Aracılığıyla paylaş

Qradar'i IoT için Microsoft Defender ile tümleştirme

  • Makale

Bu makalede IoT için Microsoft Defender'ı QRadar ile tümleştirme açıklanmaktadır.

QRadar ile tümleştirme şu desteği destekler:

  • IoT için Defender uyarılarını birleşik BT ve OT güvenlik izleme ve idaresi için IBM QRadar'a iletme.

  • BT ve OT ortamlarına genel bakış, genellikle BT ve OT sınırlarını aşan çok aşamalı saldırıları algılamanıza ve yanıtlamanıza olanak tanır.

  • Mevcut SOC iş akışlarıyla tümleştirme.

Önkoşullar

  • IoT için Defender OT algılayıcısına Yönetici kullanıcı olarak erişim. Daha fazla bilgi için bkz . IoT için Defender ile OT izleme için şirket içi kullanıcılar ve roller.

  • IoT için Defender OT şirket içi yönetim konsoluna Yönetici kullanıcı olarak erişim. Daha fazla bilgi için bkz . IoT için Defender ile OT izleme için şirket içi kullanıcılar ve roller.

  • QRadar Yönetici alanına erişim.

QRadar için Syslog dinleyicisini yapılandırma

Syslog dinleyicisini QRadar ile çalışacak şekilde yapılandırmak için:

  1. QRadar'da oturum açın ve Yönetici> Veri Kaynakları'na tıklayın.

  2. Veri Kaynakları penceresinde Günlük Kaynakları'nı seçin.

  3. Kalıcı penceresinde Ekle'yi seçin.

  4. Günlük kaynağı ekle iletişim kutusunda aşağıdaki parametreleri tanımlayın:

    Parametre Tanım
    Günlük Kaynağı Adı <Sensor name>
    Günlük Kaynağı Açıklaması <Sensor name>
    Günlük Kaynağı Türü Universal LEEF
    Protokol Yapılandırması Syslog
    Günlük Kaynağı Tanımlayıcısı <Sensor name>

    Dekont

    Günlük Kaynağı Tanımlayıcısı adı boşluk içermemelidir. Herhangi bir beyaz boşluğu alt çizgiyle değiştirmenizi öneririz.

  5. Kaydet'i ve ardından Değişiklikleri Dağıt'ı seçin.

IoT için Defender QID dağıtma

QID, QRadar olay tanımlayıcısıdır. Tüm IoT için Defender raporları aynı Algılayıcı Uyarısı olayı altında etiketlenmiş olduğundan, QRadar'da bu olaylar için aynı QID'yi kullanabilirsiniz.

IoT QID için Defender dağıtmak için:

  1. QRadar konsolunda oturum açın.

  2. xsense_qids adlı bir dosya oluşturun.

  3. dosyasında şu komutu kullanın: ,XSense Alert,XSense Alert Report From <XSense Name>,5,7001.

  4. Komutunu çalıştırın: sudo /opt/qradar/bin/qidmap_cli.sh -i -f <path>/xsense_qids.

    QID'nin başarıyla dağıtıldığını belirten bir onay iletisi görüntülenir.

QRadar iletme kuralları oluşturma

Uyarıları QRadar'a iletmek için şirket içi yönetim konsolunuzdan bir iletme kuralı oluşturun.

İletim uyarı kuralları yalnızca iletme kuralı oluşturulduktan sonra tetiklenen uyarılarda çalıştırılır. Kural, iletme kuralı oluşturulmadan önce sistemde bulunan hiçbir uyarıyı etkilemez.

Aşağıdaki kod, QRadar'a gönderilen yükün bir örneğidir:

<9>May 5 12:29:23 sensor_Agent LEEF:1.0|CyberX|CyberX platform|2.5.0|CyberX platform Alert|devTime=May 05 2019 15:28:54 devTimeFormat=MMM dd yyyy HH:mm:ss sev=2 cat=XSense Alerts title=Device is Suspected to be Disconnected (Unresponsive) score=81 reporter=192.168.219.50 rta=0 alertId=6 engine=Operational senderName=sensor Agent UUID=5-1557059334000 site=Site zone=Zone actions=handle dst=192.168.2.2 dstName=192.168.2.2 msg=Device 192.168.2.2 is suspected to be disconnected (unresponsive).

İletme kuralını yapılandırırken:

  1. Eylemler alanında Qradar'ı seçin.

  2. QRadar konağı, bağlantı noktası ve saat dilimi ayrıntılarını girin.

  3. İsteğe bağlı olarak, şifrelemeyi etkinleştirmek için seçin ve ardından şifrelemeyi yapılandırın ve/veya uyarıları harici olarak yönetmek için seçin.

