你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
将 Qradar 与 Microsoft Defender for IoT 集成
本文介绍如何将 Microsoft Defender for IoT 与 QRadar 集成。
与 QRadar 集成支持:
将 Defender for IoT 警报转发到 IBM QRadar,以实现统一的 IT 和 OT 安全监视以及治理。
IT 和 OT 环境概述,让你能够检测和响应经常横跨 IT 和 OT 边界的多阶段攻击。
与现有 SOC 工作流集成。
先决条件
以管理员用户身份访问 Defender for IoT OT 传感器。 有关详细信息,请参阅使用 Defender for IoT 进行 OT 监视的本地用户和角色。
访问 QRadar 管理员区域。
为 QRadar 配置 Syslog 侦听器
若要配置 Syslog 侦听器以使用 QRadar,请执行以下操作:
登录到 QRadar 并选择“管理”>“数据源”。
在“数据源”窗口中,选择“日志源”。
在“模态”窗口中,选择“添加” 。
在“添加日志源”对话框中,定义以下参数:
参数 说明 日志源名称 <Sensor name>日志源说明 <Sensor name>日志源类型 Universal LEEF协议配置 Syslog日志源标识符 <Sensor name>注意
日志源标识符名称不得包含空格。 建议将任何空格替换为下划线。
选择“保存”,然后选择“部署更改”。
部署 Defender for IoT QID
QID 为 QRadar 事件标识符。 由于所有 Defender for IoT 报表都标记在同一“传感器警报”事件下,因此可以在 QRadar 中为这些事件使用相同的 QID。
部署 Defender for IoT QID:
登录到 QRadar 控制台。
创建名为
xsense_qids的文件。在文件中,使用以下命令:
,XSense Alert,XSense Alert Report From <XSense Name>,5,7001。运行:
sudo /opt/qradar/bin/qidmap_cli.sh -i -f <path>/xsense_qids。此时会显示一条确认消息,指示已成功部署 QID。
创建 QRadar 转发规则
从 OT 传感器创建转发规则,将警报转发到 QRadar。
转发预警规则仅在创建转发规则后触发的警报上运行。 该规则不会影响创建转发规则之前系统中已有的警报。
以下代码是发送到 QRadar 的有效负载的示例:
<9>May 5 12:29:23 sensor_Agent LEEF:1.0|CyberX|CyberX platform|2.5.0|CyberX platform Alert|devTime=May 05 2019 15:28:54 devTimeFormat=MMM dd yyyy HH:mm:ss sev=2 cat=XSense Alerts title=Device is Suspected to be Disconnected (Unresponsive) score=81 reporter=192.168.219.50 rta=0 alertId=6 engine=Operational senderName=sensor Agent UUID=5-1557059334000 site=Site zone=Zone actions=handle dst=192.168.2.2 dstName=192.168.2.2 msg=Device 192.168.2.2 is suspected to be disconnected (unresponsive).
配置转发规则时:
在“操作”部分中,选择“Qradar”。
输入 QRadar 主机、端口和时区的详细信息。
(可选)选择启用加密,然后配置加密和/或选择在外部管理警报。
有关详细信息,请参阅转发本地 OT 警报信息。
将通知映射到 QRadar
登录到 QRadar 控制台,然后选择“QRadar>日志活动”。
选择“添加筛选器”并定义以下参数:
参数 说明 参数 Log Sources [Indexed]“运算符” Equals日志源组 Other日志源 <Xsense Name>找到从 Defender for IoT 传感器检测到的未知报告,然后双击它。
选择“映射事件”。
在“模态日志源事件”页面,选择:
- 高级类别:可疑活动 + 低级类别 - 未知可疑事件 + 日志
- 源类型:任意
选择“搜索”。
从结果中,选择显示有名称 XSense 的行,然后选择“确定”。
从现在开始,所有传感器报表均标记为传感器警报。
以下新字段显示在 QRadar 中:
UUID:唯一警报标识符,如 1-1555245116250。
站点:发现警报的站点。
区域:发现警报的区域。
例如:
<9>May 5 12:29:23 sensor_Agent LEEF:1.0|CyberX|CyberX platform|2.5.0|CyberX platform Alert|devTime=May 05 2019 15:28:54 devTimeFormat=MMM dd yyyy HH:mm:ss sev=2 cat=XSense Alerts title=Device is Suspected to be Disconnected (Unresponsive) score=81 reporter=192.168.219.50 rta=0 alertId=6 engine=Operational senderName=sensor Agent UUID=5-1557059334000 site=Site zone=Zone actions=handle dst=192.168.2.2 dstName=192.168.2.2 msg=Device 192.168.2.2 is suspected to be disconnected (unresponsive).
注意
为 QRadar 创建的转发规则使用 OT 传感器中的 UUID API。 有关详细信息,请参阅 UUID(基于 UUID 管理警报)。
向警报添加自定义字段
向警报添加自定义字段:
选择“提取属性”。
选择“基于正则表达式”。
配置以下字段:
参数 说明 新属性 以下项之一:
- 传感器警报说明
- 传感器警报 ID
- 传感器警报分数
- 传感器警报标题
- 传感器目标名称
- 传感器直接重定向
- 传感器发送方 IP
- 传感器发送方名称
- 传感器警报引擎
- 传感器源设备名称优化分析 检查开启。 字段类型 AlphaNumeric已启用 检查开启。 日志源类型 Universal LEAF日志源 <Sensor Name>事件名称 应已设为传感器警报 捕获组 1 正则表达式 定义以下内容:
- 传感器警报说明正则表达式:msg=(.*)(?=\t)
- 传感器警报 ID 正则表达式:alertId=(.*)(?=\t)
- 传感器警报分数正则表达式:Detected score=(.*)(?=\t)
- 传感器警报标题正则表达式:title=(.*)(?=\t)
- 传感器目标名称正则表达式:dstName=(.*)(?=\t)
- 传感器直接重定向正则表达式:rta=(.*)(?=\t)
- 传感器发送方 IP 正则表达式:reporter=(.*)(?=\t)
- 传感器发送方名称正则表达式:senderName=(.*)(?=\t)
- 传感器警报引擎正则表达式:engine =(.*)(?=\t)
- 传感器源设备名称正则表达式:src