Поделиться через

Интеграция QRadar с Microsoft Defender для Интернета вещей

  • Статья

В этой статье описывается интеграция Microsoft Defender для Интернета вещей с QRadar.

Интеграция с QRadar поддерживает:

  • Переадресация оповещений Defender для Интернета вещей в IBM QRadar для единого МОНИТОРИНГА и управления безопасностью OT.

  • Обзор сред ИТ и OT, позволяющий обнаруживать и реагировать на многоэтапные атаки, которые часто пересекают границы ИТ и OT.

  • Интеграция с существующими рабочими процессами SOC.

Необходимые компоненты

Настройка прослушивателя Syslog для QRadar

Чтобы настроить прослушиватель Syslog для работы с QRadar, выполните следующие действия:

  1. Войдите в QRadar и выберите "Источники данных администратора>".

  2. В окне Data Sources (Источники данных) выберите Log Sources (Источники журналов).

  3. В модальном окне выберите Add (Добавить).

  4. В диалоговом окне "Добавление источника журнала" определите следующие параметры:

    Параметр Описание
    Имя источника журнала <Sensor name>
    Описание источника журнала <Sensor name>
    Тип источника журнала Universal LEEF
    Конфигурация протокола Syslog
    Идентификатор источника журнала <Sensor name>

    Примечание.

    Имя идентификатора источника журнала не должно содержать пробелы. Рекомендуется заменить пробелы подчеркиванием.

  5. Выберите "Сохранить" и "Развернуть изменения".

Развертывание QID Defender для Интернета вещей

QID — это идентификатор события QRadar. Так как все отчеты Defender для Интернета вещей помечены по одному и тому же событию оповещения датчика, вы можете использовать один и тот же QID для этих событий в QRadar.

Чтобы развернуть QID Defender для Интернета вещей, выполните приведенные действия.

  1. Войдите в консоль QRadar.

  2. Создайте файл с именем xsense_qids.

  3. В файле используйте следующую команду: ,XSense Alert,XSense Alert Report From <XSense Name>,5,7001

  4. Выполните команду sudo /opt/qradar/bin/qidmap_cli.sh -i -f <path>/xsense_qids.

    Появится сообщение подтверждения, указывающее, что QID был развернут успешно.

Создание правил пересылки QRadar

Создайте правило пересылки с датчика OT для пересылки оповещений в QRadar.

Правила переадресации оповещений выполняются только при активации оповещений после создания правила пересылки. Правило не влияет на оповещения, уже существующие в системе до создания правила пересылки.

Следующий код является примером полезных данных, отправляемых в QRadar:

<9>May 5 12:29:23 sensor_Agent LEEF:1.0|CyberX|CyberX platform|2.5.0|CyberX platform Alert|devTime=May 05 2019 15:28:54 devTimeFormat=MMM dd yyyy HH:mm:ss sev=2 cat=XSense Alerts title=Device is Suspected to be Disconnected (Unresponsive) score=81 reporter=192.168.219.50 rta=0 alertId=6 engine=Operational senderName=sensor Agent UUID=5-1557059334000 site=Site zone=Zone actions=handle dst=192.168.2.2 dstName=192.168.2.2 msg=Device 192.168.2.2 is suspected to be disconnected (unresponsive).

При настройке правила пересылки:

  1. В области "Действия" выберите Qradar.

  2. Введите сведения о узле QRadar, порту и часовом поясе.

  3. При необходимости выберите для включения шифрования, а затем настройте шифрование и (или) выберите для управления оповещениями вне системы.

Дополнительные сведения см. в разделе "Переадресация локальных оповещений OT".

Сопоставление уведомлений для QRadar

  1. Войдите в консоль QRadar и выберите действие журнала QRadar>.

  2. Выберите " Добавить фильтр" и определите следующие параметры:

    Параметр Описание
    Параметр Log Sources [Indexed]
    Оператор Equals
    Группа источника журнала Other
    Log Source <Xsense Name>

  3. Найдите неизвестный отчет, обнаруженный на датчике Defender для Интернета вещей, и дважды щелкните его.

  4. Выберите Map Event (Сопоставить событие).

  5. На странице "Модальный источник журнала" выберите:

    • Категория высокого уровня: подозрительное действие + категория низкого уровня — неизвестное подозрительное событие и журнал
    • Тип источника: любой

  6. Нажмите Поиск.

  7. В результатах выберите строку, в которой отображается имя XSense, и нажмите кнопку "ОК".

С этого момента все отчеты датчика будут отмечены как оповещения датчика.

В QRadar отображаются следующие новые поля:

  • UUID: уникальный идентификатор оповещения, например 1-1555245116250.

  • Site: сайт, на котором было обнаружено оповещение.

  • Zone: зона, в которой было обнаружено оповещение.

Рассмотрим пример.

<9>May 5 12:29:23 sensor_Agent LEEF:1.0|CyberX|CyberX platform|2.5.0|CyberX platform Alert|devTime=May 05 2019 15:28:54 devTimeFormat=MMM dd yyyy HH:mm:ss sev=2 cat=XSense Alerts title=Device is Suspected to be Disconnected (Unresponsive) score=81 reporter=192.168.219.50 rta=0 alertId=6 engine=Operational senderName=sensor Agent UUID=5-1557059334000 site=Site zone=Zone actions=handle dst=192.168.2.2 dstName=192.168.2.2 msg=Device 192.168.2.2 is suspected to be disconnected (unresponsive).

Примечание.

Правило пересылки, создаваемое для QRadar, использует UUID API из датчика OT. Дополнительные сведения см. в разделе UUID (Управление оповещениями на основе UUID).

Добавление настраиваемых полей в оповещения

Порядок добавления настраиваемых полей в оповещения:

  1. Выберите Extract Property (Извлечь свойство).

  2. Выберите Regex Based (На основе регулярного выражения).

  3. Задайте значения в следующих полях:

    Параметр Описание
    Новое свойство Одно из следующих элементов:

    — Описание оповещения датчика
    — Идентификатор оповещения датчика
    - Оценка оповещений датчика
    — Заголовок оповещения датчика
    — Имя назначения датчика
    - Прямой перенаправление датчика
    — IP-адрес отправителя датчика
    — Имя отправителя датчика
    — Обработчик оповещений датчика
    — Имя исходного устройства датчика
    Оптимизация синтаксического анализа Проверьте.
    Тип поля AlphaNumeric
    Включено Проверьте.
    Тип источника журнала Universal LEAF
    Log Source <Sensor Name>
    Имя события Должно быть уже задано как оповещение датчика
    Группа захвата 1
    Регулярное выражение Определите следующее:

    — Описание оповещений датчика RegEx: msg=(.*)(?=\t)
    — Идентификатор оповещений датчика RegEx: alertId=(.*)(?=\t)
    - Оценка оповещений датчика: Detected score=(.*)(?=\t)
    — Заголовок оповещения датчика RegEx: title=(.*)(?=\t)
    — Имя назначения датчика RegEx: dstName=(.*)(?=\t)
    - Direct Redirect RegEx датчика: rta=(.*)(?=\t)
    — IP-адрес отправителя датчика: RegEx: reporter=(.*)(?=\t)
    — Имя отправителя датчика RegEx: senderName=(.*)(?=\t)
    — Обработчик оповещений датчика: engine =(.*)(?=\t)
    — Имя исходного устройства датчика RegEx: src

Следующие шаги

Интеграция с microsoft и партнерскими службами