Integrieren von Qradar in Microsoft Defender für IoT

In diesem Artikel wird beschrieben, wie Sie Microsoft Defender für IoT in QRadar integrieren.

Die Integration in QRadar unterstützt Folgendes:

  • Weiterleiten von Defender für IoT-Warnungen an IBM QRadar für einheitliche IT- und OT-Sicherheitsüberwachung und -governance.

  • Eine Übersicht über IT- und OT-Umgebungen, mit denen Sie mehrstufige Angriffe erkennen und darauf reagieren können, die häufig IT- und OT-Grenzen überschreiten.

  • Integration in vorhandene SOC-Workflows.

Voraussetzungen

Konfigurieren des Syslog-Listeners für QRadar

So konfigurieren Sie den Syslog-Listener für die Verwendung mit QRadar:

  1. Melden Sie sich bei QRadar an, und wählen Sie Admin>Datenquellen aus.

  2. Wählen Sie im Fenster Datenquellen die Option Protokollquellen aus.

  3. Wählen Sie im Fenster Modal die Option Hinzufügen aus.

  4. Definieren Sie im Dialogfeld Protokollquelle hinzufügen die folgenden Parameter:

    Parameter Beschreibung
    Name der Protokollquelle <Sensor name>
    Beschreibung der Protokollquelle <Sensor name>
    Protokollquellentyp Universal LEEF
    Protokollkonfiguration Syslog
    Protokollquellenbezeichner <Sensor name>

    Hinweis

    Der Name des Protokollquellenbezeichners darf keine Leerzeichen enthalten. Es wird empfohlen, alle Leerzeichen durch einen Unterstrich zu ersetzen.

  5. Wählen Sie Speichern und dann Änderungen bereitstellen aus.

Bereitstellen einer Defender für IoT QID

Eine QID ist ein QRadar-Ereignisbezeichner. Da alle Defender für IoT-Berichte unter demselben Sensorwarnungsereignis gekennzeichnet sind, können Sie dieselbe QID für diese Ereignisse in QRadar verwenden.

So stellen Sie eine Defender für IoT QID bereit:

  1. Melden Sie sich bei der QRadar-Konsole an.

  2. Erstellen Sie eine Datei mit dem Namen xsense_qids.

  3. Verwenden Sie in der Datei den folgenden Befehl: ,XSense Alert,XSense Alert Report From <XSense Name>,5,7001.

  4. Führen Sie aus: sudo /opt/qradar/bin/qidmap_cli.sh -i -f <path>/xsense_qids.

    Es wird eine Bestätigungsmeldung angezeigt, die angibt, dass die QID erfolgreich bereitgestellt wurde.

Erstellen von QRadar-Weiterleitungsregeln

Erstellen Sie eine Weiterleitungsregel von Ihrem OT-Sensor, um Warnungen an QRadar weiterzuleiten.

Weiterleitungswarnungsregeln werden nur bei Warnungen ausgeführt, die ausgelöst werden, nachdem die Weiterleitungsregel erstellt wurde. Die Regel wirkt sich nicht auf Warnungen aus, die bereits im System vorhanden sind, bevor die Weiterleitungsregel erstellt wurde.

Der folgende Code ist ein Beispiel für eine Nutzlast, die an QRadar gesendet wird:

<9>May 5 12:29:23 sensor_Agent LEEF:1.0|CyberX|CyberX platform|2.5.0|CyberX platform Alert|devTime=May 05 2019 15:28:54 devTimeFormat=MMM dd yyyy HH:mm:ss sev=2 cat=XSense Alerts title=Device is Suspected to be Disconnected (Unresponsive) score=81 reporter=192.168.219.50 rta=0 alertId=6 engine=Operational senderName=sensor Agent UUID=5-1557059334000 site=Site zone=Zone actions=handle dst=192.168.2.2 dstName=192.168.2.2 msg=Device 192.168.2.2 is suspected to be disconnected (unresponsive).

Beim Konfigurieren der Weiterleitungsregel:

  1. Wählen Sie im Bereich Aktionen die Option Qradar aus.

  2. Geben Sie Details für den QRadar-Host, den Port und die Zeitzone ein.

  3. Wählen Sie optional aus, um die Verschlüsselung zu aktivieren, und konfigurieren Sie dann die Verschlüsselung und/oder wählen Sie aus, um Warnungen extern zu verwalten.

Weitere Informationen finden Sie unter Weiterleiten von lokalen OT-Warnungsinformationen.

