Intégrer Qradar à Microsoft Defender pour IoT
Cet article explique comment intégrer Microsoft Defender pour IoT à QRadar.
L’intégration à QRadar prend en charge :
Le transfert des alertes Defender pour IoT à IBM QRadar pour une informatique unifiée, ainsi que la surveillance de la sécurité et la gouvernance.
Vue d’ensemble des environnements informatiques et OT, qui vous permet de détecter et de répondre aux attaques en plusieurs étapes qui franchissent souvent les limites informatiques et OT.
Intégration aux workflows SOC existants.
Prérequis
Accédez à un capteur OT Defender pour IoT en tant qu’utilisateur administrateur. Pour plus d’informations, consultez Utilisateurs et rôles locaux pour le monitoring OT avec Defender pour IoT.
Accès à la console de gestion locale OT de Defender pour IoT en tant qu’utilisateur administrateur. Pour plus d’informations, consultez Utilisateurs et rôles locaux pour le monitoring OT avec Defender pour IoT.
Accès à la zone d’administration QRadar.
Configurer l’écouteur Syslog pour QRadar
Pour configurer l’écouteur Syslog afin qu’il fonctionne avec QRadar :
Connectez-vous à QRadar et sélectionnez Administration>Sources de données.
Dans la fenêtre Sources de données, sélectionnez Sources de journaux.
Dans la fenêtre Modal, sélectionnez Ajouter.
Dans la boîte de dialogue Ajouter une source de journal, définissez les paramètres suivants :
Paramètre Description Nom de la source de journal <Sensor name>
Description de la source de journal <Sensor name>
Type de source de journal Universal LEEF
Configuration du protocole Syslog
Identificateur de la source de journal <Sensor name>
Notes
Le nom de l’identificateur de la source de journal ne doit pas contenir d’espaces blancs. Nous vous recommandons de remplacer tous les espaces blancs par un trait de soulignement.
Sélectionnez Enregistrer, puis Déployer les modifications.
Déployer un QID Defender pour IoT
Un QID est un identificateur d’événement QRadar. Étant donné que tous les rapports Defender pour IoT sont étiquetés sous le même événement Alerte de capteur, vous pouvez utiliser le même QID pour ces événements dans QRadar.
Pour déployer un QID Defender pour IoT :
Connectez-vous à la console QRadar.
Créez un fichier appelé
xsense_qids
.Dans le fichier, utilisez la commande suivante :
,XSense Alert,XSense Alert Report From <XSense Name>,5,7001
.Exécutez :
sudo /opt/qradar/bin/qidmap_cli.sh -i -f <path>/xsense_qids
.Un message de confirmation s’affiche, indiquant que le QID a été déployé avec succès.
Créer les règles de transfert QRadar
Créez une règle de transfert à partir de votre console de gestion locale pour transférer des alertes vers QRadar.
Les règles de transfert d’alerte s’exécutent uniquement sur les alertes déclenchées après la création de la règle de transfert. La règle n’affecte aucune alerte déjà dans le système avant la création de la règle de transfert.
Le code suivant est un exemple de charge utile envoyée à QRadar :
<9>May 5 12:29:23 sensor_Agent LEEF:1.0|CyberX|CyberX platform|2.5.0|CyberX platform Alert|devTime=May 05 2019 15:28:54 devTimeFormat=MMM dd yyyy HH:mm:ss sev=2 cat=XSense Alerts title=Device is Suspected to be Disconnected (Unresponsive) score=81 reporter=192.168.219.50 rta=0 alertId=6 engine=Operational senderName=sensor Agent UUID=5-1557059334000 site=Site zone=Zone actions=handle dst=192.168.2.2 dstName=192.168.2.2 msg=Device 192.168.2.2 is suspected to be disconnected (unresponsive).
Lors de la configuration de la règle de transfert :
Dans la zone Actions, sélectionnez Qradar.
Entrez les détails de l’hôte, du port et du fuseau horaire QRadar.
Si vous le souhaitez, sélectionnez pour activer le chiffrement, puis configurez le chiffrement et/ou sélectionnez pour gérer les alertes en externe.
