Integrera Qradar med Microsoft Defender för IoT
I den här artikeln beskrivs hur du integrerar Microsoft Defender för IoT med QRadar.
Integrering med QRadar stöder:
Vidarebefordra Defender för IoT-aviseringar till IBM QRadar för enhetlig övervakning och styrning av IT- och OT-säkerhet.
En översikt över både IT- och OT-miljöer, så att du kan identifiera och svara på attacker i flera steg som ofta korsar IT- och OT-gränser.
Integrera med befintliga SOC-arbetsflöden.
Förutsättningar
Åtkomst till en Defender for IoT OT-sensor som administratörsanvändare. Mer information finns i Lokala användare och roller för OT-övervakning med Defender för IoT.
Åtkomst till en lokal hanteringskonsol för Defender for IoT OT som administratörsanvändare. Mer information finns i Lokala användare och roller för OT-övervakning med Defender för IoT.
Åtkomst till området QRadar-administratör.
Konfigurera Syslog-lyssnare för QRadar
Så här konfigurerar du Syslog-lyssnaren så att den fungerar med QRadar:
Logga in på QRadar och välj Administratörsdatakällor>.
I fönstret Datakällor väljer du Loggkällor.
I fönstret Modal väljer du Lägg till.
I dialogrutan Lägg till en loggkälla definierar du följande parametrar:
Parameter Beskrivning Namn på loggkälla <Sensor name>Beskrivning av loggkälla <Sensor name>Typ av loggkälla Universal LEEFProtokollkonfiguration SyslogIdentifierare för loggkälla <Sensor name>Kommentar
Namnet på loggkällans identifierare får inte innehålla blanksteg. Vi rekommenderar att du ersätter eventuella blanksteg med ett understreck.
Välj Spara och sedan Distribuera ändringar.
Distribuera ett Defender for IoT QID
Ett QID är en QRadar-händelseidentifierare. Eftersom alla Defender för IoT-rapporter taggas under samma sensoraviseringshändelse kan du använda samma QID för dessa händelser i QRadar.
Så här distribuerar du ett Defender for IoT QID:
Logga in på QRadar-konsolen.
Skapa en fil som heter
xsense_qids.I filen använder du följande kommando:
,XSense Alert,XSense Alert Report From <XSense Name>,5,7001.Kör:
sudo /opt/qradar/bin/qidmap_cli.sh -i -f <path>/xsense_qids.Ett bekräftelsemeddelande visas som anger att QID har distribuerats.
Skapa QRadar-vidarebefordransregler
Skapa en vidarebefordringsregel från din lokala hanteringskonsol för att vidarebefordra aviseringar till QRadar.
Vidarebefordran av aviseringsregler körs endast på aviseringar som utlöses när vidarebefordringsregeln har skapats. Regeln påverkar inte några aviseringar som redan finns i systemet från innan vidarebefordringsregeln skapades.
Följande kod är ett exempel på en nyttolast som skickas till QRadar:
<9>May 5 12:29:23 sensor_Agent LEEF:1.0|CyberX|CyberX platform|2.5.0|CyberX platform Alert|devTime=May 05 2019 15:28:54 devTimeFormat=MMM dd yyyy HH:mm:ss sev=2 cat=XSense Alerts title=Device is Suspected to be Disconnected (Unresponsive) score=81 reporter=192.168.219.50 rta=0 alertId=6 engine=Operational senderName=sensor Agent UUID=5-1557059334000 site=Site zone=Zone actions=handle dst=192.168.2.2 dstName=192.168.2.2 msg=Device 192.168.2.2 is suspected to be disconnected (unresponsive).
När du konfigurerar vidarebefordringsregeln:
I området Åtgärder väljer du Qradar.
Ange information för QRadar-värden, porten och tidszonen.
Du kan också välja att aktivera kryptering och sedan konfigurera kryptering och/eller välja att hantera aviseringar externt.
Mer information finns i Vidarebefordra information om lokala OT-aviseringar.
Mappa meddelanden till QRadar
Logga in på QRadar-konsolen och välj QRadar-loggaktivitet> .
Välj Lägg till filter och definiera följande parametrar:
Parameter Beskrivning Parameter Log Sources [Indexed]Operator EqualsLoggkällagrupp OtherLoggkälla <Xsense Name>Leta upp en okänd rapport som identifierats från Defender for IoT-sensorn och dubbelklicka på den.
Välj Mappa händelse.
På sidan Händelse för modal loggkälla väljer du:
- Kategori på hög nivå: Misstänkt aktivitet + lågnivåkategori – Okänd misstänkt händelse + logg
- Källtyp: Alla
Välj Sök.
I resultatet väljer du den rad där namnet XSense visas och väljer OK.
Alla sensorrapporter från och med nu är taggade som sensoraviseringar.
Följande nya fält visas i QRadar:
UUID: Unik aviseringsidentifierare, till exempel 1–1555245116250.
Webbplats: Platsen där aviseringen upptäcktes.
Zon: Zonen där aviseringen upptäcktes.
Till exempel:
<9>May 5 12:29:23 sensor_Agent LEEF:1.0|CyberX|CyberX platform|2.5.0|CyberX platform Alert|devTime=May 05 2019 15:28:54 devTimeFormat=MMM dd yyyy HH:mm:ss sev=2 cat=XSense Alerts title=Device is Suspected to be Disconnected (Unresponsive) score=81 reporter=192.168.219.50 rta=0 alertId=6 engine=Operational senderName=sensor Agent UUID=5-1557059334000 site=Site zone=Zone actions=handle dst=192.168.2.2 dstName=192.168.2.2 msg=Device 192.168.2.2 is suspected to be disconnected (unresponsive).
Kommentar
Vidarebefordringsregeln som du skapar för QRadar använder API:et UUID från den lokala hanteringskonsolen. Mer information finns i UUID (Hantera aviseringar baserat på UUID).
Lägga till anpassade fält i aviseringarna
Så här lägger du till anpassade fält i aviseringar:
Välj Extrahera egenskap.
Välj Regex-baserad.
Konfigurera följande fält:
Parameter Beskrivning Ny egenskap Något av följande:
– Beskrivning av sensoravisering
– Sensoraviserings-ID
– Sensoraviseringspoäng
- Sensoraviseringsrubrik
– Sensormålnamn
– Direktomdirigering av sensor
– IP-adress för sensorsändare
- Sensorsändarnamn
– Sensoraviseringsmotor
– Enhetsnamn för sensorkällaOptimera parsning Kolla. Fälttyp AlphaNumericAktiverad Kolla. Typ av loggkälla Universal LEAFLoggkälla <Sensor Name>Händelsenamn Bör redan ha angetts som sensoravisering Insamlingsgrupp 1 Regex Definiera följande:
– Beskrivning av sensoravisering RegEx:msg=(.*)(?=\t)
– RegEx för sensoraviserings-ID:alertId=(.*)(?=\t)
– RegEx för sensoraviseringspoäng:Detected score=(.*)(?=\t)
– RegEx för sensoraviseringsrubrik:title=(.*)(?=\t)
– RegEx för sensormålnamn:dstName=(.*)(?=\t)
– RegEx för sensordirigering:rta=(.*)(?=\t)
- Sensorsändar-IP: RegEx:reporter=(.*)(?=\t)
- Sensorsändarnamn RegEx:senderName=(.*)(?=\t)
– RegEx för sensoraviseringsmotorn:engine =(.*)(?=\t)
– RegEx för sensorkällans enhetsnamn:src