Qradar integreren met Microsoft Defender voor IoT

In dit artikel wordt beschreven hoe u Microsoft Defender voor IoT integreert met QRadar.

Integratie met QRadar biedt ondersteuning voor:

  • Defender for IoT-waarschuwingen doorsturen naar IBM QRadar voor geïntegreerde IT- en OT-beveiligingsbewaking en governance.

  • Een overzicht van zowel IT- als OT-omgevingen, zodat u aanvallen met meerdere fasen kunt detecteren en erop kunt reageren die vaak it- en OT-grenzen overschrijden.

  • Integreren met bestaande SOC-werkstromen.

Vereisten

Syslog-listener configureren voor QRadar

De Syslog-listener configureren voor gebruik met QRadar:

  1. Meld u aan bij QRadar en selecteer Beheer>Gegevensbronnen.

  2. Selecteer in het venster Gegevensbronnen de optie Logboekbronnen.

  3. Selecteer toevoegen in het venster Modal.

  4. Definieer in het dialoogvenster Een logboekbron toevoegen de volgende parameters:

    Parameter Beschrijving
    Naam van logboekbron <Sensor name>
    Beschrijving van logboekbron <Sensor name>
    Type logboekbron Universal LEEF
    Protocolconfiguratie Syslog
    Logboekbron-id <Sensor name>

    Opmerking

    De naam van de logboekbron-id mag geen spaties bevatten. We raden u aan eventuele spaties te vervangen door een onderstrepingsteken.

  5. Selecteer Opslaan en vervolgens Wijzigingen implementeren.

Een Defender for IoT QID implementeren

Een QID is een QRadar-gebeurtenis-id. Omdat alle Defender for IoT-rapporten zijn gelabeld onder dezelfde sensorwaarschuwingsgebeurtenis, kunt u dezelfde QID gebruiken voor deze gebeurtenissen in QRadar.

Een Defender for IoT QID implementeren:

  1. Meld u aan bij de QRadar-console.

  2. Maak een bestand met de naam xsense_qids.

  3. Gebruik in het bestand de volgende opdracht: ,XSense Alert,XSense Alert Report From <XSense Name>,5,7001.

  4. Voer uit: sudo /opt/qradar/bin/qidmap_cli.sh -i -f <path>/xsense_qids.

    Er wordt een bevestigingsbericht weergegeven dat aangeeft dat de QID is geïmplementeerd.

QRadar-doorstuurregels maken

Maak een doorstuurregel van uw OT-sensor om waarschuwingen door te sturen naar QRadar.

Regels voor doorstuurwaarschuwingen worden alleen uitgevoerd op waarschuwingen die worden geactiveerd nadat de doorstuurregel is gemaakt. De regel heeft geen invloed op waarschuwingen die al in het systeem aanwezig waren voordat de doorstuurregel werd gemaakt.

De volgende code is een voorbeeld van een nettolading die is verzonden naar QRadar:

<9>May 5 12:29:23 sensor_Agent LEEF:1.0|CyberX|CyberX platform|2.5.0|CyberX platform Alert|devTime=May 05 2019 15:28:54 devTimeFormat=MMM dd yyyy HH:mm:ss sev=2 cat=XSense Alerts title=Device is Suspected to be Disconnected (Unresponsive) score=81 reporter=192.168.219.50 rta=0 alertId=6 engine=Operational senderName=sensor Agent UUID=5-1557059334000 site=Site zone=Zone actions=handle dst=192.168.2.2 dstName=192.168.2.2 msg=Device 192.168.2.2 is suspected to be disconnected (unresponsive).

Bij het configureren van de doorstuurregel:

  1. Selecteer Qradar in het gebied Acties.

  2. Voer details in voor de QRadar-host, -poort en -tijdzone.

  3. Selecteer optioneel om versleuteling in te schakelen en vervolgens versleuteling te configureren en/of selecteer om waarschuwingen extern te beheren.

Zie On-premises OT-waarschuwingsinformatie doorsturen voor meer informatie.

