Mengintegrasikan Qradar dengan Pertahanan Microsoft untuk IoT

Artikel ini menjelaskan cara mengintegrasikan Pertahanan Microsoft untuk IoT dengan QRadar.

Mengintegrasikan dengan QRadar mendukung:

• Meneruskan pemberitahuan Defender for IoT ke IBM QRadar untuk pemantauan dan tata kelola keamanan IT dan OT terpadu.

• Gambaran umum lingkungan IT dan OT, memungkinkan Anda mendeteksi dan merespons serangan multi-tahap yang sering melewati batas IT dan OT.

• Mengintegrasikan dengan alur kerja SOC yang ada.

Prasyarat

• Akses ke sensor OT Defender untuk IoT sebagai pengguna Admin. Untuk informasi selengkapnya, lihat Pengguna dan peran lokal untuk pemantauan OT dengan Defender for IoT.

• Akses ke area Admin QRadar.

Mengonfigurasi pendengar Syslog untuk QRadar

Untuk mengonfigurasi pendengar Syslog agar berfungsi dengan QRadar:

1. Masuk ke QRadar dan pilih Sumber Data Admin>.

2. Di jendela Sumber Data, pilih Sumber Log.

3. Di jendela Modal, pilih Tambahkan.

4. Dalam kotak dialog Tambahkan sumber log, tentukan parameter berikut:

   Parameter	Deskripsi
   Nama Sumber Log	<Sensor name>
   Deskripsi Sumber Log	<Sensor name>
   Jenis Sumber Log	Universal LEEF
   Konfigurasi Protokol	Syslog
   Pengidentifikasi Sumber Log	<Sensor name>

   Catatan

   Nama Pengidentifikasi Sumber Log tidak boleh menyertakan spasi kosong. Sebaiknya ganti spasi kosong apa pun dengan garis bawah.

5. Pilih Simpan, lalu Sebarkan Perubahan.

Menyebarkan Defender untuk IoT QID

QID adalah pengidentifikasi peristiwa QRadar. Karena semua laporan Defender for IoT ditandai di bawah peristiwa Pemberitahuan Sensor yang sama, Anda dapat menggunakan QID yang sama untuk peristiwa ini di QRadar.

Untuk menyebarkan Defender untuk IoT QID:

1. Masuk ke konsol QRadar.

2. Buat file bernama xsense_qids.

3. Dalam file, gunakan perintah berikut: ,XSense Alert,XSense Alert Report From <XSense Name>,5,7001.

4. Jalankan: sudo /opt/qradar/bin/qidmap_cli.sh -i -f <path>/xsense_qids.

   Pesan konfirmasi muncul, menunjukkan bahwa QID berhasil disebarkan.

Membuat aturan penerusan QRadar

Buat aturan penerusan dari sensor OT Anda untuk meneruskan pemberitahuan ke QRadar.

Aturan pemberitahuan penerusan hanya berjalan pada pemberitahuan yang dipicu setelah aturan penerusan dibuat. Aturan tidak memengaruhi pemberitahuan apa pun yang sudah ada dalam sistem sebelum aturan penerusan dibuat.

Kode berikut adalah contoh payload yang dikirim ke QRadar:

<9>May 5 12:29:23 sensor_Agent LEEF:1.0|CyberX|CyberX platform|2.5.0|CyberX platform Alert|devTime=May 05 2019 15:28:54 devTimeFormat=MMM dd yyyy HH:mm:ss sev=2 cat=XSense Alerts title=Device is Suspected to be Disconnected (Unresponsive) score=81 reporter=192.168.219.50 rta=0 alertId=6 engine=Operational senderName=sensor Agent UUID=5-1557059334000 site=Site zone=Zone actions=handle dst=192.168.2.2 dstName=192.168.2.2 msg=Device 192.168.2.2 is suspected to be disconnected (unresponsive).

Saat mengonfigurasi aturan penerusan:

1. Di area Tindakan, pilih Qradar.

2. Masukkan detail untuk host, port, dan zona waktu QRadar.

3. Secara opsional, pilih untuk mengaktifkan enkripsi, lalu konfigurasikan enkripsi, dan/atau pilih untuk mengelola pemberitahuan secara eksternal.

