تكامل Qradar مع Microsoft Defender لـ IoT

توضح هذه المقالة كيفية دمج Microsoft Defender for IoT مع QRadar.

التكامل مع QRadar يدعم:

• إعادة توجيه تنبيهات Defender for IoT إلى IBM QRadar لمراقبة أمان تكنولوجيا المعلومات وOT الموحدة والحوكمة.

• نظرة عامة على كل من بيئات تكنولوجيا المعلومات وOT، ما يسمح لك بالكشف عن الهجمات متعددة المراحل والاستجابة لها التي غالبا ما تعبر حدود تكنولوجيا المعلومات وOT.

• التكامل مع مهام سير عمل SOC الحالية.

المتطلبات الأساسية

• الوصول إلى مستشعر Defender ل IoT OT كمستخدم مسؤول. لمزيد من المعلومات، راجع المستخدمين المحليين والأدوار لمراقبة OT باستخدام Defender for IoT.

• الوصول إلى Defender لوحدة تحكم إدارة IoT OT المحلية كمستخدم مسؤول. لمزيد من المعلومات، راجع المستخدمين المحليين والأدوار لمراقبة OT باستخدام Defender for IoT.

• الوصول إلى منطقة مسؤول QRadar.

تكوين Syslog listener for QRadar

لتكوين Syslog listener للعمل مع QRadar:

1. سجل الدخول إلى QRadar وحدد مسؤول> Data Sources.

2. في نافذة مصادر البيانات، حدد مصادر السجل.

3. في نافذة مشروطة، حدد إضافة.

4. في مربع الحوار إضافة مصدر سجل، حدد المعلمات التالية:

   المعلمة	‏‏الوصف‬
   اسم مصدر السجل	<Sensor name>
   وصف مصدر السجل	<Sensor name>
   نوع مصدر السجل	Universal LEEF
   تكوين البروتوكول	Syslog
   معرف مصدر السجل	<Sensor name>

   إشعار

   يجب ألا يتضمن اسم معرف مصدر السجل مسافات بيضاء. نوصي باستبدال أي مسافات بيضاء بتسطير أسفل السطر.

5. حدد حفظ، ثم نشر التغييرات.

نشر Defender ل IoT QID

QID هو معرف حدث QRadar. نظرا لأن جميع تقارير Defender for IoT يتم وضع علامة عليها تحت نفس الحدث، حدث Sensor Alert ، يمكنك استخدام نفس QID لهذه الأحداث في QRadar.

لنشر Defender ل IoT QID:

1. تسجيل الدخول إلى وحدة تحكم QRadar.

2. إنشاء ملف باسم xsense_qids.

3. في الملف، استخدم الأمر التالي: ,XSense Alert,XSense Alert Report From <XSense Name>,5,7001.

4. تشغيل: sudo /opt/qradar/bin/qidmap_cli.sh -i -f <path>/xsense_qids

   تظهر رسالة تأكيد تشير إلى أنه تم نشر QID بنجاح.

إنشاء قواعد إعادة توجيه QRadar

إنشاء قاعدة إعادة توجيه من وحدة تحكم الإدارة المحلية لإعادة توجيه التنبيهات إلى QRadar.

يتم تشغيل قواعد تنبيه إعادة التوجيه فقط على التنبيهات التي يتم تشغيلها بعد إنشاء قاعدة إعادة التوجيه. لا تؤثر القاعدة على أي تنبيهات موجودة بالفعل في النظام من قبل إنشاء قاعدة إعادة التوجيه.

التعليمات البرمجية التالية هي مثال على حمولة تم إرسالها إلى QRadar:

<9>May 5 12:29:23 sensor_Agent LEEF:1.0|CyberX|CyberX platform|2.5.0|CyberX platform Alert|devTime=May 05 2019 15:28:54 devTimeFormat=MMM dd yyyy HH:mm:ss sev=2 cat=XSense Alerts title=Device is Suspected to be Disconnected (Unresponsive) score=81 reporter=192.168.219.50 rta=0 alertId=6 engine=Operational senderName=sensor Agent UUID=5-1557059334000 site=Site zone=Zone actions=handle dst=192.168.2.2 dstName=192.168.2.2 msg=Device 192.168.2.2 is suspected to be disconnected (unresponsive).

عند تكوين قاعدة إعادة التوجيه:

1. في منطقة الإجراءات ، حدد Qradar.

2. أدخل تفاصيل مضيف QRadar والمنفذ والزون الزمني.

