Integrar o Qradar no Microsoft Defender para IoT

Este artigo descreve como integrar Microsoft Defender para IoT com o QRadar.

A integração com o QRadar suporta:

  • Reencaminhar alertas do Defender para IoT para o IBM QRadar para monitorização e governação de segurança de TI e OT unificadas.

  • Uma descrição geral dos ambientes de TI e OT, que lhe permite detetar e responder a ataques em várias fases que, muitas vezes, ultrapassam os limites de TI e OT.

  • Integração com fluxos de trabalho SOC existentes.

Pré-requisitos

Configurar o serviço de escuta do Syslog para qRadar

Para configurar o serviço de escuta do Syslog para funcionar com o QRadar:

  1. Inicie sessão no QRadar e selecione Administração>Data Origens.

  2. Na janela Origens de Dados, selecione Origens de Registo.

  3. Na janela Modal , selecione Adicionar.

  4. Na caixa de diálogo Adicionar uma origem de registo , defina os seguintes parâmetros:

    Parâmetro Descrição
    Nome da Origem do Registo <Sensor name>
    Descrição da Origem do Registo <Sensor name>
    Tipo de Origem do Registo Universal LEEF
    Configuração do Protocolo Syslog
    Identificador de Origem do Registo <Sensor name>

    Nota

    O nome do Identificador de Origem do Registo não pode incluir espaços em branco. Recomendamos que substitua todos os espaços em branco por um caráter de sublinhado.

  5. Selecione Guardar e, em seguida, Implementar Alterações.

Implementar um QID do Defender para IoT

Um QID é um identificador de evento QRadar. Uma vez que todos os relatórios do Defender para IoT estão etiquetados no mesmo evento Alerta do Sensor , pode utilizar o mesmo QID para estes eventos no QRadar.

Para implementar um QID do Defender para IoT:

  1. Inicie sessão na consola do QRadar.

  2. Crie um ficheiro com o nome xsense_qids.

  3. No ficheiro, utilize o seguinte comando: ,XSense Alert,XSense Alert Report From <XSense Name>,5,7001.

  4. Executar: sudo /opt/qradar/bin/qidmap_cli.sh -i -f <path>/xsense_qids.

    É apresentada uma mensagem de confirmação a indicar que o QID foi implementado com êxito.

Criar regras de reencaminhamento QRadar

Crie uma regra de reencaminhamento a partir do sensor OT para reencaminhar alertas para o QRadar.

As regras de reencaminhamento de alertas são executadas apenas em alertas acionados após a criação da regra de reencaminhamento. A regra não afeta quaisquer alertas já existentes no sistema antes da criação da regra de reencaminhamento.

O código seguinte é um exemplo de um payload enviado para o QRadar:

<9>May 5 12:29:23 sensor_Agent LEEF:1.0|CyberX|CyberX platform|2.5.0|CyberX platform Alert|devTime=May 05 2019 15:28:54 devTimeFormat=MMM dd yyyy HH:mm:ss sev=2 cat=XSense Alerts title=Device is Suspected to be Disconnected (Unresponsive) score=81 reporter=192.168.219.50 rta=0 alertId=6 engine=Operational senderName=sensor Agent UUID=5-1557059334000 site=Site zone=Zone actions=handle dst=192.168.2.2 dstName=192.168.2.2 msg=Device 192.168.2.2 is suspected to be disconnected (unresponsive).

Ao configurar a regra de reencaminhamento:

  1. Na área Ações , selecione Qradar.

  2. Introduza os detalhes do anfitrião, porta e fuso horário do QRadar.

  3. Opcionalmente, selecione para ativar a encriptação e, em seguida, configure a encriptação e/ou selecione para gerir alertas externamente.

Para obter mais informações, veja Forward on-premises OT alert information (Reencaminhar informações de alerta de OT no local).