Daha fazla bilgi için bkz . Şirket içi OT uyarı bilgilerini iletme.

Bildirimleri QRadar'a eşleme

  1. QRadar konsolunuzda oturum açın ve QRadar>Günlük Etkinliği öğesini seçin.

  2. Filtre Ekle'yi seçin ve aşağıdaki parametreleri tanımlayın:

    Parametre Tanım
    Parametre Log Sources [Indexed]
    İşleç Equals
    Günlük Kaynak Grubu Other
    Günlük Kaynağı <Xsense Name>

  3. IoT için Defender algılayıcınızdan algılanan bilinmeyen bir raporu bulun ve çift tıklayın.

  4. Olayı Eşle'yi seçin.

  5. Kalıcı Günlük Kaynağı Olayı sayfasında şunları seçin:

    • Üst Düzey Kategori: Şüpheli Etkinlik + Düşük Düzeyli Kategori - Bilinmeyen Şüpheli Olay + Günlük
    • Kaynak Türü: Herhangi Biri

  6. Ara'yı seçin.

  7. Sonuçlardan XSense adının görüntülendiği satırı seçin ve Tamam'ı seçin.

Bundan sonra tüm algılayıcı raporları Algılayıcı Uyarıları olarak etiketlenir.

QRadar'da aşağıdaki yeni alanlar görüntülenir:

  • UUID: 1-1555245116250 gibi benzersiz uyarı tanımlayıcısı.

  • Site: Uyarının bulunduğu site.

  • Bölge: Uyarının bulunduğu bölge.

Örnek olarak:

<9>May 5 12:29:23 sensor_Agent LEEF:1.0|CyberX|CyberX platform|2.5.0|CyberX platform Alert|devTime=May 05 2019 15:28:54 devTimeFormat=MMM dd yyyy HH:mm:ss sev=2 cat=XSense Alerts title=Device is Suspected to be Disconnected (Unresponsive) score=81 reporter=192.168.219.50 rta=0 alertId=6 engine=Operational senderName=sensor Agent UUID=5-1557059334000 site=Site zone=Zone actions=handle dst=192.168.2.2 dstName=192.168.2.2 msg=Device 192.168.2.2 is suspected to be disconnected (unresponsive).

Dekont

QRadar için oluşturduğunuz iletme kuralı, şirket içi yönetim konsolundan API'yi kullanır UUID . Daha fazla bilgi için bkz . UUID (Uyarıları UUID'ye göre yönetme).

Uyarılara özel alanlar ekleme

Uyarılara özel alanlar eklemek için:

  1. Özelliği Ayıkla'yı seçin.

  2. Regex Tabanlı'ı seçin.

  3. Aşağıdaki alanları yapılandırın:

    Parametre Tanım
    Yeni Özellik Aşağıdakilerden biri:

    - Algılayıcı Uyarısı Açıklaması
    - Algılayıcı Uyarı Kimliği
    - Algılayıcı Uyarı Puanı
    - Algılayıcı Uyarısı Başlığı
    - Algılayıcı Hedef Adı
    - Algılayıcı Doğrudan Yönlendirme
    - Algılayıcı Gönderen IP'si
    - Algılayıcı Gönderen Adı
    - Algılayıcı Uyarı Altyapısı
    - Algılayıcı Kaynak Cihaz Adı
    Ayrıştırma İyileştirme Kontrol edin.
    Alan Türü AlphaNumeric
    Etkin Kontrol edin.
    Günlük Kaynağı Türü Universal LEAF
    Günlük Kaynağı <Sensor Name>
    Olay Adı Algılayıcı Uyarısı olarak ayarlanmış olmalıdır
    Yakalama Grubu 1
    Normal ifade Aşağıdakileri tanımlayın:

    - Algılayıcı Uyarısı Açıklaması RegEx: msg=(.*)(?=\t)
    - Algılayıcı Uyarısı Kimliği RegEx: alertId=(.*)(?=\t)
    - Algılayıcı Uyarı Puanı RegEx: Detected score=(.*)(?=\t)
    - Algılayıcı Uyarısı Başlığı RegEx: title=(.*)(?=\t)
    - Algılayıcı Hedef Adı RegEx: dstName=(.*)(?=\t)
    - Algılayıcı Doğrudan Yönlendirme RegEx: rta=(.*)(?=\t)
    - Algılayıcı Gönderen IP'si: RegEx: reporter=(.*)(?=\t)
    - Algılayıcı Gönderen Adı RegEx: senderName=(.*)(?=\t)
    - Algılayıcı Uyarı Altyapısı RegEx: engine =(.*)(?=\t)
    - Algılayıcı Kaynak Cihaz Adı RegEx: src

Sonraki adımlar

Microsoft ve iş ortağı hizmetleriyle tümleştirmeler