Zuordnen von Benachrichtigungen zu QRadar

  1. Melden Sie sich bei Ihrer QRadar-Konsole an, und wählen Sie QRadar-Protokollaktivität> aus.

  2. Wählen Sie Filter hinzufügen aus, und definieren Sie die folgenden Parameter:

    Parameter Beschreibung
    Parameter Log Sources [Indexed]
    Operator Equals
    Protokollquellgruppe Other
    Protokollquelle <Xsense Name>

  3. Suchen Sie einen unbekannten Bericht, der von Ihrem Defender für IoT-Sensor erkannt wurde, und doppelklicken Sie darauf.

  4. Wählen Sie Kartenereignis aus.

  5. Wählen Sie auf der Seite Modales Protokollquellenereignis Folgendes aus:

    • Allgemeine Kategorie: Verdächtige Aktivität + Low-Level Kategorie - Unbekanntes verdächtiges Ereignis + Protokoll
    • Quelltyp: Beliebig

  6. Wählen Sie Suchen aus.

  7. Wählen Sie in den Ergebnissen die Zeile aus, in der der Name XSense angezeigt wird, und klicken Sie auf OK.

Alle Sensorberichte sind ab jetzt als Sensorwarnungen gekennzeichnet.

Die folgenden neuen Felder werden in QRadar angezeigt:

  • UUID: Eindeutiger Warnungsbezeichner, z. B. 1-1555245116250.

  • Standort: Der Standort, an dem die Warnung erkannt wurde.

  • Zone: Die Zone, in der die Warnung erkannt wurde.

Beispiel:

<9>May 5 12:29:23 sensor_Agent LEEF:1.0|CyberX|CyberX platform|2.5.0|CyberX platform Alert|devTime=May 05 2019 15:28:54 devTimeFormat=MMM dd yyyy HH:mm:ss sev=2 cat=XSense Alerts title=Device is Suspected to be Disconnected (Unresponsive) score=81 reporter=192.168.219.50 rta=0 alertId=6 engine=Operational senderName=sensor Agent UUID=5-1557059334000 site=Site zone=Zone actions=handle dst=192.168.2.2 dstName=192.168.2.2 msg=Device 192.168.2.2 is suspected to be disconnected (unresponsive).

Hinweis

Die Weiterleitungsregel, die Sie für QRadar erstellen, verwendet die UUID API aus dem OT-Sensor. Weitere Informationen finden Sie unter UUID (Verwalten von Warnungen basierend auf der UUID).

Hinzufügen von benutzerdefinierten Feldern zu den Warnungen

So fügen Sie Benutzerdefinierte Felder zu Warnungen hinzu:

  1. Wählen Sie Eigenschaft extrahieren aus.

  2. Wählen Sie RegEx-Basiert aus.

  3. Konfigurieren Sie die folgenden Felder:

    Parameter Beschreibung
    Neue Eigenschaft Eine der folgenden Varianten:

    – Beschreibung der Sensorwarnung
    – Sensorwarnungs-ID
    – Sensorwarnungsbewertung
    – Sensorwarnungstitel
    – Name des Sensorziels
    - Sensor Direct Redirect
    – Ip-Adresse des Sensorsenders
    – Name des Sensorsenders
    – Sensorwarnungs-Engine
    – Name des Sensorquellgeräts
    Optimieren der Analyse Aktivieren Sie das Kontrollkästchen.
    Feldtyp AlphaNumeric
    Enabled Aktivieren Sie das Kontrollkästchen.
    Protokollquellentyp Universal LEAF
    Protokollquelle <Sensor Name>
    Ereignisname Sollte bereits als Sensorwarnung festgelegt sein
    Gruppe erfassen 1
    Regex Definieren Sie Folgendes:

    - Sensorwarnungsbeschreibung RegEx: msg=(.*)(?=\t)
    – Sensorwarnungs-ID RegEx: alertId=(.*)(?=\t)
    – Sensorwarnungsbewertung RegEx: Detected score=(.*)(?=\t)
    - Sensor Alert Title RegEx: title=(.*)(?=\t)
    – Name des Sensorziels RegEx: dstName=(.*)(?=\t)
    - Sensor Direct Redirect RegEx: rta=(.*)(?=\t)
    - Ip-Adresse des Sensorsenders: RegEx: reporter=(.*)(?=\t)
    – Sensor Sender Name RegEx: senderName=(.*)(?=\t)
    – Sensor Alert Engine RegEx: engine =(.*)(?=\t)
    – Name des Sensorquellgeräts RegEx: src

Nächste Schritte

Integrationen in Microsoft und Partnerdienste

  • Last updated on