Integre o Qradar com o Microsoft Defender para IoT
Este artigo descreve como integrar o Microsoft Defender para IoT com o QRadar.
A integração com o QRadar suporta:
Encaminhando alertas do Defender for IoT para o IBM QRadar para monitoramento e governança unificados de segurança de TI e OT.
Uma visão geral dos ambientes de TI e OT, permitindo que você detete e responda a ataques em vários estágios que muitas vezes cruzam os limites de TI e OT.
Integração com fluxos de trabalho SOC existentes.
Pré-requisitos
Acesso a um sensor OT do Defender for IoT como usuário Admin. Para obter mais informações, consulte Usuários e funções locais para monitoramento de OT com o Defender for IoT.
Acesso à área de administração do QRadar.
Configurar o ouvinte Syslog para QRadar
Para configurar o ouvinte Syslog para trabalhar com QRadar:
Entre no QRadar e selecione Fontes de dados do administrador>.
Na janela Fontes de Dados, selecione Fontes de Log.
Na janela Modal, selecione Adicionar.
Na caixa de diálogo Adicionar uma fonte de log, defina os seguintes parâmetros:
Parâmetro Description Nome da fonte do log <Sensor name>
Descrição da fonte do log <Sensor name>
Tipo de origem do log Universal LEEF
Configuração do Protocolo Syslog
Identificador de origem de log <Sensor name>
Nota
O nome do Identificador de Origem do Log não deve incluir espaços em branco. Recomendamos substituir quaisquer espaços em branco por um sublinhado.
Selecione Salvar e, em seguida , Implantar alterações.
Implantar um QID do Defender for IoT
Um QID é um identificador de evento QRadar. Como todos os relatórios do Defender for IoT são marcados sob o mesmo evento Sensor Alert , você pode usar o mesmo QID para esses eventos no QRadar.
Para implantar um QID do Defender for IoT:
Inicie sessão na consola QRadar.
Crie um ficheiro com o nome
xsense_qids
.No arquivo, use o seguinte comando:
,XSense Alert,XSense Alert Report From <XSense Name>,5,7001
.Execução:
sudo /opt/qradar/bin/qidmap_cli.sh -i -f <path>/xsense_qids
.Uma mensagem de confirmação é exibida, indicando que o QID foi implantado com êxito.
Criar regras de encaminhamento do QRadar
Crie uma regra de encaminhamento a partir do seu sensor OT para encaminhar alertas para o QRadar.
As regras de alerta de encaminhamento são executadas somente em alertas acionados após a criação da regra de encaminhamento. A regra não afeta nenhum alerta já existente no sistema anterior à criação da regra de encaminhamento.
O código a seguir é um exemplo de uma carga útil enviada para o QRadar:
<9>May 5 12:29:23 sensor_Agent LEEF:1.0|CyberX|CyberX platform|2.5.0|CyberX platform Alert|devTime=May 05 2019 15:28:54 devTimeFormat=MMM dd yyyy HH:mm:ss sev=2 cat=XSense Alerts title=Device is Suspected to be Disconnected (Unresponsive) score=81 reporter=192.168.219.50 rta=0 alertId=6 engine=Operational senderName=sensor Agent UUID=5-1557059334000 site=Site zone=Zone actions=handle dst=192.168.2.2 dstName=192.168.2.2 msg=Device 192.168.2.2 is suspected to be disconnected (unresponsive).
Ao configurar a regra de encaminhamento:
Na área Ações, selecione Qradar.
Insira os detalhes do host, porta e fuso horário do QRadar.
Opcionalmente, selecione para habilitar a criptografia e, em seguida, configure a criptografia e/ou selecione para gerenciar alertas externamente.
Para obter mais informações, consulte Encaminhar informações de alerta de OT local.
Mapear notificações para QRadar
Inicie sessão na sua consola QRadar e selecione QRadar>Log Activity .
Selecione Adicionar filtro e defina os seguintes parâmetros:
Parâmetro Description Parâmetro Log Sources [Indexed]
Operador Equals
Grupo de origem do log Other
Origem do log <Xsense Name>
Localize um relatório desconhecido detetado no sensor do Defender for IoT e clique duas vezes nele.
Selecione Mapear evento.
Na página Evento de origem do log modal, selecione:
- Categoria de Alto Nível: Atividade Suspeita + Categoria de Nível Baixo - Evento Suspeito Desconhecido + Log
- Tipo de fonte: Qualquer
Selecione Pesquisar.
Nos resultados, selecione a linha na qual o nome XSense aparece e selecione OK.
Todos os relatórios de sensores a partir de agora são marcados como Alertas de sensor.
Os seguintes novos campos aparecem no QRadar:
UUID: identificador de alerta exclusivo, como 1-1555245116250.
Site: o site onde o alerta foi descoberto.
Zona: A zona onde o alerta foi descoberto.
Por exemplo:
<9>May 5 12:29:23 sensor_Agent LEEF:1.0|CyberX|CyberX platform|2.5.0|CyberX platform Alert|devTime=May 05 2019 15:28:54 devTimeFormat=MMM dd yyyy HH:mm:ss sev=2 cat=XSense Alerts title=Device is Suspected to be Disconnected (Unresponsive) score=81 reporter=192.168.219.50 rta=0 alertId=6 engine=Operational senderName=sensor Agent UUID=5-1557059334000 site=Site zone=Zone actions=handle dst=192.168.2.2 dstName=192.168.2.2 msg=Device 192.168.2.2 is suspected to be disconnected (unresponsive).
Nota
A regra de encaminhamento que você cria para o QRadar usa a UUID
API do sensor OT. Para obter mais informações, consulte UUID (Gerenciar alertas com base no UUID).
Adicionar campos personalizados aos alertas
Para adicionar campos personalizados a alertas:
Selecione Extrair propriedade.
Selecione Baseado em Regex.
Configure os seguintes campos:
Parâmetro Description Propriedade Nova Um dos seguintes:
- Descrição do Alerta do Sensor
- ID de alerta do sensor
- Pontuação de Alerta do Sensor
- Título do Sensor Alert
- Nome do Destino do Sensor
- Redirecionamento direto do sensor
- Sensor Sender IP
- Nome do remetente do sensor
- Motor de Alerta de Sensores
- Nome do dispositivo de origem do sensorOtimizar a análise Confira. Tipo de campo AlphaNumeric
Ativado Confira. Tipo de origem do log Universal LEAF
Origem do log <Sensor Name>
Nome do evento Já deve estar definido como Sensor Alert Grupo de Captura 1 Regex Defina o seguinte:
- Descrição do Alerta do Sensor RegEx:msg=(.*)(?=\t)
- Sensor Alert ID RegEx:alertId=(.*)(?=\t)
- Sensor Alert Score RegEx:Detected score=(.*)(?=\t)
- Sensor Alert Título RegEx:title=(.*)(?=\t)
- Nome de destino do sensor RegEx:dstName=(.*)(?=\t)
- Redirecionamento direto do sensor RegEx:rta=(.*)(?=\t)
- IP do emissor do sensor: RegEx:reporter=(.*)(?=\t)
- Nome do remetente do sensor RegEx:senderName=(.*)(?=\t)
- Sensor Alert Engine RegEx:engine =(.*)(?=\t)
- Nome do dispositivo de origem do sensor RegEx:src