Delen via

Qradar integreren met Microsoft Defender for IoT

  • Artikel

In dit artikel wordt beschreven hoe u Microsoft Defender for IoT integreert met QRadar.

Integratie met QRadar ondersteunt:

  • Defender for IoT-waarschuwingen doorsturen naar IBM QRadar voor geïntegreerde IT- en OT-beveiligingsbewaking en -governance.

  • Een overzicht van zowel IT- als OT-omgevingen, zodat u aanvallen met meerdere fasen kunt detecteren en erop kunt reageren die vaak de IT- en OT-grenzen overschrijden.

  • Integreren met bestaande SOC-werkstromen.

Vereisten

Syslog-listener configureren voor QRadar

De Syslog-listener configureren voor gebruik met QRadar:

  1. Meld u aan bij QRadar en selecteer Beheer> Gegevensbronnen.

  2. Selecteer Logboekbronnen in het venster Gegevensbronnen.

  3. Selecteer Toevoegen in het modale venster.

  4. Definieer in het dialoogvenster Een logboekbron toevoegen de volgende parameters:

    Parameter Omschrijving
    Naam van logboekbron <Sensor name>
    Beschrijving van logboekbron <Sensor name>
    Type logboekbron Universal LEEF
    Protocolconfiguratie Syslog
    Logboekbron-id <Sensor name>

    Notitie

    De naam van de logboekbron-id mag geen spaties bevatten. We raden u aan om witruimten te vervangen door een onderstrepingsteken.

  5. Selecteer Opslaan en vervolgens Wijzigingen implementeren.

Een Defender for IoT QID implementeren

Een QID is een QRadar-gebeurtenis-id. Aangezien alle Defender for IoT-rapporten zijn gelabeld onder dezelfde sensorwaarschuwingsgebeurtenis, kunt u dezelfde QID gebruiken voor deze gebeurtenissen in QRadar.

Een Defender for IoT QID implementeren:

  1. Meld u aan bij de QRadar-console.

  2. Maak een bestand met de naam xsense_qids.

  3. Gebruik in het bestand de volgende opdracht: ,XSense Alert,XSense Alert Report From <XSense Name>,5,7001.

  4. Uitvoeren: sudo /opt/qradar/bin/qidmap_cli.sh -i -f <path>/xsense_qids.

    Er wordt een bevestigingsbericht weergegeven dat aangeeft dat de QID is geïmplementeerd.

Regels voor het doorsturen van QRadar maken

Maak een doorstuurregel vanuit uw on-premises beheerconsole om waarschuwingen door te sturen naar QRadar.

Waarschuwingsregels voor doorsturen worden alleen uitgevoerd op waarschuwingen die worden geactiveerd nadat de doorstuurregel is gemaakt. De regel heeft geen invloed op waarschuwingen die zich al in het systeem bevinden voordat de doorstuurregel is gemaakt.

De volgende code is een voorbeeld van een nettolading die naar QRadar wordt verzonden:

<9>May 5 12:29:23 sensor_Agent LEEF:1.0|CyberX|CyberX platform|2.5.0|CyberX platform Alert|devTime=May 05 2019 15:28:54 devTimeFormat=MMM dd yyyy HH:mm:ss sev=2 cat=XSense Alerts title=Device is Suspected to be Disconnected (Unresponsive) score=81 reporter=192.168.219.50 rta=0 alertId=6 engine=Operational senderName=sensor Agent UUID=5-1557059334000 site=Site zone=Zone actions=handle dst=192.168.2.2 dstName=192.168.2.2 msg=Device 192.168.2.2 is suspected to be disconnected (unresponsive).

Bij het configureren van de doorstuurregel:

  1. Selecteer Qradar in het gebied Acties.

  2. Voer details in voor de QRadar-host, -poort en -tijdzone.

  3. Selecteer desgewenst om versleuteling in te schakelen en configureer vervolgens versleuteling en/of selecteer deze optie om waarschuwingen extern te beheren.

Zie On-premises OT-waarschuwingsinformatie doorsturen voor meer informatie.

