Integrer Qradar med Microsoft Defender for IoT

Denne artikkelen beskriver hvordan du integrerer Microsoft Defender for IoT med QRadar.

Integrering med QRadar støtter:

  • Videresending av Defender for IoT-varsler til IBM QRadar for enhetlig IT- og OT-sikkerhetsovervåking og -styring.

  • En oversikt over både IT- og OT-miljøer, slik at du kan oppdage og reagere på flertrinnsangrep som ofte krysser IT- og OT-grenser.

  • Integrering med eksisterende SOC-arbeidsflyter.

Forutsetninger

Konfigurer Syslog-lytter for QRadar

Slik konfigurerer du Syslog-lytteren til å fungere med QRadar:

  1. Logg på QRadar, og velg Admin>Datakilder.

  2. Velg Loggkilder i Datakilder-vinduet.

  3. Velg Legg til i Modal-vinduet.

  4. Definer følgende parametere i dialogboksen Legg til en loggkilde :

    Parameteren Beskrivelse
    Navn på loggkilde <Sensor name>
    Beskrivelse av loggkilde <Sensor name>
    Loggkildetype Universal LEEF
    Protokollkonfigurasjon Syslog
    Identifikator for loggkilde <Sensor name>

    Obs!

    Navnet på loggkildeidentifikatoren kan ikke inneholde mellomrom. Vi anbefaler at du erstatter eventuelle mellomrom med et understrekingstegn.

  5. Velg Lagre, og distribuer deretter endringer.

Distribuere en Defender for IoT QID

En QID er en QRadar-hendelsesidentifikator. Siden alle Defender for IoT-rapporter er merket under samme sensorvarslingshendelse , kan du bruke samme QID for disse hendelsene i QRadar.

Slik distribuerer du en QID for Defender for IoT:

  1. Logg på QRadar-konsollen.

  2. Opprett en fil med navnet xsense_qids.

  3. Bruk følgende kommando i filen: ,XSense Alert,XSense Alert Report From <XSense Name>,5,7001.

  4. Kjør: sudo /opt/qradar/bin/qidmap_cli.sh -i -f <path>/xsense_qids.

    Det vises en bekreftelsesmelding som angir at QID-en ble distribuert.

Opprett QRadar-videresendingsregler

Opprett en videresendingsregel fra OT-sensoren for å videresende varsler til QRadar.

Videresending av varslingsregler kjøres bare på varsler som utløses etter at videresendingsregelen er opprettet. Regelen påvirker ikke varsler som allerede finnes i systemet, før videresendingsregelen ble opprettet.

Følgende kode er et eksempel på en nyttelast sendt til QRadar:

<9>May 5 12:29:23 sensor_Agent LEEF:1.0|CyberX|CyberX platform|2.5.0|CyberX platform Alert|devTime=May 05 2019 15:28:54 devTimeFormat=MMM dd yyyy HH:mm:ss sev=2 cat=XSense Alerts title=Device is Suspected to be Disconnected (Unresponsive) score=81 reporter=192.168.219.50 rta=0 alertId=6 engine=Operational senderName=sensor Agent UUID=5-1557059334000 site=Site zone=Zone actions=handle dst=192.168.2.2 dstName=192.168.2.2 msg=Device 192.168.2.2 is suspected to be disconnected (unresponsive).

Når du konfigurerer videresendingsregelen:

  1. Velg Qradar i Handlinger-området.

  2. Angi detaljer for QRadar-verten, porten og tidssonen.

  3. Du kan også velge å aktivere kryptering og deretter konfigurere kryptering, og/eller velge å administrere varsler eksternt.

Hvis du vil ha mer informasjon, kan du se informasjon om lokal OT-varsel.

Tilordne varsler til QRadar

  1. Logg på QRadar-konsollen, og velg QRadar>Log Activity .

  2. Velg Legg til filter, og definer følgende parametere:

    Parameteren Beskrivelse
    Parameteren Log Sources [Indexed]
    Operatør Equals
    Loggkildegruppe Other
    Loggkilde <Xsense Name>

  3. Finn en ukjent rapport som er oppdaget fra Defender for IoT-sensoren, og dobbeltklikk den.

  4. Velg Karthendelse.

  5. Velg følgende på siden Modal Log Source Event :

    • Kategori på høyt nivå: Mistenkelig aktivitet + Low-Level kategori - ukjent mistenkelig hendelse + logg
    • Kildetype: Hvilken som helst

  6. Velg Søk.

  7. Velg linjen der navnet XSense vises, fra resultatene, og velg OK.

Alle sensorrapportene fra nå av er merket som sensorvarsler.

Følgende nye felt vises i QRadar:

  • UUID: Unik varselidentifikator, for eksempel 1-1555245116250.

  • Område: Området der varselet ble oppdaget.

  • Sone: Sonen der varselet ble oppdaget.

Eksempel:

<9>May 5 12:29:23 sensor_Agent LEEF:1.0|CyberX|CyberX platform|2.5.0|CyberX platform Alert|devTime=May 05 2019 15:28:54 devTimeFormat=MMM dd yyyy HH:mm:ss sev=2 cat=XSense Alerts title=Device is Suspected to be Disconnected (Unresponsive) score=81 reporter=192.168.219.50 rta=0 alertId=6 engine=Operational senderName=sensor Agent UUID=5-1557059334000 site=Site zone=Zone actions=handle dst=192.168.2.2 dstName=192.168.2.2 msg=Device 192.168.2.2 is suspected to be disconnected (unresponsive).

Obs!

Videresendingsregelen du oppretter for QRadar, bruker UUID API-en fra OT-sensoren. Hvis du vil ha mer informasjon, kan du se UUID (Administrere varsler basert på UUID).

Legge til egendefinerte felt i varslene

Slik legger du til egendefinerte felt i varsler:

  1. Velg Trekk ut egenskap.

  2. Velg Regex-basert.

  3. Konfigurer følgende felt:

    Parameteren Beskrivelse
    Ny egenskap Ett av følgende:

    - Beskrivelse av sensorvarsel
    - Sensorvarslings-ID
    - Sensorvarslingspoengsum
    - Tittel på sensorvarsel
    - Målnavn for sensor
    - Direkte omdirigering av sensor
    - Ip for sensoravsender
    - Sensor avsendernavn
    - Sensorvarslingsmotor
    – Navn på sensorkildeenhet
    Optimaliser analyse Sjekk på.
    Felttype AlphaNumeric
    Aktivert Sjekk på.
    Loggkildetype Universal LEAF
    Loggkilde <Sensor Name>
    Hendelsesnavn Skal allerede være angitt som sensorvarsel
    Registrer gruppe 1
    Regex Definer følgende:

    - Sensor Varsel Beskrivelse RegEx: msg=(.*)(?=\t)
    - Sensor varsel ID RegEx: alertId=(.*)(?=\t)
    - Sensor varsel score RegEx: Detected score=(.*)(?=\t)
    - Sensor varsel tittel RegEx: title=(.*)(?=\t)
    - Sensor målnavn RegEx: dstName=(.*)(?=\t)
    - Sensor direkte omdirigering RegEx: rta=(.*)(?=\t)
    - Ip for sensoravsender: RegEx: reporter=(.*)(?=\t)
    - Sensor avsendernavn RegEx: senderName=(.*)(?=\t)
    - Sensor varsel motor RegEx: engine =(.*)(?=\t)
    - Navn på sensorkildeenhetsnavn RegEx: src

Neste trinn

Integreringer med Microsoft og partnertjenester

  • Last updated on