Microsoft Defender for IoT와 QRadar 통합
이 문서에서는 Microsoft Defender for IoT를 QRadar와 통합하는 방법을 설명합니다.
QRadar와 통합하면 다음이 지원됩니다.
통합된 IT 및 OT 보안 모니터링 및 거버넌스를 위해 Defender for IoT 경고를 IBM QRadar에 전달.
IT 및 OT 경계를 넘나드는 다단계 공격을 탐지하고 대응할 수 있는 IT 및 OT 환경의 개요.
기존 SOC 워크플로와 통합.
필수 조건
Defender for IoT OT 센서에 관리 사용자로 액세스합니다. 자세한 내용은 Defender for IoT를 사용한 OT 모니터링을 위한 온-프레미스 사용자 및 역할을 참조하세요.
관리 사용자로 Defender for IoT OT 온-프레미스 관리 콘솔에 액세스합니다. 자세한 내용은 Defender for IoT를 사용한 OT 모니터링을 위한 온-프레미스 사용자 및 역할을 참조하세요.
QRadar 관리 영역에 액세스합니다.
QRadar용 Syslog 수신기 구성
QRadar에서 작동하도록 Syslog 수신기를 구성하려면 다음을 수행합니다.
QRadar에 로그인하고 관리>데이터 원본을 선택합니다.
데이터 원본 창에서 로그 원본을 선택합니다.
모달 창에서 추가를 선택합니다.
로그 원본 추가 대화 상자에서 다음 매개 변수를 정의합니다.
매개 변수 설명 로그 원본 이름 <Sensor name>로그 원본 설명 <Sensor name>로그 원본 유형 Universal LEEF프로토콜 구성 Syslog로그 원본 식별자 <Sensor name>참고 항목
로그 원본 식별자 이름은 공백을 포함할 수 없습니다. 공백을 밑줄로 바꾸는 것이 좋습니다.
저장을 선택한 다음 변경 내용 배포를 선택합니다.
Defender for IoT QID 배포
QID는 QRadar 이벤트 식별자입니다. 모든 Defender for IoT 보고서는 동일한 센서 경고 이벤트로 태그가 지정되므로 QRadar에서 이 이벤트에 동일한 QID를 사용할 수 있습니다.
Defender for IoT QID를 배포하려면:
QRadar 콘솔에 로그인합니다.
이름이
xsense_qids인 파일을 만듭니다.파일에서
,XSense Alert,XSense Alert Report From <XSense Name>,5,7001명령을 사용합니다.sudo /opt/qradar/bin/qidmap_cli.sh -i -f <path>/xsense_qids을 실행합니다.QID가 성공적으로 배포되었음을 나타내는 확인 메시지가 나타납니다.
QRadar 전달 규칙 만들기
온-프레미스 관리 콘솔에서 전달 규칙을 만들어 경고를 QRadar에로 전달합니다.
전달 경고 규칙은 전달 규칙이 만들어진 후 트리거된 경고에서만 실행됩니다. 이 규칙은 전달 규칙이 만들어지기 전부터 시스템에 이미 있었던 경고에는 영향을 주지 않습니다.
다음 코드는 QRadar로 전송된 페이로드의 예입니다.
<9>May 5 12:29:23 sensor_Agent LEEF:1.0|CyberX|CyberX platform|2.5.0|CyberX platform Alert|devTime=May 05 2019 15:28:54 devTimeFormat=MMM dd yyyy HH:mm:ss sev=2 cat=XSense Alerts title=Device is Suspected to be Disconnected (Unresponsive) score=81 reporter=192.168.219.50 rta=0 alertId=6 engine=Operational senderName=sensor Agent UUID=5-1557059334000 site=Site zone=Zone actions=handle dst=192.168.2.2 dstName=192.168.2.2 msg=Device 192.168.2.2 is suspected to be disconnected (unresponsive).
전달 규칙을 구성하는 경우:
작업 영역에서 Qradar를 선택합니다.
QRadar 호스트, 포트 및 시간대에 대한 세부 정보를 입력합니다.