Meldingen toewijzen aan QRadar

  1. Meld u aan bij uw QRadar-console en selecteer QRadar-logboekactiviteit> .

  2. Selecteer Filter toevoegen en definieer de volgende parameters:

    Parameter Beschrijving
    Parameter Log Sources [Indexed]
    Operator Equals
    Logboekbrongroep Other
    Logboekbron <Xsense Name>

  3. Zoek een onbekend rapport dat is gedetecteerd in uw Defender for IoT-sensor en dubbelklik erop.

  4. Selecteer Gebeurtenis toewijzen.

  5. Selecteer op de pagina Modal Log Source Event de optie:

    • Categorie op hoog niveau: Verdachte activiteit + Low-Level categorie - Onbekende verdachte gebeurtenis + logboek
    • Brontype: Alle

  6. Selecteer Zoeken.

  7. Selecteer in de resultaten de regel waarin de naam XSense wordt weergegeven en selecteer OK.

Alle sensorrapporten worden vanaf nu getagd als sensorwaarschuwingen.

De volgende nieuwe velden worden weergegeven in QRadar:

  • UUID: unieke waarschuwings-id, zoals 1-1555245116250.

  • Site: de site waar de waarschuwing is gedetecteerd.

  • Zone: de zone waar de waarschuwing is gedetecteerd.

Bijvoorbeeld:

<9>May 5 12:29:23 sensor_Agent LEEF:1.0|CyberX|CyberX platform|2.5.0|CyberX platform Alert|devTime=May 05 2019 15:28:54 devTimeFormat=MMM dd yyyy HH:mm:ss sev=2 cat=XSense Alerts title=Device is Suspected to be Disconnected (Unresponsive) score=81 reporter=192.168.219.50 rta=0 alertId=6 engine=Operational senderName=sensor Agent UUID=5-1557059334000 site=Site zone=Zone actions=handle dst=192.168.2.2 dstName=192.168.2.2 msg=Device 192.168.2.2 is suspected to be disconnected (unresponsive).

Opmerking

De doorstuurregel die u voor QRadar maakt, maakt gebruik van de UUID API van de OT-sensor. Zie UUID (Waarschuwingen beheren op basis van de UUID) voor meer informatie.

Aangepaste velden toevoegen aan de waarschuwingen

Aangepaste velden toevoegen aan waarschuwingen:

  1. Selecteer Eigenschap extraheren.

  2. Selecteer Regex gebaseerd.

  3. Configureer de volgende velden:

    Parameter Beschrijving
    Nieuwe eigenschap Een van de volgende opties:

    - Beschrijving van sensorwaarschuwing
    - Waarschuwings-id sensor
    - Sensorwaarschuwingsscore
    - Titel van sensorwaarschuwing
    - Naam van sensorbestemming
    - Sensor Direct Omleiden
    - Ip-adres van sensorzender
    - Naam van sensorzender
    - Sensorwaarschuwingengine
    - Apparaatnaam sensorbron
    Parseren optimaliseren Controleer het.
    Veldtype AlphaNumeric
    Ingeschakeld Controleer het.
    Type logboekbron Universal LEAF
    Logboekbron <Sensor Name>
    Gebeurtenisnaam Moet al zijn ingesteld als Sensorwaarschuwing
    Groep vastleggen 1
    Regex Definieer het volgende:

    - Sensor Alert Description RegEx: msg=(.*)(?=\t)
    - Sensor Alert ID RegEx: alertId=(.*)(?=\t)
    - Sensor Alert Score RegEx: Detected score=(.*)(?=\t)
    - Titel van sensorwaarschuwing RegEx: title=(.*)(?=\t)
    - Naam van sensorbestemming RegEx: dstName=(.*)(?=\t)
    - Sensor Direct Redirect RegEx: rta=(.*)(?=\t)
    - Sensor Afzender IP: RegEx: reporter=(.*)(?=\t)
    - Naam van sensorzender RegEx: senderName=(.*)(?=\t)
    - Sensor Alert Engine RegEx: engine =(.*)(?=\t)
    - Naam van sensorbronapparaat RegEx: src

Volgende stappen

Integraties met Microsoft- en partnerservices

  • Last updated on