Untuk informasi selengkapnya, lihat Meneruskan informasi pemberitahuan OT lokal.

Pemberitahuan peta ke QRadar

1. Masuk ke konsol QRadar Anda, dan pilih Aktivitas Log QRadar>.

2. Pilih Tambahkan Filter, dan tentukan parameter berikut:

   Parameter	Deskripsi
   Parameter	Log Sources [Indexed]
   Operator	Equals
   Grup Sumber Log	Other
   Sumber Log	<Xsense Name>

3. Temukan laporan tidak dikenal yang terdeteksi dari sensor Defender for IoT Anda dan klik dua kali.

4. Pilih Petakan Peristiwa.

5. Di halaman Peristiwa Sumber Log Modal, pilih:

   • Kategori Tingkat Tinggi: Aktivitas Mencurigakan + Kategori Tingkat Rendah - Peristiwa + Log Mencurigakan yang Tidak Diketahui
   • Jenis Sumber: Apa pun

6. Pilih Cari.

7. Dari hasil, pilih baris tempat nama XSense muncul, dan pilih OK.

Semua laporan sensor mulai sekarang ditandai sebagai Pemberitahuan Sensor.

Bidang baru berikut ini muncul di QRadar:

• UUID: Pengenal pemberitahuan unik, seperti 1-1555245116250.

• Situs: Situs tempat pemberitahuan ditemukan.

• Zona: Zona tempat pemberitahuan ditemukan.

Contoh:

<9>May 5 12:29:23 sensor_Agent LEEF:1.0|CyberX|CyberX platform|2.5.0|CyberX platform Alert|devTime=May 05 2019 15:28:54 devTimeFormat=MMM dd yyyy HH:mm:ss sev=2 cat=XSense Alerts title=Device is Suspected to be Disconnected (Unresponsive) score=81 reporter=192.168.219.50 rta=0 alertId=6 engine=Operational senderName=sensor Agent UUID=5-1557059334000 site=Site zone=Zone actions=handle dst=192.168.2.2 dstName=192.168.2.2 msg=Device 192.168.2.2 is suspected to be disconnected (unresponsive).

Menambahkan bidang isian kustom ke pemberitahuan

Untuk menambahkan bidang isian kustom ke pemberitahuan:

1. Pilih Ekstrak Properti.

2. Pilih Berbasis Regex.

3. Mengonfigurasikan bidang berikut:

   Parameter	Deskripsi
   Properti Baru	Salah satu hal berikut ini: - Deskripsi Pemberitahuan Sensor - ID Pemberitahuan Sensor - Skor Pemberitahuan Sensor - Judul Pemberitahuan Sensor - Nama Tujuan Sensor - Pengalihan Langsung Sensor - IP Pengirim Sensor - Nama Pengirim Sensor - Mesin Peringatan Sensor - Nama Perangkat Sumber Sensor
   Optimalkan Penguraian	Periksa.
   Tipe Bidang	AlphaNumeric
   Diaktifkan	Periksa.
   Jenis Sumber Log	Universal LEAF
   Sumber Log	<Sensor Name>
   Nama Peristiwa	Harus sudah ditetapkan sebagai Pemberitahuan Sensor
   Grup Pengambilan	1
   Regex	Tentukan hal berikut: - RegEx Deskripsi Pemberitahuan Sensor: msg=(.*)(?=\t) - RegEx ID Pemberitahuan Sensor: alertId=(.*)(?=\t) - RegEx Skor Pemberitahuan Sensor: Detected score=(.*)(?=\t) - RegEx Judul Pemberitahuan Sensor: title=(.*)(?=\t) - RegEx Nama Tujuan Sensor: dstName=(.*)(?=\t) - RegEx Pengalihan Langsung Sensor: rta=(.*)(?=\t) - IP Pengirim Sensor: RegEx: reporter=(.*)(?=\t) - RegEx Nama Pengirim Sensor: senderName=(.*)(?=\t) - Sensor Alert Engine RegEx: engine =(.*)(?=\t) - RegEx Nama Perangkat Sumber Sensor: src

Langkah berikutnya