Integroi Qradar Microsoft Defender kanssa IoT:lle

Tässä artikkelissa kuvataan, miten voit integroida Microsoft Defender IoT:lle QRadar-kohteeseen.

Integrointi QRadar-palvelulla tukee seuraavia:

  • IoT-ilmoitusten Defenderin edelleenlähetys IBM QRadarille IT- ja OT-suojauksen seurantaa ja hallintaa varten.

  • Yleiskatsaus sekä IT- että OT-ympäristöistä, jonka avulla voit tunnistaa ja vastata usean vaiheen hyökkäyksiin, jotka usein ylittävät IT- ja OT-rajat.

  • Integroidaan olemassa oleviin SOC-työnkulkuihin.

Ennakkovaatimukset

Määritä Syslog-kuuntelutoiminto QRadar-toiminnolle

Syslog-kuuntelutoiminnon määrittäminen toimimaan QRadar-kalenterin kanssa:

  1. Kirjaudu sisään QRadar-tietokantaan ja valitse Hallinta>Tietolähteet.

  2. Valitse Tietolähteet-ikkunassa Lokilähteet.

  3. Valitse Modaali-ikkunassaLisää.

  4. Määritä seuraavat parametrit Lisää lokilähde -valintaikkunassa:

    Parametri Kuvaus
    Lokilähteen nimi <Sensor name>
    Lokilähteen kuvaus <Sensor name>
    Lokilähteen tyyppi Universal LEEF
    Protokollan määritys Syslog
    Lokilähteen tunnus <Sensor name>

    Huomautus

    Lokilähteen tunnuksen nimessä ei saa olla välilyöntejä. Suosittelemme korvaamaan kaikki välilyönnit alaviivalla.

  5. Valitse Tallenna ja ota sitten muutokset käyttöön.

Defender for IoT QID:n käyttöönotto

QID on QRadar-tapahtuman tunniste. Koska kaikki Defender for IoT -raportit on merkitty samalla Sensor Alert -tapahtumalla, voit käyttää samaa QID-tunnusta näille QRadar-tapahtumille.

Defenderin käyttöönotto IoT:n QID:lle:

  1. Kirjaudu sisään QRadar-konsoliin.

  2. Luo tiedosto nimeltä xsense_qids.

  3. Käytä tiedostossa seuraavaa komentoa: ,XSense Alert,XSense Alert Report From <XSense Name>,5,7001.

  4. Suorita: sudo /opt/qradar/bin/qidmap_cli.sh -i -f <path>/xsense_qids.

    Näyttöön tulee vahvistusviesti, joka ilmaisee, että QID on otettu käyttöön onnistuneesti.

QRadar-edelleenlähetyssääntöjen luominen

Luo edelleenlähetyssääntö OT-tunnistimella, jotta voit lähettää hälytyksiä QRadar-sovellukseen.

Edelleenlähetysten ilmoitussäännöt suoritetaan vain ilmoituksista, jotka käynnistetään edelleenlähetyssäännön luomisen jälkeen. Sääntö ei vaikuta hälytyksiin, jotka ovat jo järjestelmässä ennen edelleenlähetyssäännön luomista.

Seuraava koodi on esimerkki QRadarille lähetetystä hyötykuormasta:

<9>May 5 12:29:23 sensor_Agent LEEF:1.0|CyberX|CyberX platform|2.5.0|CyberX platform Alert|devTime=May 05 2019 15:28:54 devTimeFormat=MMM dd yyyy HH:mm:ss sev=2 cat=XSense Alerts title=Device is Suspected to be Disconnected (Unresponsive) score=81 reporter=192.168.219.50 rta=0 alertId=6 engine=Operational senderName=sensor Agent UUID=5-1557059334000 site=Site zone=Zone actions=handle dst=192.168.2.2 dstName=192.168.2.2 msg=Device 192.168.2.2 is suspected to be disconnected (unresponsive).

Määritettäessä edelleenlähetyssääntöä:

  1. Valitse Toiminnot-alueellaQradar.

  2. Anna QRadar-isännän, portin ja aikavyöhykkeen tiedot.

  3. Vaihtoehtoisesti voit ottaa salauksen käyttöön ja määrittää sitten salauksen ja/tai hallita ilmoituksia ulkoisesti.

Lisätietoja on artikkelissa Paikallisten OT-ilmoitusten edelleenlähetystiedot.

