Integrera Qradar med Microsoft Defender för IoT

Den här artikeln beskriver hur du integrerar Microsoft Defender för IoT med QRadar.

Integrering med QRadar stöder:

• Vidarebefordra Defender för IoT-aviseringar till IBM QRadar för enhetlig it- och OT-säkerhetsövervakning och -styrning.

• En översikt över både IT- och OT-miljöer, så att du kan identifiera och svara på attacker i flera steg som ofta korsar IT- och OT-gränser.

• Integrera med befintliga SOC-arbetsflöden.

Förhandskrav

• Åtkomst till en Defender for IoT OT-sensor som en Admin användare. Mer information finns i Lokala användare och roller för OT-övervakning med Defender för IoT.

• Åtkomst till området QRadar Admin.

Konfigurera Syslog-lyssnaren för QRadar

Så här konfigurerar du Syslog-lyssnaren så att den fungerar med QRadar:

1. Logga in på QRadar och välj Admin>Datakällor.

2. I fönstret Datakällor väljer du Loggkällor.

3. I fönstret Modal väljer du Lägg till.

4. I dialogrutan Lägg till en loggkälla definierar du följande parametrar:

   Parameter	Beskrivning
   Namn på loggkälla	<Sensor name>
   Beskrivning av loggkälla	<Sensor name>
   Typ av loggkälla	Universal LEEF
   Protokollkonfiguration	Syslog
   Identifierare för loggkälla	<Sensor name>

   Obs!

   Namnet på loggkällans identifierare får inte innehålla blanksteg. Vi rekommenderar att du ersätter eventuella blanksteg med ett understreck.

5. Välj Spara och sedan Distribuera ändringar.

Distribuera ett Defender for IoT QID

Ett QID är en QRadar-händelseidentifierare. Eftersom alla Defender för IoT-rapporter är taggade under samma sensoraviseringshändelse kan du använda samma QID för dessa händelser i QRadar.

Så här distribuerar du ett Defender for IoT QID:

1. Logga in på QRadar-konsolen.

2. Skapa en fil med namnet xsense_qids.

3. Använd följande kommando i filen: ,XSense Alert,XSense Alert Report From <XSense Name>,5,7001.

4. Kör: sudo /opt/qradar/bin/qidmap_cli.sh -i -f <path>/xsense_qids.

   Ett bekräftelsemeddelande visas som anger att QID har distribuerats.

Skapa QRadar-vidarebefordringsregler

Skapa en vidarebefordringsregel från ot-sensorn för att vidarebefordra aviseringar till QRadar.

Regler för vidarebefordran av aviseringar körs endast på aviseringar som utlöses när vidarebefordringsregeln har skapats. Regeln påverkar inte några aviseringar som redan finns i systemet från innan vidarebefordringsregeln skapades.

Följande kod är ett exempel på en nyttolast som skickas till QRadar:

<9>May 5 12:29:23 sensor_Agent LEEF:1.0|CyberX|CyberX platform|2.5.0|CyberX platform Alert|devTime=May 05 2019 15:28:54 devTimeFormat=MMM dd yyyy HH:mm:ss sev=2 cat=XSense Alerts title=Device is Suspected to be Disconnected (Unresponsive) score=81 reporter=192.168.219.50 rta=0 alertId=6 engine=Operational senderName=sensor Agent UUID=5-1557059334000 site=Site zone=Zone actions=handle dst=192.168.2.2 dstName=192.168.2.2 msg=Device 192.168.2.2 is suspected to be disconnected (unresponsive).

När du konfigurerar vidarebefordringsregeln:

1. I området Åtgärder väljer du Qradar.

2. Ange information för QRadar-värden, porten och tidszonen.

3. Du kan också välja att aktivera kryptering och sedan konfigurera kryptering och/eller välja att hantera aviseringar externt.

Mer information finns i Vidarebefordra information om lokala OT-aviseringar.

Mappa meddelanden till QRadar

1. Logga in på QRadar-konsolen och välj QRadar-loggaktivitet>.

2. Välj Lägg till filter och definiera följande parametrar:

   Parameter	Beskrivning
   Parameter	Log Sources [Indexed]
   Operatör	Equals
   Loggkällagrupp	Other
   Loggkälla	<Xsense Name>

3. Leta upp en okänd rapport som identifierats från Defender for IoT-sensorn och dubbelklicka på den.

4. Välj Mappa händelse.

5. På sidan Händelse för modal loggkälla väljer du:

   • Högnivåkategori: Misstänkt aktivitet + Low-Level kategori – Okänd misstänkt händelse + logg
   • Källtyp: Valfri

6. Välj Sök.

7. I resultatet väljer du den rad där namnet XSense visas och väljer OK.

Alla sensorrapporter från och med nu är taggade som sensoraviseringar.

Följande nya fält visas i QRadar:

• UUID: Unik aviseringsidentifierare, till exempel 1–1555245116250.

• Plats: Platsen där aviseringen upptäcktes.

• Zon: Zonen där aviseringen identifierades.

Till exempel:

<9>May 5 12:29:23 sensor_Agent LEEF:1.0|CyberX|CyberX platform|2.5.0|CyberX platform Alert|devTime=May 05 2019 15:28:54 devTimeFormat=MMM dd yyyy HH:mm:ss sev=2 cat=XSense Alerts title=Device is Suspected to be Disconnected (Unresponsive) score=81 reporter=192.168.219.50 rta=0 alertId=6 engine=Operational senderName=sensor Agent UUID=5-1557059334000 site=Site zone=Zone actions=handle dst=192.168.2.2 dstName=192.168.2.2 msg=Device 192.168.2.2 is suspected to be disconnected (unresponsive).

Lägga till anpassade fält i aviseringarna

Så här lägger du till anpassade fält i aviseringar:

1. Välj Extrahera egenskap.

2. Välj Regex-baserad.

3. Konfigurera följande fält:

   Parameter	Beskrivning
   Ny egenskap	Något av följande: – Beskrivning av sensoravisering – Sensoraviserings-ID – Sensoraviseringspoäng – Rubrik för sensoravisering – Sensormålnamn – Omdirigering av sensordirigering – IP-adress för sensorsändare - Sensorsändarnamn – Sensoraviseringsmotor – Enhetsnamn för sensorkälla
   Optimera parsning	Kolla.
   Fälttyp	AlphaNumeric
   Aktiverat	Kolla.
   Typ av loggkälla	Universal LEAF
   Loggkälla	<Sensor Name>
   Händelsenamn	Bör redan anges som sensoravisering
   Avbildningsgrupp	1
   Regex	Definiera följande: – Beskrivning av sensoravisering RegEx: msg=(.*)(?=\t) – RegEx för sensoraviserings-ID: alertId=(.*)(?=\t) – RegEx för sensoraviseringspoäng: Detected score=(.*)(?=\t) – RegEx för sensoraviseringsrubrik: title=(.*)(?=\t) – RegEx för sensormålnamn: dstName=(.*)(?=\t) – RegEx för direkt omdirigering av sensor: rta=(.*)(?=\t) - Sensorsändar-IP: RegEx: reporter=(.*)(?=\t) - Sensorsändarnamn RegEx: senderName=(.*)(?=\t) – RegEx för sensoraviseringsmotorn: engine =(.*)(?=\t) – RegEx för sensorkällans enhetsnamn: src

Nästa steg