선택적으로 암호화를 사용하도록 설정하도록 선택한 다음 암호화를 구성하거나 외부에서 경고를 관리하도록 선택합니다.
자세한 내용은 온-프레미스 OT 경고 정보 전달을 참조하세요.
QRadar에 알림 매핑
QRadar 콘솔에 로그인하고 QRadar>로그 활동을 선택합니다.
필터 추가를 선택하고 다음 매개 변수를 정의합니다.
매개 변수 설명 매개 변수 Log Sources [Indexed]Operator Equals로그 원본 그룹 Other로그 원본 <Xsense Name>Defender for IoT 센서에서 검색된 알 수 없는 보고서를 찾고 두 번 클릭합니다.
맵 이벤트를 선택합니다.
모달 로그 원본 이벤트 페이지에서 다음을 선택합니다.
- 상위 수준 범주: 의심스러운 활동 + 하위 수준 범주 - 알 수 없는 의심스러운 이벤트 + 로그
- 원본 유형: 모두
검색을 선택합니다.
결과에서 XSense 이름이 표시된 줄을 선택하고 확인을 선택합니다.
지금부터 모든 센서 보고서에는 센서 경고라는 태그가 지정됩니다.
다음과 같은 새 필드가 QRadar에 표시됩니다.
UUID: 고유한 경고 식별자(예: 1-1555245116250)입니다.
사이트: 경고가 검색된 사이트입니다.
사이트: 경고가 검색된 영역입니다.
예시:
<9>May 5 12:29:23 sensor_Agent LEEF:1.0|CyberX|CyberX platform|2.5.0|CyberX platform Alert|devTime=May 05 2019 15:28:54 devTimeFormat=MMM dd yyyy HH:mm:ss sev=2 cat=XSense Alerts title=Device is Suspected to be Disconnected (Unresponsive) score=81 reporter=192.168.219.50 rta=0 alertId=6 engine=Operational senderName=sensor Agent UUID=5-1557059334000 site=Site zone=Zone actions=handle dst=192.168.2.2 dstName=192.168.2.2 msg=Device 192.168.2.2 is suspected to be disconnected (unresponsive).
참고 항목
QRadar에 대해 만드는 전달 규칙은 온-프레미스 관리 콘솔의 UUID API를 사용합니다. 자세한 내용은 UUID(UUID 기반 경고 관리)를 참조하세요.
경고에 사용자 지정 필드 추가
사용자 지정 필드를 경고에 추가하려면 다음 안내를 따르세요.
속성 추출을 선택합니다.
Regex 기반을 선택합니다.
다음 필드를 구성하세요.
매개 변수 설명 새 속성 다음 중 하나:
- 센서 경고 설명
- 센서 경고 ID
- 센서 경고 점수
- 센서 경고 제목
- 센서 대상 이름
- 센서 직접 리디렉션
- 센서 발신자 IP
- 센서 발신자 이름
- 센서 경고 엔진
- 센서 원본 디바이스 이름파싱 최적화 확인합니다. 필드 형식 AlphaNumericEnabled 확인합니다. 로그 원본 유형 Universal LEAF로그 원본 <Sensor Name>이벤트 이름 이미 센서 경고으로 설정되어 있어야 합니다. 캡처 그룹 1 Regex 다음을 정의합니다.
- 센서 경고 설명 정규식:msg=(.*)(?=\t)
- 센서 경고 ID 정규식:alertId=(.*)(?=\t)
- 센서 경고 점수 정규식:Detected score=(.*)(?=\t)
- 센서 경고 제목 정규식:title=(.*)(?=\t)
- 센서 대상 이름 정규식:dstName=(.*)(?=\t)
- 센서 직접 리디렉션 정규식:rta=(.*)(?=\t)
- 센서 발신자 IP: 정규식:reporter=(.*)(?=\t)
- 센서 발신자 이름 정규식:senderName=(.*)(?=\t)
- 센서 경고 엔진 정규식:engine =(.*)(?=\t)
- 센서 원본 디바이스 이름 정규식:src