Integrare Qradar con Microsoft Defender per IoT

Questo articolo descrive come integrare Microsoft Defender per IoT con QRadar.

L'integrazione con QRadar supporta:

  • Inoltro degli avvisi di Defender per IoT a IBM QRadar per il monitoraggio e la governance della sicurezza IT e OT unificati.

  • Panoramica degli ambienti IT e OT, che consente di rilevare e rispondere agli attacchi in più fasi che spesso superano i limiti IT e OT.

  • Integrazione con flussi di lavoro SOC esistenti.

Prerequisiti

Configurare il listener Syslog per QRadar

Per configurare il listener Syslog per l'uso con QRadar:

  1. Accedere a QRadar e selezionare Amministrazione>Origini dati.

  2. Nella finestra Origini dati selezionare Origini log.

  3. Nella finestra Modale selezionare Aggiungi.

  4. Nella finestra di dialogo Aggiungi origine log definire i parametri seguenti:

    Parametro Descrizione
    Nome origine log <Sensor name>
    Descrizione origine log <Sensor name>
    Tipo di origine del log Universal LEEF
    Configurazione del protocollo Syslog
    Identificatore origine log <Sensor name>

    Nota

    Il nome dell'identificatore origine log non deve includere spazi vuoti. È consigliabile sostituire gli spazi vuoti con un carattere di sottolineatura.

  5. Selezionare Salva e quindi Distribuisci modifiche.

Distribuire un QID di Defender per IoT

Un QID è un identificatore di evento QRadar. Poiché tutti i report di Defender per IoT sono contrassegnati con lo stesso tag, evento Sensor Alert , è possibile usare lo stesso QID per questi eventi in QRadar.

Per distribuire un QID di Defender per IoT:

  1. Accedere alla console di QRadar.

  2. Creare un file denominato xsense_qids.

  3. Nel file usare il comando seguente: ,XSense Alert,XSense Alert Report From <XSense Name>,5,7001.

  4. Esecuzione: sudo /opt/qradar/bin/qidmap_cli.sh -i -f <path>/xsense_qids.

    Viene visualizzato un messaggio di conferma che indica che il QID è stato distribuito correttamente.

Creare regole di inoltro di QRadar

Creare una regola di inoltro dal sensore OT per inoltrare gli avvisi a QRadar.

Le regole di avviso di inoltro vengono eseguite solo sugli avvisi attivati dopo la creazione della regola di inoltro. La regola non influisce sugli avvisi già presenti nel sistema prima della creazione della regola di inoltro.

Il codice seguente è un esempio di payload inviato a QRadar:

<9>May 5 12:29:23 sensor_Agent LEEF:1.0|CyberX|CyberX platform|2.5.0|CyberX platform Alert|devTime=May 05 2019 15:28:54 devTimeFormat=MMM dd yyyy HH:mm:ss sev=2 cat=XSense Alerts title=Device is Suspected to be Disconnected (Unresponsive) score=81 reporter=192.168.219.50 rta=0 alertId=6 engine=Operational senderName=sensor Agent UUID=5-1557059334000 site=Site zone=Zone actions=handle dst=192.168.2.2 dstName=192.168.2.2 msg=Device 192.168.2.2 is suspected to be disconnected (unresponsive).

Quando si configura la regola di inoltro:

  1. Nell'area Azioni selezionare Qradar.

  2. Immettere i dettagli per l'host QRadar, la porta e il fuso orario.

  3. Facoltativamente, selezionare per abilitare la crittografia e quindi configurare la crittografia e/o selezionare per gestire gli avvisi esternamente.

Per altre informazioni, vedere Inoltrare informazioni sull'avviso OT locale.

Eseguire il mapping delle notifiche a QRadar

  1. Accedere alla console di QRadar e selezionareAttività logQRadar> .

  2. Selezionare Aggiungi filtro e definire i parametri seguenti:

    Parametro Descrizione
    Parametro Log Sources [Indexed]
    Operatore Equals
    Gruppo di origine log Other
    Origine log <Xsense Name>

  3. Individuare un report sconosciuto rilevato dal sensore Defender per IoT e fare doppio clic su di esso.

  4. Selezionare Evento mappa.

  5. Nella pagina Evento origine log modale selezionare:

    • Categoria di alto livello: Attività sospetta + categoria Low-Level - Evento sospetto sconosciuto + log
    • Tipo di origine: qualsiasi

  6. Selezionare Cerca.

  7. Dai risultati selezionare la riga in cui viene visualizzato il nome XSense e selezionare OK.

Tutti i report del sensore da ora in avanti vengono contrassegnati come avvisi del sensore.

I nuovi campi seguenti vengono visualizzati in QRadar:

  • UUID: identificatore di avviso univoco, ad esempio 1-1555245116250.

  • Sito: sito in cui è stato individuato l'avviso.

  • Zona: zona in cui è stato individuato l'avviso.

Ad esempio:

<9>May 5 12:29:23 sensor_Agent LEEF:1.0|CyberX|CyberX platform|2.5.0|CyberX platform Alert|devTime=May 05 2019 15:28:54 devTimeFormat=MMM dd yyyy HH:mm:ss sev=2 cat=XSense Alerts title=Device is Suspected to be Disconnected (Unresponsive) score=81 reporter=192.168.219.50 rta=0 alertId=6 engine=Operational senderName=sensor Agent UUID=5-1557059334000 site=Site zone=Zone actions=handle dst=192.168.2.2 dstName=192.168.2.2 msg=Device 192.168.2.2 is suspected to be disconnected (unresponsive).

Nota

La regola di inoltro creata per QRadar usa l'API UUID del sensore OT. Per altre informazioni, vedere UUID (Gestire gli avvisi in base all'UUID).

Aggiungere campi personalizzati agli avvisi

Per aggiungere campi personalizzati agli avvisi:

  1. Selezionare Estrai proprietà.

  2. Selezionare Regex Based(Basato su regex).

  3. Configurare i campi seguenti:

    Parametro Descrizione
    New, proprietà Uno dei seguenti:

    - Descrizione avviso sensore
    - ID avviso sensore
    - Punteggio avviso sensore
    - Titolo avviso sensore
    - Nome destinazione sensore
    - Reindirizzamento diretto del sensore
    - Indirizzo IP del mittente del sensore
    - Nome mittente sensore
    - Motore di avviso del sensore
    - Nome dispositivo origine sensore
    Ottimizzare l'analisi Controlla.
    Tipo di campo AlphaNumeric
    Enabled Controlla.
    Tipo di origine del log Universal LEAF
    Origine log <Sensor Name>
    Nome evento Deve essere già impostato come Avviso sensore
    Gruppo di acquisizione 1
    Regex Definire quanto segue:

    - Descrizione avviso sensore RegEx: msg=(.*)(?=\t)
    - Id avviso sensore RegEx: alertId=(.*)(?=\t)
    - Sensor Alert Score RegEx: Detected score=(.*)(?=\t)
    - Titolo avviso sensore RegEx: title=(.*)(?=\t)
    - Nome destinazione sensore RegEx: dstName=(.*)(?=\t)
    - Sensor Direct Redirect RegEx: rta=(.*)(?=\t)
    - Indirizzo IP del mittente del sensore: RegEx: reporter=(.*)(?=\t)
    - Sensor Sender Name RegEx: senderName=(.*)(?=\t)
    - Motore di avviso del sensore RegEx: engine =(.*)(?=\t)
    - Nome dispositivo origine sensore RegEx: src

Passaggi successivi

Integrazioni con Microsoft e i servizi partner

  • Last updated on