この記事では、Microsoft Defender for IoT と QRadar を統合する方法について説明します。
QRadar との統合では、次の機能がサポートされます。
統合された IT および OT セキュリティの監視とガバナンスのために、Defender for IoT アラートを IBM QRadar に転送する。
IT と OT の両方の環境の概要。IT と OT の境界を越えることが多い複数段階の攻撃を検出して対応できます。
既存の SOC ワークフローとの統合。
前提条件
管理 ユーザーとしての Defender for IoT OT センサーへのアクセス。 詳細については、「 Defender for IoT を使用した OT 監視のオンプレミス ユーザーとロール」を参照してください。
QRadar 管理 エリアへのアクセス。
QRadar の Syslog リスナーを構成する
QRadar で動作するように Syslog リスナーを構成するには、
QRadar にサインインし、[管理>Data Sources] を選択します。
[データ ソース] ウィンドウで、[ ログ ソース] を選択します。
[ モーダル ] ウィンドウで、[ 追加] を選択します。
[ ログ ソースの追加 ] ダイアログ ボックスで、次のパラメーターを定義します。
パラメーター 説明 ログ ソース名 <Sensor name>ログ ソースの説明 <Sensor name>ログ ソースの種類 Universal LEEFプロトコル構成 Syslogログ ソース識別子 <Sensor name>注:
ログ ソース識別子名に空白を含めることはできません。 空白はアンダースコアに置き換えることをお勧めします。
[ 保存] を選択し、[ 変更の展開] を選択します。
Defender for IoT QID をデプロイする
QID は QRadar イベント識別子です。 すべての Defender for IoT レポートは同じ センサー アラート イベントの下にタグ付けされるため、QRadar でこれらのイベントに同じ QID を使用できます。
Defender for IoT QID をデプロイするには:
QRadar コンソールにサインインします。
xsense_qidsという名前のファイルを作成します。ファイルで、次のコマンドを使用します:
,XSense Alert,XSense Alert Report From <XSense Name>,5,7001。実行:
sudo /opt/qradar/bin/qidmap_cli.sh -i -f <path>/xsense_qids。QID が正常にデプロイされたことを示す確認メッセージが表示されます。
QRadar 転送ルールを作成する
OT センサーから転送ルールを作成して、アラートを QRadar に転送します。
転送アラート ルールは、転送ルールの作成後にトリガーされたアラートに対してのみ実行されます。 このルールは、転送ルールが作成される前のシステム内のアラートには影響しません。
次のコードは、QRadar に送信されるペイロードの例です。
<9>May 5 12:29:23 sensor_Agent LEEF:1.0|CyberX|CyberX platform|2.5.0|CyberX platform Alert|devTime=May 05 2019 15:28:54 devTimeFormat=MMM dd yyyy HH:mm:ss sev=2 cat=XSense Alerts title=Device is Suspected to be Disconnected (Unresponsive) score=81 reporter=192.168.219.50 rta=0 alertId=6 engine=Operational senderName=sensor Agent UUID=5-1557059334000 site=Site zone=Zone actions=handle dst=192.168.2.2 dstName=192.168.2.2 msg=Device 192.168.2.2 is suspected to be disconnected (unresponsive).
転送ルールを構成する場合:
[ アクション] 領域で、[ Qradar] を選択します。
QRadar ホスト、ポート、タイム ゾーンの詳細を入力します。
必要に応じて、 を選択して暗号化を有効にし、暗号化を構成するか、外部でアラートを管理するを選択します。
詳細については、「 オンプレミス OT アラート情報を転送する」を参照してください。
通知を QRadar にマップする
QRadar コンソールにサインインし、[ QRadar>Log アクティビティ ] を選択します。
[ フィルターの追加] を選択し、次のパラメーターを定義します。
パラメーター 説明 パラメーター Log Sources [Indexed]演算子 Equalsログ ソース グループ Otherログ ソース <Xsense Name>Defender for IoT センサーから検出された不明なレポートを見つけてダブルクリックします。
[Map Event]\(イベントのマップ\) を選択します
[ モーダル ログ ソース イベント ] ページで、次を選択します。
- 大まかなカテゴリ: 不審なアクティビティ + Low-Level カテゴリ - 不明な不審なイベント + ログ
- ソースの種類: 任意
[検索] を選択します。
結果から、XSense という名前が表示される行を選択し、[OK] を選択します。
今後のすべてのセンサー レポートには、センサー アラートとしてタグが付けられます。
QRadar には、次の新しいフィールドが表示されます。
UUID: 1 から 1555245116250 などの一意のアラート識別子。
サイト: アラートが検出されたサイト。
ゾーン: アラートが検出されたゾーン。
例:
<9>May 5 12:29:23 sensor_Agent LEEF:1.0|CyberX|CyberX platform|2.5.0|CyberX platform Alert|devTime=May 05 2019 15:28:54 devTimeFormat=MMM dd yyyy HH:mm:ss sev=2 cat=XSense Alerts title=Device is Suspected to be Disconnected (Unresponsive) score=81 reporter=192.168.219.50 rta=0 alertId=6 engine=Operational senderName=sensor Agent UUID=5-1557059334000 site=Site zone=Zone actions=handle dst=192.168.2.2 dstName=192.168.2.2 msg=Device 192.168.2.2 is suspected to be disconnected (unresponsive).
注:
QRadar 用に作成する転送規則では、OT センサーの UUID API が使用されます。 詳細については、「 UUID (UUID に基づいてアラートを管理する)」を参照してください。
アラートにカスタム フィールドを追加する
アラートにカスタム フィールドを追加するには:
[ Extract プロパティ] を選択します。
[ Regex Based]\(正規表現ベース\) を選択します。
以下のフィールドを構成します。
パラメーター 説明 新しいプロパティ 以下のいずれか:
- センサー アラートの説明
- センサー アラート ID
- センサー アラート スコア
- センサー アラート タイトル
- センサーの宛先名
- センサー ダイレクト リダイレクト
- センサー送信者 IP
- センサー送信者名
- センサー アラート エンジン
- センサー ソース デバイス名解析の最適化 オンにします。 フィールドの種類 AlphaNumericEnabled (有効) オンにします。 ログ ソースの種類 Universal LEAFログ ソース <Sensor Name>イベント名 センサー アラートとして既に設定されている必要があります キャプチャ グループ 1 Regex 次を定義します。
- センサー アラートの説明 RegEx:msg=(.*)(?=\t)
- センサー アラート ID RegEx:alertId=(.*)(?=\t)
- センサー アラート スコア RegEx:Detected score=(.*)(?=\t)
- センサー アラート タイトル RegEx:title=(.*)(?=\t)
- センサー宛先名 RegEx:dstName=(.*)(?=\t)
- センサー ダイレクト リダイレクト RegEx:rta=(.*)(?=\t)
- センサー送信者 IP: RegEx:reporter=(.*)(?=\t)
- センサー送信者名 RegEx:senderName=(.*)(?=\t)
- センサー アラート エンジンの RegEx:engine =(.*)(?=\t)
- センサー ソース デバイス名 RegEx:src