整合 Qradar 與適用於 IoT 的 Microsoft Defender
此文章說明如何整合適用於 IoT 的 Defender 與 QRadar。
與 QRadar 支援整合:
將適用於 IoT 的 Defender 警示轉接給 IBM QRadar 以進行整合 IT,以及 OT 安全性監視和治理。
IT 和 OT 環境的概觀,可讓您偵測並回應經常跨 IT 和 OT 界限的多階段攻擊。
與現有的 SOC 工作流程整合。
必要條件
以管理使用者身分存取適用於 IoT 的 Defender OT 感應器。 如需詳細資訊,請參閱使用適用於 IoT 的 Defender 進行 OT 監視的內部部署使用者和角色。
以管理使用者身分存取適用於 IoT 的 Defender OT 內部部署管理主控台。 如需詳細資訊,請參閱使用適用於 IoT 的 Defender 進行 OT 監視的內部部署使用者和角色。
存取 QRadar 管理員區域。
設定 QRadar 的 Syslog 接聽程式
若要設定 Syslog 接聽程式以使用 QRadar:
登入 QRadar,然後選取[管理員]>[資料來源]。
在 [資料來源] 視窗中,選取 [記錄來源]。
在 [強制回應] 視窗中,選取 [新增]。
在 [新增記錄來源] 對話方塊中,界定下列參數:
參數 描述 記錄來源名稱 <Sensor name>記錄來源描述 <Sensor name>記錄來源類型 Universal LEEF通訊協定設定 Syslog記錄來源識別碼 <Sensor name>注意
記錄來源識別碼名稱不得包含空白字元。 建議您以底線取代任何空白字元。
選取 [儲存],然後選取 [部署變更]。
部署適用於 IoT 的 Defender QID
QID是 QRadar 事件識別碼。 由於所有適用於 IoT 的 Defender 報表都標記在相同的感應器警示事件下,因此您可以在 QRadar 中針對這些事件使用相同的 QID。
若要部署適用於 IoT 的 Defender QID:
登入 QRadar 主控台。
建立名為
xsense_qids的檔案。在檔案中,請使用下列命令:
,XSense Alert,XSense Alert Report From <XSense Name>,5,7001。執行:
sudo /opt/qradar/bin/qidmap_cli.sh -i -f <path>/xsense_qids。確認訊息隨即出現,表示已順利部署 QID。
建立 QRadar 轉接規則
從內部部署管理主控台建立轉接規則,以將警示轉接至 QRadar。
轉送警示規則只會在建立轉送規則之後觸發的警示上執行。 在建立轉送規則之前,系統中原有的警示不會受到規則的影響。
以下程式碼是傳送到 QRadar 的承載範例:
<9>May 5 12:29:23 sensor_Agent LEEF:1.0|CyberX|CyberX platform|2.5.0|CyberX platform Alert|devTime=May 05 2019 15:28:54 devTimeFormat=MMM dd yyyy HH:mm:ss sev=2 cat=XSense Alerts title=Device is Suspected to be Disconnected (Unresponsive) score=81 reporter=192.168.219.50 rta=0 alertId=6 engine=Operational senderName=sensor Agent UUID=5-1557059334000 site=Site zone=Zone actions=handle dst=192.168.2.2 dstName=192.168.2.2 msg=Device 192.168.2.2 is suspected to be disconnected (unresponsive).
設定轉送規則時:
在 [動作] 區域中,選取 [Qradar]。
輸入 QRadar 主機、連接埠和時區的詳細資料。
(選用) 選取以啟用加密,然後設定加密,以及/或選取以在外部管理警示。
如需詳細資訊,請參閱轉送內部部署 OT 警示資訊。
將通知對應至 QRadar
登入 QRadar 主控台,以及選取 [QRadar] > [記錄活動]。
選取 [新增篩選條件],並界定下列參數:
參數 描述 參數 Log Sources [Indexed]運算子 Equals記錄來源群組 Other記錄來源 <Xsense Name>找出從適用於 IoT 的 Defender 感應器偵測到的未知報表,然後按兩下該報表。
選取 [對應事件]。
在 [強制回應記錄來源事件] 頁面中,選取:
- 高階類別:可疑活動 + 低階類別 - 未知的可疑事件 + 記錄
- 來源類型:任何
選取搜尋。
從結果中選取名稱 XSense 出現所在的行,然後選取 [確定]。
從現在開始,所有感應器報告都會標記為感應器警示。
下列新欄位會出現在 QRadar 中:
UUID:唯一警示識別碼,例如 1-1555245116250。
網站:探索到警示的網站。
區域:探索到警示的區域。
例如:
<9>May 5 12:29:23 sensor_Agent LEEF:1.0|CyberX|CyberX platform|2.5.0|CyberX platform Alert|devTime=May 05 2019 15:28:54 devTimeFormat=MMM dd yyyy HH:mm:ss sev=2 cat=XSense Alerts title=Device is Suspected to be Disconnected (Unresponsive) score=81 reporter=192.168.219.50 rta=0 alertId=6 engine=Operational senderName=sensor Agent UUID=5-1557059334000 site=Site zone=Zone actions=handle dst=192.168.2.2 dstName=192.168.2.2 msg=Device 192.168.2.2 is suspected to be disconnected (unresponsive).
注意
您為 QRadar 建立的轉接規則會使用來自內部部署管理主控台的 UUID API。 如需詳細資訊,請參閱 UUID (根據 UUID 管理警示)。
將自訂欄位新增至警示
若要將自訂欄位新增至警示:
選取 [擷取屬性]。
選取 [RegEx 型]。
設定下列欄位:
參數 描述 新屬性 下列其中之一:
- 感應器警示描述
- 感應器警示識別碼
- 感應器警示分數
- 感應器警示標題
- 感應器目的地名稱
- 感應器直接重新導向
- 感應器傳送者 IP
- 感應器傳送者名稱
- 感應器警示引擎
- 感應器來源裝置名稱最佳化剖析 啟用。 欄位類型 AlphaNumeric已啟用 啟用。 記錄來源類型 Universal LEAF記錄來源 <Sensor Name>事件名稱 應該已設定為感應器警示 擷取群組 1 RegEx 定義以下項目:
- 感應器警示描述 RegEx:msg=(.*)(?=\t)
- 感應器警示識別碼 RegEx:alertId=(.*)(?=\t)
- 感應器警示分數 RegEx:Detected score=(.*)(?=\t)
- 感應器警示標題 RegEx:title=(.*)(?=\t)
- 感應器目的地名稱 RegEx:dstName=(.*)(?=\t)
- 感應器直接重新導向 RegEx:rta=(.*)(?=\t)
- 感應器傳送者 IP RegEx:reporter=(.*)(?=\t)
- 感應器傳送者名稱 RegEx:senderName=(.*)(?=\t)
- 感應器警示引擎 RegEx:engine =(.*)(?=\t)
- 感應器來源裝置名稱 RegEx:src