Pour plus d’informations, consultez Transférer les informations d’alertes OT locales.
Mapper les notifications à QRadar
Connectez-vous à votre console QRadar, puis sélectionnez QRadar>Activité du journal.
Sélectionnez Ajouter un filtre, puis définissez les paramètres suivants :
Paramètre Description Paramètre Log Sources [Indexed]
Opérateur Equals
Groupe de sources du journal Other
Source du journal <Xsense Name>
Recherchez un rapport inconnu détecté à partir de votre capteur Defender pour IoT et double-cliquez dessus.
Sélectionnez Événement de mappage.
Dans la page Événement de source de journal modal, sélectionnez :
- Catégorie de niveau élevé - Activité suspecte + Catégorie de bas niveau - Événement suspect inconnu + Journal
- Type de source - quelconque
Sélectionnez Recherche.
Dans les résultats, sélectionnez la ligne dans laquelle le nom XSense s’affiche, puis sélectionnez OK.
Tous les rapports de capteur sont désormais marqués en tant qu’alertes de capteur.
Les nouveaux champs suivants s’affichent dans QRadar :
UUID : Identificateur d’alerte unique, par exemple 1-1555245116250.
Site: Site sur lequel l’alerte a été découverte.
Zone : Zone dans laquelle l’alerte a été découverte.
Par exemple :
<9>May 5 12:29:23 sensor_Agent LEEF:1.0|CyberX|CyberX platform|2.5.0|CyberX platform Alert|devTime=May 05 2019 15:28:54 devTimeFormat=MMM dd yyyy HH:mm:ss sev=2 cat=XSense Alerts title=Device is Suspected to be Disconnected (Unresponsive) score=81 reporter=192.168.219.50 rta=0 alertId=6 engine=Operational senderName=sensor Agent UUID=5-1557059334000 site=Site zone=Zone actions=handle dst=192.168.2.2 dstName=192.168.2.2 msg=Device 192.168.2.2 is suspected to be disconnected (unresponsive).
Notes
La règle de transfert que vous créez pour QRadar utilise l’API UUID
à partir de la console de gestion locale. Pour plus d’informations, consultez UUID (Gérer les alertes en fonction de l’UUID).
Ajouter des champs personnalisés aux alertes
Pour ajouter des champs personnalisés aux alertes :
Sélectionnez Extraire la propriété.
Sélectionnez Basé sur Regex.
Configurez les champs suivants :
Paramètre Description Nouvelle propriété Celui-ci peut avoir l'une des valeurs suivantes :
- Description de l’alerte de capteur
- ID d’alerte de capteur
- Score de l’alerte de capteur
- Titre de l’alerte de capteur
- Nom de la destination du capteur
- Redirection directe du capteur
- Adresse IP de l’expéditeur du capteur
- Nom de l’expéditeur du capteur
- Moteur d’alerte de capteur
- Nom de l’appareil source de capteurOptimiser l’analyse Activez ce paramètre. Type de champ AlphaNumeric
Activé Activez ce paramètre. Type de source de journal Universal LEAF
Source du journal <Sensor Name>
Nom de l’événement Doit déjà être défini sur Alerte de capteur. Groupe de capture 1 Expression régulière Définissez les éléments suivants :
- RegEx de la description de l’alerte de capteur :msg=(.*)(?=\t)
- RegEx de l’ID de l’alerte de capteur :alertId=(.*)(?=\t)
- RegEx du score de l’alerte de capteur :Detected score=(.*)(?=\t)
- RegEx du titre de l’alerte de capteur :title=(.*)(?=\t)
- RegEx du nom de la destination du capteur :dstName=(.*)(?=\t)
- RegEx de la redirection directe du capteur :rta=(.*)(?=\t)
- RegEx de l’adresse IP de l’expéditeur du capteur :reporter=(.*)(?=\t)
- RegEx du nom de l’expéditeur du capteur :senderName=(.*)(?=\t)
- RegEx du moteur d’alerte du capteur :engine =(.*)(?=\t)
- RegEx du nom de l’appareil source du capteur :src