你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
将 Qradar 与 Microsoft Defender for IoT 集成
本文介绍如何将 Microsoft Defender for IoT 与 QRadar 集成。
与 QRadar 集成支持:
将 Defender for IoT 警报转发到 IBM QRadar,以实现统一的 IT 和 OT 安全监视以及治理。
IT 和 OT 环境概述,让你能够检测和响应经常横跨 IT 和 OT 边界的多阶段攻击。
与现有 SOC 工作流集成。
先决条件
以管理员用户身份访问 Defender for IoT OT 传感器。 有关详细信息,请参阅使用 Defender for IoT 进行 OT 监视的本地用户和角色。
能以管理员用户身份访问 Defender for IoT 本地管理控制台。 有关详细信息,请参阅使用 Defender for IoT 进行 OT 监视的本地用户和角色。
访问 QRadar 管理员区域。
为 QRadar 配置 Syslog 侦听器
若要配置 Syslog 侦听器以使用 QRadar,请执行以下操作:
登录到 QRadar 并选择“管理”>“数据源”。
在“数据源”窗口中,选择“日志源”。
在“模态”窗口中,选择“添加” 。
在“添加日志源”对话框中,定义以下参数:
参数 说明 日志源名称 <Sensor name>日志源说明 <Sensor name>日志源类型 Universal LEEF协议配置 Syslog日志源标识符 <Sensor name>注意
日志源标识符名称不得包含空格。 建议将任何空格替换为下划线。
选择“保存”,然后选择“部署更改”。
部署 Defender for IoT QID
QID 为 QRadar 事件标识符。 由于所有 Defender for IoT 报表都标记在同一“传感器警报”事件下,因此可以在 QRadar 中为这些事件使用相同的 QID。
部署 Defender for IoT QID:
登录到 QRadar 控制台。
创建名为
xsense_qids的文件。在文件中,使用以下命令:
,XSense Alert,XSense Alert Report From <XSense Name>,5,7001。运行:
sudo /opt/qradar/bin/qidmap_cli.sh -i -f <path>/xsense_qids。此时会显示一条确认消息,指示已成功部署 QID。
创建 QRadar 转发规则
从本地管理控制台创建转发规则,将警报转发到 QRadar。
转发预警规则仅在创建转发规则后触发的警报上运行。 该规则不会影响创建转发规则之前系统中已有的警报。
以下代码是发送到 QRadar 的有效负载的示例:
<9>May 5 12:29:23 sensor_Agent LEEF:1.0|CyberX|CyberX platform|2.5.0|CyberX platform Alert|devTime=May 05 2019 15:28:54 devTimeFormat=MMM dd yyyy HH:mm:ss sev=2 cat=XSense Alerts title=Device is Suspected to be Disconnected (Unresponsive) score=81 reporter=192.168.219.50 rta=0 alertId=6 engine=Operational senderName=sensor Agent UUID=5-1557059334000 site=Site zone=Zone actions=handle dst=192.168.2.2 dstName=192.168.2.2 msg=Device 192.168.2.2 is suspected to be disconnected (unresponsive).
配置转发规则时:
在“操作”部分中,选择“Qradar”。
输入 QRadar 主机、端口和时区的详细信息。
(可选)选择启用加密,然后配置加密和/或选择在外部管理警报。
有关详细信息,请参阅转发本地 OT 警报信息。
将通知映射到 QRadar
登录到 QRadar 控制台,然后选择“QRadar>日志活动”。
选择“添加筛选器”并定义以下参数:
参数 说明 参数 Log Sources [Indexed]“运算符” Equals日志源组 Other日志源 <Xsense Name>找到从 Defender for IoT 传感器检测到的未知报告,然后双击它。
选择“映射事件”。
在“模态日志源事件”页面,选择:
- 高级类别:可疑活动 + 低级类别 - 未知可疑事件 + 日志
- 源类型:任意
选择“搜索”。
从结果中,选择显示有名称 XSense 的行,然后选择“确定”。
从现在开始,所有传感器报表均标记为传感器警报。
以下新字段显示在 QRadar 中:
UUID:唯一警报标识符,如 1-1555245116250。
站点:发现警报的站点。
区域:发现警报的区域。
例如:
<9>May 5 12:29:23 sensor_Agent LEEF:1.0|CyberX|CyberX platform|2.5.0|CyberX platform Alert|devTime=May 05 2019 15:28:54 devTimeFormat=MMM dd yyyy HH:mm:ss sev=2 cat=XSense Alerts title=Device is Suspected to be Disconnected (Unresponsive) score=81 reporter=192.168.219.50 rta=0 alertId=6 engine=Operational senderName=sensor Agent UUID=5-1557059334000 site=Site zone=Zone actions=handle dst=192.168.2.2 dstName=192.168.2.2 msg=Device 192.168.2.2 is suspected to be disconnected (unresponsive).
注意
为 QRadar 创建的转发规则使用本地管理控制台中的 UUID API。 有关详细信息,请参阅 UUID(基于 UUID 管理警报)。
向警报添加自定义字段
向警报添加自定义字段:
选择“提取属性”。
选择“基于正则表达式”。
配置以下字段:
参数 说明 新属性 以下项之一:
- 传感器警报说明
- 传感器警报 ID
- 传感器警报分数
- 传感器警报标题
- 传感器目标名称
- 传感器直接重定向
- 传感器发送方 IP
- 传感器发送方名称
- 传感器警报引擎
- 传感器源设备名称优化分析 检查开启。 字段类型 AlphaNumeric已启用 检查开启。 日志源类型 Universal LEAF日志源 <Sensor Name>事件名称 应已设为传感器警报 捕获组 1 正则表达式 定义以下内容:
- 传感器警报说明正则表达式:msg=(.*)(?=\t)
- 传感器警报 ID 正则表达式:alertId=(.*)(?=\t)
- 传感器警报分数正则表达式:Detected score=(.*)(?=\t)
- 传感器警报标题正则表达式:title=(.*)(?=\t)
- 传感器目标名称正则表达式:dstName=(.*)(?=\t)
- 传感器直接重定向正则表达式:rta=(.*)(?=\t)
- 传感器发送方 IP 正则表达式:reporter=(.*)(?=\t)
- 传感器发送方名称正则表达式:senderName=(.*)(?=\t)
- 传感器警报引擎正则表达式:engine =(.*)(?=\t)
- 传感器源设备名称正则表达式:src