3. اختياريا، حدد لتمكين التشفير، ثم قم بتكوين التشفير، و/أو حدد لإدارة التنبيهات خارجيا.

لمزيد من المعلومات، راجع إعادة توجيه معلومات تنبيه OT المحلية.

تعيين الإعلامات لـ QRadar

1. سجل الدخول إلى وحدة تحكم QRadar، وحدد نشاط سجل QRadar>.

2. حدد إضافة عامل تصفية، وحدد المعلمات التالية:

   المعلمة	‏‏الوصف‬
   المعلمة	Log Sources [Indexed]
   العامل	Equals
   مجموعة مصدر السجل	Other
   مصدر السجل	<Xsense Name>

3. حدد موقع تقرير غير معروف تم اكتشافه من مستشعر Defender for IoT وانقر نقرا مزدوجا فوقه.

4. حدد تخطيط الحدث.

5. في صفحة حدث مصدر السجل المشروط، حدد:

   • فئة عالية المستوى: نشاط مشبوه + فئة منخفضة المستوى - حدث مشبوه غير معروف + سجل
   • نوع المصدر: أي

6. حدد البحث.

7. من النتائج، حدد السطر الذي يظهر فيه الاسم XSense، وحدد موافق.

جميع تقارير أدوات الاستشعار من الآن فصاعداً ستكون معلّمة باعتبارها تنبيهات أداوت استشعار.

تظهر الحقول الجديدة التالية في QRadar:

• UUID: معرف تنبيه فريد، مثل 1-1555245116250.

• الموقع: الموقع الذي تم اكتشاف التنبيه به.

• المنطقة: المنطقة الذي تم اكتشاف التنبيه بها.

على سبيل المثال:

<9>May 5 12:29:23 sensor_Agent LEEF:1.0|CyberX|CyberX platform|2.5.0|CyberX platform Alert|devTime=May 05 2019 15:28:54 devTimeFormat=MMM dd yyyy HH:mm:ss sev=2 cat=XSense Alerts title=Device is Suspected to be Disconnected (Unresponsive) score=81 reporter=192.168.219.50 rta=0 alertId=6 engine=Operational senderName=sensor Agent UUID=5-1557059334000 site=Site zone=Zone actions=handle dst=192.168.2.2 dstName=192.168.2.2 msg=Device 192.168.2.2 is suspected to be disconnected (unresponsive).

إشعار

تستخدم UUID قاعدة إعادة التوجيه التي تقوم بإنشائها ل QRadar واجهة برمجة التطبيقات من وحدة تحكم الإدارة المحلية. لمزيد من المعلومات، راجع UUID (إدارة التنبيهات استنادا إلى UUID).

إضافة حقول مخصصة إلى التنبيهات

لإضافة حقول مخصصة إلى التنبيهات:

1. حدد Extract Property.

2. حدد Regex Based.

3. قم بتكوين الحقول التالية:

   المعلمة	‏‏الوصف‬
   New Property	أحد الإجراءات التالية: - وصف تنبيه المستشعر - معرف تنبيه المستشعر - درجة تنبيه الاستشعار - عنوان تنبيه الاستشعار - اسم وجهة الاستشعار - Sensor Direct Redirect - Sensor Sender IP - اسم مرسل الاستشعار - محرك تنبيه الاستشعار - اسم جهاز مصدر الاستشعار
   تحسين التحليل	تحقق.
   نوع الحقل	AlphaNumeric
   تمكين	تحقق.
   نوع مصدر السجل	Universal LEAF
   مصدر السجل	<Sensor Name>
   اسم الحدث	يجب تعيينه بالفعل على أنه Sensor Alert
   مجموعة الالتقاط	1
   Regex	حدد ما يلي: - وصف تنبيه الاستشعار RegEx: msg=(.*)(?=\t) - Sensor Alert ID RegEx: alertId=(.*)(?=\t) - Sensor Alert Score RegEx: Detected score=(.*)(?=\t) - Sensor Alert Title RegEx: title=(.*)(?=\t) - Sensor Destination Name RegEx: dstName=(.*)(?=\t) - Sensor Direct Redirect RegEx: rta=(.*)(?=\t) - Sensor Sender IP: RegEx: reporter=(.*)(?=\t) - Sensor Sender Name RegEx: senderName=(.*)(?=\t) - Sensor Alert Engine RegEx: engine =(.*)(?=\t) - Sensor Source Device Name RegEx: src

الخطوات التالية

عمليات التكامل مع Microsoft وخدمات الشركاء