Intégrer Qradar à Microsoft Defender pour IoT

Cet article explique comment intégrer Microsoft Defender pour IoT à QRadar.

L’intégration avec QRadar prend en charge les éléments suivants :

  • Transfert des alertes Defender pour IoT à IBM QRadar pour la supervision et la gouvernance unifiées de la sécurité informatique et OT.

  • Vue d’ensemble des environnements informatiques et OT, ce qui vous permet de détecter et de répondre aux attaques multiphases qui franchissent souvent les limites de l’informatique et de l’OT.

  • Intégration aux workflows SOC existants.

Configuration requise

Configurer l’écouteur Syslog pour QRadar

Pour configurer l’écouteur Syslog pour qu’il fonctionne avec QRadar :

  1. Connectez-vous à QRadar et sélectionnez Administration>Sources de données.

  2. Dans la fenêtre Sources de données, sélectionnez Sources de journaux.

  3. Dans la fenêtre Modale , sélectionnez Ajouter.

  4. Dans la boîte de dialogue Ajouter une source de journal , définissez les paramètres suivants :

    Paramètre Description
    Nom de la source du journal <Sensor name>
    Description de la source du journal <Sensor name>
    Type de source du journal Universal LEEF
    Configuration du protocole Syslog
    Identificateur de la source du journal <Sensor name>

    Remarque

    Le nom de l’identificateur de source du journal ne doit pas inclure d’espaces blancs. Nous vous recommandons de remplacer tous les espaces blancs par un trait de soulignement.

  5. Sélectionnez Enregistrer, puis Déployer les modifications.

Déployer un QID Defender pour IoT

Un QID est un identificateur d’événement QRadar. Étant donné que tous les rapports Defender pour IoT sont étiquetés sous le même événement Alerte de capteur , vous pouvez utiliser le même QID pour ces événements dans QRadar.

Pour déployer un QID Defender pour IoT :

  1. Connectez-vous à la console QRadar.

  2. Créez un fichier nommé xsense_qids.

  3. Dans le fichier , utilisez la commande suivante : ,XSense Alert,XSense Alert Report From <XSense Name>,5,7001.

  4. Exécutez : sudo /opt/qradar/bin/qidmap_cli.sh -i -f <path>/xsense_qids.

    Un message de confirmation s’affiche, indiquant que le QID a été déployé avec succès.

Créer des règles de transfert QRadar

Créez une règle de transfert à partir de votre capteur OT pour transférer des alertes à QRadar.

Les règles d’alerte de transfert s’exécutent uniquement sur les alertes déclenchées après la création de la règle de transfert. La règle n’affecte pas les alertes déjà présentes dans le système avant la création de la règle de transfert.

Le code suivant est un exemple de charge utile envoyée à QRadar :

<9>May 5 12:29:23 sensor_Agent LEEF:1.0|CyberX|CyberX platform|2.5.0|CyberX platform Alert|devTime=May 05 2019 15:28:54 devTimeFormat=MMM dd yyyy HH:mm:ss sev=2 cat=XSense Alerts title=Device is Suspected to be Disconnected (Unresponsive) score=81 reporter=192.168.219.50 rta=0 alertId=6 engine=Operational senderName=sensor Agent UUID=5-1557059334000 site=Site zone=Zone actions=handle dst=192.168.2.2 dstName=192.168.2.2 msg=Device 192.168.2.2 is suspected to be disconnected (unresponsive).

Lors de la configuration de la règle de transfert :

  1. Dans la zone Actions , sélectionnez Qradar.

  2. Entrez les détails de l’hôte, du port et du fuseau horaire QRadar.

  3. Si vous le souhaitez, sélectionnez pour activer le chiffrement, puis configurez le chiffrement et/ou sélectionnez pour gérer les alertes en externe.

Pour plus d’informations, consultez Transférer les informations d’alerte OT locale.

