Интеграция QRadar с Microsoft Defender для Интернета вещей

В этой статье описывается интеграция Microsoft Defender для Интернета вещей с QRadar.

Интеграция с QRadar поддерживает:

• Переадресация оповещений Defender для Интернета вещей в IBM QRadar для единого МОНИТОРИНГА и управления безопасностью OT.

• Обзор сред ИТ и OT, позволяющий обнаруживать и реагировать на многоэтапные атаки, которые часто пересекают границы ИТ и OT.

• Интеграция с существующими рабочими процессами SOC.

Необходимые компоненты

• Доступ к датчику OT Defender для Интернета вещей в качестве Администратора. Дополнительные сведения см. в разделе локальных пользователей и ролей для мониторинга OT с помощью Defender для Интернета вещей.

• Доступ к локальному консоль управления Defender для Интернета вещей в качестве пользователя Администратор. Дополнительные сведения см. в разделе локальных пользователей и ролей для мониторинга OT с помощью Defender для Интернета вещей.

• Доступ к Администратор области QRadar.

Настройка прослушивателя Syslog для QRadar

Чтобы настроить прослушиватель Syslog для работы с QRadar, выполните следующие действия:

1. Войдите в QRadar и выберите Администратор> Data Sources.

2. В окне Data Sources (Источники данных) выберите Log Sources (Источники журналов).

3. В модальном окне выберите Add (Добавить).

4. В диалоговом окне "Добавление источника журнала" определите следующие параметры:

   Параметр	Описание
   Имя источника журнала	<Sensor name>
   Описание источника журнала	<Sensor name>
   Тип источника журнала	Universal LEEF
   Конфигурация протокола	Syslog
   Идентификатор источника журнала	<Sensor name>

   Примечание.

   Имя идентификатора источника журнала не должно содержать пробелы. Рекомендуется заменить пробелы подчеркиванием.

5. Выберите "Сохранить" и "Развернуть изменения".

Развертывание QID Defender для Интернета вещей

QID — это идентификатор события QRadar. Так как все отчеты Defender для Интернета вещей помечены по одному и тому же событию оповещения датчика, вы можете использовать один и тот же QID для этих событий в QRadar.

Чтобы развернуть QID Defender для Интернета вещей, выполните приведенные действия.

1. Войдите в консоль QRadar.

2. Создайте файл с именем xsense_qids.

3. В файле используйте следующую команду: ,XSense Alert,XSense Alert Report From <XSense Name>,5,7001

4. Выполните команду sudo /opt/qradar/bin/qidmap_cli.sh -i -f <path>/xsense_qids.

   Появится сообщение подтверждения, указывающее, что QID был развернут успешно.

Создание правил пересылки QRadar

Создайте правило пересылки из локальной консоль управления для пересылки оповещений в QRadar.

Правила переадресации оповещений выполняются только при активации оповещений после создания правила пересылки. Правило не влияет на оповещения, уже существующие в системе до создания правила пересылки.

Следующий код является примером полезных данных, отправляемых в QRadar:

<9>May 5 12:29:23 sensor_Agent LEEF:1.0|CyberX|CyberX platform|2.5.0|CyberX platform Alert|devTime=May 05 2019 15:28:54 devTimeFormat=MMM dd yyyy HH:mm:ss sev=2 cat=XSense Alerts title=Device is Suspected to be Disconnected (Unresponsive) score=81 reporter=192.168.219.50 rta=0 alertId=6 engine=Operational senderName=sensor Agent UUID=5-1557059334000 site=Site zone=Zone actions=handle dst=192.168.2.2 dstName=192.168.2.2 msg=Device 192.168.2.2 is suspected to be disconnected (unresponsive).

При настройке правила пересылки:

1. В области "Действия" выберите Qradar.

2. Введите сведения о узле QRadar, порту и часовом поясе.

3. При необходимости выберите для включения шифрования, а затем настройте шифрование и (или) выберите для управления оповещениями вне системы.

