do Defender for IoT para o IBM QRadar para monitoramento e governança unificados de segurança de TI e OT.

• Uma visão geral dos ambientes de TI e OT, permitindo que você detete e responda a ataques em vários estágios que muitas vezes cruzam os limites de TI e OT.

• Integração com fluxos de trabalho SOC existentes.

Pré-requisitos

• Acesso a um sensor OT do Defender for IoT como usuário Admin. Para obter mais informações, consulte Usuários e funções locais para monitoramento de OT com o Defender for IoT.

• Acesso a um console de gerenciamento local do Defender for IoT OT como um usuário Admin. Para obter mais informações, consulte Usuários e funções locais para monitoramento de OT com o Defender for IoT.

• Acesso à área de administração do QRadar.

Configurar o ouvinte Syslog para QRadar

Para configurar o ouvinte Syslog para trabalhar com QRadar:

1. Entre no QRadar e selecione Fontes de dados do administrador>.

2. Na janela Fontes de Dados, selecione Fontes de Log.

3. Na janela Modal, selecione Adicionar.

4. Na caixa de diálogo Adicionar uma fonte de log, defina os seguintes parâmetros:

   Parâmetro	Description
   Nome da fonte do log	<Sensor name>
   Descrição da fonte do log	<Sensor name>
   Tipo de origem do log	Universal LEEF
   Configuração do Protocolo	Syslog
   Identificador de origem de log	<Sensor name>

   Nota

   O nome do Identificador de Origem do Log não deve incluir espaços em branco. Recomendamos substituir quaisquer espaços em branco por um sublinhado.

5. Selecione Salvar e, em seguida , Implantar alterações.

Implantar um QID do Defender for IoT

Um QID é um identificador de evento QRadar. Como todos os relatórios do Defender for IoT são marcados sob o mesmo evento Sensor Alert, você pode usar o mesmo QID para esses eventos no QRadar.

Para implantar um QID do Defender for IoT:

1. Inicie sessão na consola QRadar.

2. Crie um ficheiro com o nome xsense_qids.

3. No arquivo, use o seguinte comando: ,XSense Alert,XSense Alert Report From <XSense Name>,5,7001.

4. Execução: sudo /opt/qradar/bin/qidmap_cli.sh -i -f <path>/xsense_qids.

   Uma mensagem de confirmação é exibida, indicando que o QID foi implantado com êxito.

Criar regras de encaminhamento do QRadar

Crie uma regra de encaminhamento a partir do console de gerenciamento local para encaminhar alertas para o QRadar.

As regras de alerta de encaminhamento são executadas somente em alertas acionados após a criação da regra de encaminhamento. A regra não afeta nenhum alerta já existente no sistema anterior à criação da regra de encaminhamento.

O código a seguir é um exemplo de uma carga útil enviada para o QRadar:

<9>May 5 12:29:23 sensor_Agent LEEF:1.0|CyberX|CyberX platform|2.5.0|CyberX platform Alert|devTime=May 05 2019 15:28:54 devTimeFormat=MMM dd yyyy HH:mm:ss sev=2 cat=XSense Alerts title=Device is Suspected to be Disconnected (Unresponsive) score=81 reporter=192.168.219.50 rta=0 alertId=6 engine=Operational senderName=sensor Agent UUID=5-1557059334000 site=Site zone=Zone actions=handle dst=192.168.2.2 dstName=192.168.2.2 msg=Device 192.168.2.2 is suspected to be disconnected (unresponsive).

Ao configurar a regra de encaminhamento:

1. Na área Ações, selecione Qradar.

2. Insira os detalhes do host, porta e fuso horário do QRadar.

3. Opcionalmente, selecione para habilitar a criptografia e, em seguida, configure a criptografia e/ou selecione para gerenciar alertas externamente.

Para obter mais informações, consulte Encaminhar informações de alerta de OT local.

Mapear notificações para QRadar

1. Inicie sessão na sua consola QRadar e selecione QRadar>Log Activity .

2. Selecione Adicionar filtro e defina os seguintes parâmetros:

   Parâmetro	Description
   Parâmetro	Log Sources [Indexed]
   Operador	Equals
   Grupo de origem do log	Other
   Origem do log	<Xsense Name>

3. Localize um relatório desconhecido detetado no sensor do Defender for IoT e clique duas vezes nele.

4. Selecione Mapear evento.

5. Na página Evento de origem do log modal, selecione:

   • Categoria de Alto Nível: Atividade Suspeita + Categoria de Nível Baixo - Evento Suspeito Desconhecido + Log
   • Tipo de fonte: Qualquer

6. Selecionar Procurar.

7. Nos resultados, selecione a linha na qual o nome XSense aparece e selecione OK.

Todos os relatórios de sensores a partir de agora são marcados como Alertas de sensor.

Os seguintes novos campos aparecem no QRadar:

• UUID: identificador de alerta exclusivo, como 1-1555245116250.

• Site: o site onde o alerta foi descoberto.

• Zona: A zona onde o alerta foi descoberto.

Por exemplo:

<9>May 5 12:29:23 sensor_Agent LEEF:1.0|CyberX|CyberX platform|2.5.0|CyberX platform Alert|devTime=May 05 2019 15:28:54 devTimeFormat=MMM dd yyyy HH:mm:ss sev=2 cat=XSense Alerts title=Device is Suspected to be Disconnected (Unresponsive) score=81 reporter=192.168.219.50 rta=0 alertId=6 engine=Operational senderName=sensor Agent UUID=5-1557059334000 site=Site zone=Zone actions=handle dst=192.168.2.2 dstName=192.168.2.2 msg=Device 192.168.2.2 is suspected to be disconnected (unresponsive).

Nota

A regra de encaminhamento que você cria para o QRadar usa a UUID API do console de gerenciamento local. Para obter mais informações, consulte UUID (Gerenciar alertas com base no UUID).

Adicionar campos personalizados aos alertas

Para adicionar campos personalizados a alertas:

1. Selecione Extrair propriedade.

2. Selecione Baseado em Regex.

3. Configure os seguintes campos:

   Parâmetro	Description
   Propriedade Nova	Um dos seguintes: - Descrição do Alerta do Sensor - ID de alerta do sensor - Pontuação de Alerta do Sensor - Título do Sensor Alert - Nome do Destino do Sensor - Redirecionamento direto do sensor - Sensor Sender IP - Nome do remetente do sensor - Motor de Alerta de Sensores - Nome do dispositivo de origem do sensor
   Otimizar a análise	Confira.
   Tipo de campo	AlphaNumeric
   Ativado	Confira.
   Tipo de origem do log	Universal LEAF
   Origem do log	<Sensor Name>
   Nome do evento	Já deve estar definido como Sensor Alert
   Grupo de Captura	1
   Regex	Defina o seguinte: - Descrição do Alerta do Sensor RegEx: msg=(.*)(?=\t) - Sensor Alert ID RegEx: alertId=(.*)(?=\t) - Sensor Alert Score RegEx: Detected score=(.*)(?=\t) - Sensor Alert Título RegEx: title=(.*)(?=\t) - Nome de destino do sensor RegEx: dstName=(.*)(?=\t) - Redirecionamento direto do sensor RegEx: rta=(.*)(?=\t) - IP do emissor do sensor: RegEx: reporter=(.*)(?=\t) - Nome do remetente do sensor RegEx: senderName=(.*)(?=\t) - Sensor Alert Engine RegEx: engine =(.*)(?=\t) - Nome do dispositivo de origem do sensor RegEx: src

Próximos passos

Integrações com a Microsoft e serviços de parceiros