Integración de Qradar con Microsoft Defender para IoT

En este artículo se describe cómo integrar Microsoft Defender para IoT con QRadar.

La integración con QRadar admite:

  • Reenvío de alertas de Defender para IoT a IBM QRadar para la supervisión y gobernanza de la seguridad unificada de TI y OT.

  • Información general de los entornos de TI y OT, lo que le permite detectar y responder a ataques de varias fases que a menudo cruzan los límites de TI y OT.

  • Integración con flujos de trabajo de SOC existentes.

Requisitos previos

Configuración del agente de escucha de Syslog para QRadar

Para configurar el agente de escucha de Syslog para que funcione con QRadar:

  1. Inicie sesión en QRadar y seleccione Administración>Orígenes de datos.

  2. En la ventana Orígenes de datos, seleccione Orígenes de registro.

  3. En la ventana Modal , seleccione Agregar.

  4. En el cuadro de diálogo Agregar un origen de registro , defina los parámetros siguientes:

    Parámetro Descripción
    Nombre del origen del registro <Sensor name>
    Descripción del origen del registro <Sensor name>
    Tipo de origen de registro Universal LEEF
    Configuración del protocolo Syslog
    Identificador de origen de registro <Sensor name>

    Nota:

    El nombre del identificador de origen de registro no debe incluir espacios en blanco. Se recomienda reemplazar los espacios en blanco por un carácter de subrayado.

  5. Seleccione Guardar y, a continuación, Implementar cambios.

Implementación de un QID de Defender para IoT

Un QID es un identificador de evento QRadar. Dado que todos los informes de Defender para IoT se etiquetan en el mismo evento de alerta de sensor, puede usar el mismo QID para estos eventos en QRadar.

Para implementar un QID de Defender para IoT:

  1. Inicie sesión en la consola de QRadar.

  2. Cree un archivo denominado xsense_qids.

  3. En el archivo, use el siguiente comando: ,XSense Alert,XSense Alert Report From <XSense Name>,5,7001.

  4. Ejecutar: sudo /opt/qradar/bin/qidmap_cli.sh -i -f <path>/xsense_qids.

    Aparece un mensaje de confirmación que indica que la QID se implementó correctamente.

Creación de reglas de reenvío de QRadar

Cree una regla de reenvío desde el sensor OT para reenviar alertas a QRadar.

Las reglas de alertas de reenvío solo se ejecutan en las alertas desencadenadas después de crear la regla de reenvío. La regla no afecta a ninguna alerta ya en el sistema desde antes de que se creara la regla de reenvío.

El código siguiente es un ejemplo de una carga enviada a QRadar:

<9>May 5 12:29:23 sensor_Agent LEEF:1.0|CyberX|CyberX platform|2.5.0|CyberX platform Alert|devTime=May 05 2019 15:28:54 devTimeFormat=MMM dd yyyy HH:mm:ss sev=2 cat=XSense Alerts title=Device is Suspected to be Disconnected (Unresponsive) score=81 reporter=192.168.219.50 rta=0 alertId=6 engine=Operational senderName=sensor Agent UUID=5-1557059334000 site=Site zone=Zone actions=handle dst=192.168.2.2 dstName=192.168.2.2 msg=Device 192.168.2.2 is suspected to be disconnected (unresponsive).

Al configurar la regla de reenvío:

  1. En el área Acciones , seleccione Qradar.

  2. Escriba los detalles del host, el puerto y la zona horaria de QRadar.

  3. Opcionalmente, seleccione esta opción para habilitar el cifrado y, a continuación, configure el cifrado o seleccione administrar las alertas externamente.

Para obtener más información, consulte Forward on-premises OT alert information (Reenviar información de alertas de OT local).

Asignación de notificaciones a QRadar

  1. Inicie sesión en la consola de QRadar y seleccione Actividadde registrode QRadar> .

  2. Seleccione Agregar filtro y defina los parámetros siguientes:

    Parámetro Descripción
    Parámetro Log Sources [Indexed]
    Operador Equals
    Grupo de origen de registro Other
    Origen de registro <Xsense Name>

  3. Busque un informe desconocido detectado desde el sensor de Defender para IoT y haga doble clic en él.

  4. Seleccione Map Event (Evento de mapa).

  5. En la página Modal Log Source Event (Evento de origen de registro modal ), seleccione:

    • Categoría de alto nivel: Actividad sospechosa + categoría Low-Level - Evento sospechoso desconocido + registro
    • Tipo de origen: Cualquiera

  6. Seleccione Buscar.

  7. En los resultados, seleccione la línea en la que aparece el nombre XSense y seleccione Aceptar.

Todos los informes del sensor de ahora en adelante se etiquetan como Alertas de sensor.

Los siguientes campos nuevos aparecen en QRadar:

  • UUID: identificador de alerta único, como 1-1555245116250.

  • Sitio: sitio donde se detectó la alerta.

  • Zona: zona donde se detectó la alerta.

Por ejemplo:

<9>May 5 12:29:23 sensor_Agent LEEF:1.0|CyberX|CyberX platform|2.5.0|CyberX platform Alert|devTime=May 05 2019 15:28:54 devTimeFormat=MMM dd yyyy HH:mm:ss sev=2 cat=XSense Alerts title=Device is Suspected to be Disconnected (Unresponsive) score=81 reporter=192.168.219.50 rta=0 alertId=6 engine=Operational senderName=sensor Agent UUID=5-1557059334000 site=Site zone=Zone actions=handle dst=192.168.2.2 dstName=192.168.2.2 msg=Device 192.168.2.2 is suspected to be disconnected (unresponsive).

Nota:

La regla de reenvío que se crea para QRadar usa la UUID API del sensor OT. Para obtener más información, consulte UUID (Administrar alertas basadas en UUID).

Adición de campos personalizados a las alertas

Para agregar campos personalizados a las alertas:

  1. Seleccione Extraer propiedad.

  2. Seleccione Regex Based (Basado en regex).

  3. Configure los siguientes campos:

    Parámetro Descripción
    Nueva propiedad Uno de los siguientes:

    - Descripción de la alerta del sensor
    - Id. de alerta del sensor
    - Puntuación de alerta del sensor
    - Título de alerta del sensor
    - Nombre de destino del sensor
    - Redirección directa del sensor
    - Ip del remitente del sensor
    - Nombre del remitente del sensor
    - Motor de alertas del sensor
    - Nombre del dispositivo de origen del sensor
    Optimización del análisis Compruébalo.
    Tipo de campo AlphaNumeric
    Enabled Compruébalo.
    Tipo de origen de registro Universal LEAF
    Origen de registro <Sensor Name>
    Nombre del evento Ya debe establecerse como alerta de sensor
    Grupo de capturas 1
    Regex Defina lo siguiente:

    - Descripción de la alerta del sensor RegEx: msg=(.*)(?=\t)
    - Sensor Alert ID RegEx: alertId=(.*)(?=\t)
    - Sensor Alert Score RegEx: Detected score=(.*)(?=\t)
    - Título de alerta del sensor RegEx: title=(.*)(?=\t)
    - Nombre de destino del sensor RegEx: dstName=(.*)(?=\t)
    - Sensor Direct Redirect RegEx: rta=(.*)(?=\t)
    - Ip del remitente del sensor: RegEx: reporter=(.*)(?=\t)
    - Nombre del remitente del sensor RegEx: senderName=(.*)(?=\t)
    - Sensor Alert Engine RegEx: engine =(.*)(?=\t)
    - Nombre del dispositivo de origen del sensor RegEx: src

Pasos siguientes

Integraciones con Microsoft y servicios asociados

  • Last updated on