Mapear notificações para o QRadar

  1. Inicie sessão na consola do QRadar e selecioneQRadar Log Activity (Atividade do RegistoQRadar>).

  2. Selecione Adicionar Filtro e defina os seguintes parâmetros:

    Parâmetro Descrição
    Parâmetro Log Sources [Indexed]
    Operador Equals
    Grupo de Origem do Registo Other
    Origem do Registo <Xsense Name>

  3. Localize um relatório desconhecido detetado no sensor do Defender para IoT e faça duplo clique no mesmo.

  4. Selecione Mapear Evento.

  5. Na página Evento de Origem do Registo Modal , selecione:

    • Categoria de Alto Nível: Atividade Suspeita + Categoria de Low-Level – Evento Suspeito Desconhecido + Registo
    • Tipo de Origem: Qualquer

  6. Selecione Procurar.

  7. Nos resultados, selecione a linha na qual o nome XSense aparece e selecione OK.

Todos os relatórios de sensores a partir de agora estão marcados como Alertas do Sensor.

Os seguintes novos campos são apresentados no QRadar:

  • UUID: identificador de alerta exclusivo, como 1-1555245116250.

  • Site: o site onde o alerta foi detetado.

  • Zona: a zona onde o alerta foi detetado.

Por exemplo:

<9>May 5 12:29:23 sensor_Agent LEEF:1.0|CyberX|CyberX platform|2.5.0|CyberX platform Alert|devTime=May 05 2019 15:28:54 devTimeFormat=MMM dd yyyy HH:mm:ss sev=2 cat=XSense Alerts title=Device is Suspected to be Disconnected (Unresponsive) score=81 reporter=192.168.219.50 rta=0 alertId=6 engine=Operational senderName=sensor Agent UUID=5-1557059334000 site=Site zone=Zone actions=handle dst=192.168.2.2 dstName=192.168.2.2 msg=Device 192.168.2.2 is suspected to be disconnected (unresponsive).

Nota

A regra de reencaminhamento que criar para o QRadar utiliza a UUID API do sensor de OT. Para obter mais informações, veja UUID (Gerir alertas com base no UUID).

Adicionar campos personalizados aos alertas

Para adicionar campos personalizados a alertas:

  1. Selecione Extrair Propriedade.

  2. Selecione Regex Based( Baseado em Regex).

  3. Configure os seguintes campos:

    Parâmetro Descrição
    Nova Propriedade Uma das seguintes opções:

    - Descrição do Alerta do Sensor
    - ID de Alerta do Sensor
    - Pontuação de Alerta do Sensor
    - Título do Alerta do Sensor
    - Nome de Destino do Sensor
    - Redirecionamento Direto do Sensor
    - IP do Remetente do Sensor
    - Nome do Remetente do Sensor
    - Motor de Alerta do Sensor
    - Nome do Dispositivo de Origem do Sensor
    Otimizar a Análise Verifique.
    Tipo de Campo AlphaNumeric
    Ativado Verifique.
    Tipo de Origem do Registo Universal LEAF
    Origem do Registo <Sensor Name>
    Nome do Evento Já deve estar definido como Alerta do Sensor
    Grupo de Captura 1
    Regex Defina o seguinte:

    - Descrição do Alerta do Sensor RegEx: msg=(.*)(?=\t)
    - ID de Alerta do Sensor RegEx: alertId=(.*)(?=\t)
    - Classificação de Alerta do Sensor RegEx: Detected score=(.*)(?=\t)
    - Título do Alerta do Sensor RegEx: title=(.*)(?=\t)
    - Nome de Destino do Sensor RegEx: dstName=(.*)(?=\t)
    - Sensor Direct Redirect RegEx: rta=(.*)(?=\t)
    - IP do Remetente do Sensor: RegEx: reporter=(.*)(?=\t)
    - Nome do Remetente do Sensor RegEx: senderName=(.*)(?=\t)
    - Sensor Alert Engine RegEx: engine =(.*)(?=\t)
    - Nome do Dispositivo de Origem do Sensor RegEx: src

Passos seguintes

Integrações com a Microsoft e serviços de parceiros

  • Last updated on