Integrer Qradar med Microsoft Defender til IoT

I denne artikel beskrives det, hvordan du integrerer Microsoft Defender til IoT med QRadar.

Integration med QRadar understøtter:

• Videresendelse af Defender for IoT-beskeder til IBM QRadar for unified IT- og OT-sikkerhedsovervågning og -styring.

• En oversigt over både it- og ot-miljøer, der giver dig mulighed for at registrere og reagere på angreb i flere faser, der ofte krydser grænser for it og håndkøb.

• Integration med eksisterende SOC-arbejdsprocesser.

Forudsætninger

• Adgang til en Defender for IoT OT-sensor som Administration bruger. Du kan få flere oplysninger under Brugere i det lokale miljø og roller til OT-overvågning med Defender for IoT.

• Adgang til området QRadar Administration.

Konfigurer Syslog-lyttefunktionen for QRadar

Sådan konfigurerer du Syslog-lyttefunktionen til at arbejde med QRadar:

1. Log på QRadar, og vælg Administration>Datakilder.

2. I vinduet Datakilder skal du vælge Logkilder.

3. I vinduet Modal skal du vælge Tilføj.

4. I dialogboksen Tilføj en logkilde skal du definere følgende parametre:

   Parameter	Beskrivelse
   Navn på logkilde	<Sensor name>
   Beskrivelse af logkilde	<Sensor name>
   Logkildetype	Universal LEEF
   Protokolkonfiguration	Syslog
   Logkilde-id	<Sensor name>

   Bemærk!

   Navnet på logkilde-id'et må ikke indeholde mellemrum. Vi anbefaler, at du erstatter blanktegn med et understregningstegn.

5. Vælg Gem, og installer derefter ændringer.

Udrul en Defender til IoT QID

Et QID er et QRadar-hændelses-id. Da alle Defender for IoT-rapporter er mærket under den samme Sensor Alert-hændelse , kan du bruge det samme QID til disse hændelser i QRadar.

Sådan installerer du en Defender til IoT QID:

1. Log på QRadar-konsollen.

2. Opret en fil med navnet xsense_qids.

3. I filen skal du bruge følgende kommando: ,XSense Alert,XSense Alert Report From <XSense Name>,5,7001.

4. Kør: sudo /opt/qradar/bin/qidmap_cli.sh -i -f <path>/xsense_qids.

   Der vises en bekræftelsesmeddelelse, der angiver, at QID'et blev installeret.

Opret regler for videresendelse af QRadar

Opret en videresendelsesregel fra din OT-sensor for at videresende beskeder til QRadar.

Regler for videresendelse af beskeder køres kun på beskeder, der udløses, når videresendelsesreglen er oprettet. Reglen påvirker ikke beskeder, der allerede findes i systemet, før videresendelsesreglen blev oprettet.

Følgende kode er et eksempel på en nyttedata, der er sendt til QRadar:

<9>May 5 12:29:23 sensor_Agent LEEF:1.0|CyberX|CyberX platform|2.5.0|CyberX platform Alert|devTime=May 05 2019 15:28:54 devTimeFormat=MMM dd yyyy HH:mm:ss sev=2 cat=XSense Alerts title=Device is Suspected to be Disconnected (Unresponsive) score=81 reporter=192.168.219.50 rta=0 alertId=6 engine=Operational senderName=sensor Agent UUID=5-1557059334000 site=Site zone=Zone actions=handle dst=192.168.2.2 dstName=192.168.2.2 msg=Device 192.168.2.2 is suspected to be disconnected (unresponsive).

Når du konfigurerer videresendelsesreglen:

1. I området Handlinger skal du vælge Qradar.

2. Angiv oplysninger om QRadar-værten, -porten og -tidszonen.

3. Du kan også vælge at aktivere kryptering og derefter konfigurere kryptering og/eller vælge at administrere beskeder eksternt.

Du kan få flere oplysninger under Videresend beskedoplysninger om OT i det lokale miljø.

Knyt meddelelser til QRadar

1. Log på QRadar-konsollen, og vælg QRadar>Log Activity .

2. Vælg Tilføj filter, og definer følgende parametre:

   Parameter	Beskrivelse
   Parameter	Log Sources [Indexed]
   Operatør	Equals
   Logkildegruppe	Other
   Logkilde	<Xsense Name>

3. Find en ukendt rapport, der er registreret fra Defender for IoT-sensoren, og dobbeltklik på den.

4. Vælg Korthændelse.

5. På siden Hændelse for modal logkilde skal du vælge:

   • Kategori på højt niveau: Mistænkelig aktivitet + Low-Level kategori – Ukendt mistænkelig hændelse + log
   • Kildetype: Enhver

6. Vælg Søg.

7. Vælg den linje, hvor navnet XSense vises, i resultaterne, og vælg OK.

Alle sensorrapporter fra nu af er mærket som sensorbeskeder.

Følgende nye felter vises i QRadar:

• UUID: Entydigt besked-id, f.eks. 1-1555245116250.

• Websted: Det websted, hvor beskeden blev fundet.

• Zone: Den zone, hvor beskeden blev fundet.

Det kan f.eks. være:

<9>May 5 12:29:23 sensor_Agent LEEF:1.0|CyberX|CyberX platform|2.5.0|CyberX platform Alert|devTime=May 05 2019 15:28:54 devTimeFormat=MMM dd yyyy HH:mm:ss sev=2 cat=XSense Alerts title=Device is Suspected to be Disconnected (Unresponsive) score=81 reporter=192.168.219.50 rta=0 alertId=6 engine=Operational senderName=sensor Agent UUID=5-1557059334000 site=Site zone=Zone actions=handle dst=192.168.2.2 dstName=192.168.2.2 msg=Device 192.168.2.2 is suspected to be disconnected (unresponsive).

Føj brugerdefinerede felter til beskederne

Sådan føjer du brugerdefinerede felter til beskeder:

1. Vælg Udtræk egenskab.

2. Vælg Regex-baseret.

3. Konfigurer følgende felter:

   Parameter	Beskrivelse
   Ny egenskab	Et af følgende: - Beskrivelse af sensoradvarsel - Besked-id for sensor - Score for sensoradvarsel - Beskedtitel for sensor - Destinationsnavn for sensor - Direkte sensoromdirigering - Følerens IP-adresse - Navn på sensorens afsender - Sensoradvarselsprogram - Navn på sensorkildeenhed
   Optimer fortolkning	Se til.
   Felttype	AlphaNumeric
   Aktiveret	Se til.
   Logkildetype	Universal LEAF
   Logkilde	<Sensor Name>
   Hændelsesnavn	Skal allerede være angivet som sensoradvarsel
   Hent gruppe	1
   Regex	Definer følgende: - RegEx med beskrivelse af sensoradvarsel: msg=(.*)(?=\t) - RegEx for sensorbesked-id: alertId=(.*)(?=\t) - RegEx for sensorbeskedscore: Detected score=(.*)(?=\t) - RegEx for sensorbeskedtitel: title=(.*)(?=\t) - RegEx for sensordestinationsnavn: dstName=(.*)(?=\t) - RegEx til direkte sensoromdirigering: rta=(.*)(?=\t) - Sensor afsender IP: RegEx: reporter=(.*)(?=\t) - Navn på regex for sensorafsender: senderName=(.*)(?=\t) - RegEx til sensoradvarselsprogram: engine =(.*)(?=\t) - RegEx for navn på sensorkildeenhed: src

Næste trin