Meldingen toewijzen aan QRadar

  1. Meld u aan bij uw QRadar-console en selecteer QRadar-logboekactiviteit>.

  2. Selecteer Filter toevoegen en definieer de volgende parameters:

    Parameter Omschrijving
    Parameter Log Sources [Indexed]
    Operator Equals
    Logboekbrongroep Other
    Logboekbron <Xsense Name>

  3. Zoek een onbekend rapport dat is gedetecteerd op uw Defender for IoT-sensor en dubbelklik erop.

  4. Selecteer Kaart-gebeurtenis.

  5. Selecteer op de pagina Modal Log Source Event de volgende opties:

    • Categorie op hoog niveau: Verdachte activiteit + categorie met laag niveau - Onbekende verdachte gebeurtenis + logboek
    • Brontype: Elke

  6. Selecteer Zoeken.

  7. Selecteer in de resultaten de regel waarin de naam XSense wordt weergegeven en selecteer OK.

Alle sensorrapporten vanaf nu worden gelabeld als sensorwaarschuwingen.

De volgende nieuwe velden worden weergegeven in QRadar:

  • UUID: Unieke waarschuwings-id, zoals 1-1555245116250.

  • Site: de site waar de waarschuwing is gedetecteerd.

  • Zone: de zone waar de waarschuwing is gedetecteerd.

Bijvoorbeeld:

<9>May 5 12:29:23 sensor_Agent LEEF:1.0|CyberX|CyberX platform|2.5.0|CyberX platform Alert|devTime=May 05 2019 15:28:54 devTimeFormat=MMM dd yyyy HH:mm:ss sev=2 cat=XSense Alerts title=Device is Suspected to be Disconnected (Unresponsive) score=81 reporter=192.168.219.50 rta=0 alertId=6 engine=Operational senderName=sensor Agent UUID=5-1557059334000 site=Site zone=Zone actions=handle dst=192.168.2.2 dstName=192.168.2.2 msg=Device 192.168.2.2 is suspected to be disconnected (unresponsive).

Notitie

De regel voor doorsturen die u voor QRadar maakt, maakt gebruik van de UUID API vanuit de on-premises beheerconsole. Zie UUID (Waarschuwingen beheren op basis van de UUID) voor meer informatie.

Aangepaste velden toevoegen aan de waarschuwingen

Aangepaste velden toevoegen aan waarschuwingen:

  1. Selecteer De eigenschap Extraheren.

  2. Selecteer Regex gebaseerd.

  3. Configureer de volgende velden:

    Parameter Omschrijving
    Nieuwe eigenschap Een van de volgende opties:

    - Beschrijving van sensorwaarschuwing
    - Sensorwaarschuwings-id
    - Sensorwaarschuwingsscore
    - Titel van sensorwaarschuwing
    - Naam van sensorbestemming
    - Directe omleiding van sensor
    - IP van sensorzender
    - Naam van sensorzender
    - Sensorwaarschuwingsengine
    - Naam van sensorbronapparaat
    Parseren optimaliseren Controleer het.
    Veldtype AlphaNumeric
    Ingeschakeld Controleer het.
    Type logboekbron Universal LEAF
    Logboekbron <Sensor Name>
    Gebeurtenisnaam Moet al zijn ingesteld als sensorwaarschuwing
    Groep vastleggen 1
    Reguliere expressie Definieer het volgende:

    - Beschrijving van sensorwaarschuwing RegEx: msg=(.*)(?=\t)
    - Sensorwaarschuwings-id RegEx: alertId=(.*)(?=\t)
    - Sensor Alert Score RegEx: Detected score=(.*)(?=\t)
    - Titel van sensorwaarschuwing RegEx: title=(.*)(?=\t)
    - Sensor Destination Name RegEx: dstName=(.*)(?=\t)
    - Sensor Direct Redirect RegEx: rta=(.*)(?=\t)
    - IP van sensorzender: RegEx: reporter=(.*)(?=\t)
    - Naam van sensorzender RegEx: senderName=(.*)(?=\t)
    - Sensor Alert Engine RegEx: engine =(.*)(?=\t)
    - Naam van sensorbronapparaat RegEx: src

Volgende stappen

Integraties met Microsoft- en partnerservices