Дополнительные сведения см. в разделе "Переадресация локальных оповещений OT".

Сопоставление уведомлений для QRadar

1. Войдите в консоль QRadar и выберите действие журнала QRadar>.

2. Выберите " Добавить фильтр" и определите следующие параметры:

   Параметр	Описание
   Параметр	Log Sources [Indexed]
   Оператор	Equals
   Группа источника журнала	Other
   Log Source	<Xsense Name>

3. Найдите неизвестный отчет, обнаруженный на датчике Defender для Интернета вещей, и дважды щелкните его.

4. Выберите Map Event (Сопоставить событие).

5. На странице "Модальный источник журнала" выберите:

   • Категория высокого уровня: подозрительное действие + категория низкого уровня — неизвестное подозрительное событие и журнал
   • Тип источника: любой

6. Нажмите Поиск.

7. В результатах выберите строку, в которой отображается имя XSense, и нажмите кнопку "ОК".

С этого момента все отчеты датчика будут отмечены как оповещения датчика.

В QRadar отображаются следующие новые поля:

• UUID: уникальный идентификатор оповещения, например 1-1555245116250.

• Site: сайт, на котором было обнаружено оповещение.

• Zone: зона, в которой было обнаружено оповещение.

Например:

<9>May 5 12:29:23 sensor_Agent LEEF:1.0|CyberX|CyberX platform|2.5.0|CyberX platform Alert|devTime=May 05 2019 15:28:54 devTimeFormat=MMM dd yyyy HH:mm:ss sev=2 cat=XSense Alerts title=Device is Suspected to be Disconnected (Unresponsive) score=81 reporter=192.168.219.50 rta=0 alertId=6 engine=Operational senderName=sensor Agent UUID=5-1557059334000 site=Site zone=Zone actions=handle dst=192.168.2.2 dstName=192.168.2.2 msg=Device 192.168.2.2 is suspected to be disconnected (unresponsive).

Примечание.

Правило пересылки, создаваемое для QRadar, использует UUID API из локальной консоль управления. Дополнительные сведения см. в разделе UUID (Управление оповещениями на основе UUID).

Добавление настраиваемых полей в оповещения

Порядок добавления настраиваемых полей в оповещения:

1. Выберите Extract Property (Извлечь свойство).

2. Выберите Regex Based (На основе регулярного выражения).

3. Задайте значения в следующих полях:

   Параметр	Описание
   Новое свойство	Одно из следующих элементов: — Описание оповещения датчика — Идентификатор оповещения датчика - Оценка оповещений датчика — Заголовок оповещения датчика — Имя назначения датчика - Прямой перенаправление датчика — IP-адрес отправителя датчика — Имя отправителя датчика — Обработчик оповещений датчика — Имя исходного устройства датчика
   Оптимизация синтаксического анализа	Проверьте.
   Тип поля	AlphaNumeric
   Включено	Проверьте.
   Тип источника журнала	Universal LEAF
   Log Source	<Sensor Name>
   Имя события	Должно быть уже задано как оповещение датчика
   Группа захвата	1
   Регулярное выражение	Определите следующее: — Описание оповещений датчика RegEx: msg=(.*)(?=\t) — Идентификатор оповещений датчика RegEx: alertId=(.*)(?=\t) - Оценка оповещений датчика: Detected score=(.*)(?=\t) — Заголовок оповещения датчика RegEx: title=(.*)(?=\t) — Имя назначения датчика RegEx: dstName=(.*)(?=\t) - Direct Redirect RegEx датчика: rta=(.*)(?=\t) — IP-адрес отправителя датчика: RegEx: reporter=(.*)(?=\t) — Имя отправителя датчика RegEx: senderName=(.*)(?=\t) — Обработчик оповещений датчика: engine =(.*)(?=\t) — Имя исходного устройства датчика RegEx: src

Следующие шаги

Интеграция с microsoft и партнерскими службами