Mapper les notifications à QRadar

  1. Connectez-vous à votre console QRadar, puis sélectionnezActivité du journalQRadar>.

  2. Sélectionnez Ajouter un filtre et définissez les paramètres suivants :

    Paramètre Description
    Paramètre Log Sources [Indexed]
    Opérateur Equals
    Groupe de sources du journal Other
    Source du journal <Xsense Name>

  3. Recherchez un rapport inconnu détecté à partir de votre capteur Defender pour IoT, puis double-cliquez dessus.

  4. Sélectionnez Mapper l’événement.

  5. Dans la page Événement de source du journal modal , sélectionnez :

    • Catégorie de haut niveau : Activité suspecte + catégorie Low-Level - Événement suspect inconnu + journal
    • Type de source : Any

  6. Sélectionner Rechercher.

  7. Dans les résultats, sélectionnez la ligne dans laquelle le nom XSense apparaît, puis sélectionnez OK.

À partir de maintenant, tous les rapports de capteur sont étiquetés en tant qu’alertes de capteur.

Les nouveaux champs suivants apparaissent dans QRadar :

  • UUID : identificateur d’alerte unique, tel que 1-1555245116250.

  • Site : site où l’alerte a été découverte.

  • Zone : zone dans laquelle l’alerte a été découverte.

Par exemple :

<9>May 5 12:29:23 sensor_Agent LEEF:1.0|CyberX|CyberX platform|2.5.0|CyberX platform Alert|devTime=May 05 2019 15:28:54 devTimeFormat=MMM dd yyyy HH:mm:ss sev=2 cat=XSense Alerts title=Device is Suspected to be Disconnected (Unresponsive) score=81 reporter=192.168.219.50 rta=0 alertId=6 engine=Operational senderName=sensor Agent UUID=5-1557059334000 site=Site zone=Zone actions=handle dst=192.168.2.2 dstName=192.168.2.2 msg=Device 192.168.2.2 is suspected to be disconnected (unresponsive).

Remarque

La règle de transfert que vous créez pour QRadar utilise l’API UUID du capteur OT. Pour plus d’informations, consultez UUID (Gérer les alertes basées sur l’UUID).

Ajouter des champs personnalisés aux alertes

Pour ajouter des champs personnalisés aux alertes :

  1. Sélectionnez Extraire la propriété.

  2. Sélectionnez Regex Based.

  3. Configurez les champs suivants :

    Paramètre Description
    Nouvelle propriété Un des éléments suivants :

    - Description de l’alerte du capteur
    - ID d’alerte du capteur
    - Score d’alerte du capteur
    - Titre de l’alerte du capteur
    - Nom de destination du capteur
    - Redirection directe du capteur
    - Adresse IP de l’expéditeur du capteur
    - Nom de l’expéditeur du capteur
    - Moteur d’alerte de capteur
    - Nom de l’appareil source du capteur
    Optimiser l’analyse Vérifiez.
    Type de champ AlphaNumeric
    Enabled Vérifiez.
    Type de source du journal Universal LEAF
    Source du journal <Sensor Name>
    Nom de l'événement Doit déjà être défini en tant qu’alerte de capteur
    Groupe de captures 1
    Regex Définissez les éléments suivants :

    - Description de l’alerte du capteur RegEx : msg=(.*)(?=\t)
    - Id d’alerte du capteur RegEx : alertId=(.*)(?=\t)
    - Score d’alerte du capteur RegEx : Detected score=(.*)(?=\t)
    - Titre de l’alerte du capteur RegEx : title=(.*)(?=\t)
    - RegEx nom de destination du capteur : dstName=(.*)(?=\t)
    - RegEx de redirection directe du capteur : rta=(.*)(?=\t)
    - Adresse IP de l’expéditeur du capteur : RegEx : reporter=(.*)(?=\t)
    - Nom de l’expéditeur du capteur RegEx : senderName=(.*)(?=\t)
    - RegEx du moteur d’alerte du capteur : engine =(.*)(?=\t)
    - RegEx du nom de l’appareil source du capteur : src

Étapes suivantes

Intégrations avec Microsoft et les services partenaires

  • Last updated on