Karttailmoitukset kohteeseen QRadar

  1. Kirjaudu sisään QRadar-konsoliin ja valitse QRadar>Log Activity .

  2. Valitse Lisää suodatin ja määritä seuraavat parametrit:

    Parametri Kuvaus
    Parametri Log Sources [Indexed]
    Operaattori Equals
    Lokilähderyhmä Other
    Lokilähde <Xsense Name>

  3. Etsi tuntematon IoT-tunnistimen Defenderistä havaittu raportti ja kaksoisnapsauta sitä.

  4. Valitse Karttatapahtuma.

  5. Valitse Modaalisen lokin lähdetapahtuma - sivulla:

    • Korkean tason luokka: Epäilyttävä toiminta + Low-Level luokka - Tuntematon epäilyttävä tapahtuma + loki
    • Lähdetyyppi: mikä tahansa

  6. Valitse Hae.

  7. Valitse tuloksista rivi, jolla XSense näkyy, ja valitse OK.

Kaikki anturiraportit on merkitty tunnistinhälytyksiksi.

Seuraavat uudet kentät näkyvät QRadarissa:

  • UUID: Yksilöllinen ilmoituksen tunniste, kuten 1-1555245116250.

  • Sivusto: Sivusto, josta ilmoitus löydettiin.

  • Alue: Vyöhyke, josta hälytys löydettiin.

Esimerkki:

<9>May 5 12:29:23 sensor_Agent LEEF:1.0|CyberX|CyberX platform|2.5.0|CyberX platform Alert|devTime=May 05 2019 15:28:54 devTimeFormat=MMM dd yyyy HH:mm:ss sev=2 cat=XSense Alerts title=Device is Suspected to be Disconnected (Unresponsive) score=81 reporter=192.168.219.50 rta=0 alertId=6 engine=Operational senderName=sensor Agent UUID=5-1557059334000 site=Site zone=Zone actions=handle dst=192.168.2.2 dstName=192.168.2.2 msg=Device 192.168.2.2 is suspected to be disconnected (unresponsive).

Huomautus

QRadar-moduulille luomasi edelleenlähetyssääntö käyttää OT-tunnistimen UUID ohjelmointirajapintaa. Lisätietoja on kohdassa UUID (Ilmoitusten hallinta UUID:n perusteella).

Mukautettujen kenttien lisääminen hälytyksiin

Mukautettujen kenttien lisääminen hälytyksiin:

  1. Valitse Poimi ominaisuus.

  2. Valitse Regex Based.

  3. Määritä seuraavat kentät:

    Parametri Kuvaus
    Uusi ominaisuus Jokin seuraavista:

    - Tunnistimen ilmoituksen kuvaus
    - Tunnistimen hälytystunnus
    - Tunnistimen hälytyspisteet
    - Tunnistimen ilmoituksen otsikko
    - Tunnistimen kohdenimi
    - tunnistimen suora uudelleenohjaus
    - Tunnistimen lähettäjän IP
    - Tunnistimen lähettäjän nimi
    - Tunnistimen hälytysmoduuli
    - Tunnistimen lähdelaitteen nimi
    Optimoi jäsennys Tarkista.
    Kentän tyyppi AlphaNumeric
    Käytössä Tarkista.
    Lokilähteen tyyppi Universal LEAF
    Lokilähde <Sensor Name>
    Tapahtuman nimi Tulisi jo määrittää tunnistinilmoitukseksi
    Sieppaa ryhmä 1
    Regex Määritä seuraavat:

    - Tunnistimen ilmoituksen kuvaus RegEx: msg=(.*)(?=\t)
    - Tunnistimen hälytystunnus RegEx: alertId=(.*)(?=\t)
    - Tunnistimen hälytyspistemäärä RegEx: Detected score=(.*)(?=\t)
    - Tunnistimen ilmoituksen otsikko RegEx: title=(.*)(?=\t)
    - Tunnistimen kohdenimi RegEx: dstName=(.*)(?=\t)
    - Tunnistimen suoran uudelleenohjauksen RegEx: rta=(.*)(?=\t)
    - Tunnistimen lähettäjän IP: RegEx: reporter=(.*)(?=\t)
    - Tunnistimen lähettäjän nimi RegEx: senderName=(.*)(?=\t)
    - Tunnistimen hälytysmoduulin RegEx: engine =(.*)(?=\t)
    - Tunnistimen lähdelaitteen nimi RegEx: src

Seuraavat vaiheet

Integroinnit Microsoftin ja kumppanipalveluiden kanssa

  • Last updated on