이 문서에서는 IoT용 Microsoft Defender QRadar와 통합하는 방법을 설명합니다.
QRadar와 통합하면 다음이 지원됩니다.
통합 IT 및 OT 보안 모니터링 및 거버넌스를 위해 IoT용 Defender 경고를 IBM QRadar에 전달합니다.
IT 및 OT 환경 모두에 대한 개요를 통해 IT 및 OT 경계를 넘나드는 다단계 공격을 감지하고 대응할 수 있습니다.
기존 SOC 워크플로와 통합
필수 구성 요소
관리 사용자로 Defender for IoT OT 센서에 액세스합니다. 자세한 내용은 Defender for IoT를 사용하여 OT 모니터링을 위한 온-프레미스 사용자 및 역할을 참조하세요.
QRadar 관리 영역에 액세스합니다.
QRadar에 대한 Syslog 수신기 구성
QRadar에서 작동하도록 Syslog 수신기를 구성하려면 다음을 수행합니다.
QRadar에 로그인하고 관리>데이타 원본을 선택합니다.
데이터 원본 창에서 로그 원본을 선택합니다.
모달 창에서 추가를 선택합니다.
로그 원본 추가 대화 상자에서 다음 매개 변수를 정의합니다.
매개 변수 설명 로그 원본 이름 <Sensor name>로그 원본 설명 <Sensor name>로그 원본 유형 Universal LEEF프로토콜 구성 Syslog로그 원본 식별자 <Sensor name>참고
로그 원본 식별자 이름에는 공백이 포함되어서는 안 됩니다. 공백을 밑줄로 바꾸는 것이 좋습니다.
저장을 선택한 다음 변경 내용 배포를 선택합니다.
Defender for IoT QID 배포
QID는 QRadar 이벤트 식별자입니다. 모든 Defender for IoT 보고서는 동일한 센서 경고 이벤트 아래에 태그가 지정되므로 QRadar에서 이러한 이벤트에 동일한 QID를 사용할 수 있습니다.
Defender for IoT QID를 배포하려면 다음을 수행합니다.
QRadar 콘솔에 로그인합니다.
라는 파일을 만듭니다
xsense_qids.파일에서 명령을
,XSense Alert,XSense Alert Report From <XSense Name>,5,7001사용합니다.실행:
sudo /opt/qradar/bin/qidmap_cli.sh -i -f <path>/xsense_qids.QID가 성공적으로 배포되었음을 나타내는 확인 메시지가 나타납니다.
QRadar 전달 규칙 만들기
OT 센서에서 전달 규칙을 만들어 경고를 QRadar로 전달합니다.
전달 경고 규칙은 전달 규칙을 만든 후에 트리거되는 경고에서만 실행됩니다. 규칙은 전달 규칙을 만들기 전의 시스템에 이미 있는 경고에 영향을 주지 않습니다.
다음 코드는 QRadar로 전송된 페이로드의 예입니다.
<9>May 5 12:29:23 sensor_Agent LEEF:1.0|CyberX|CyberX platform|2.5.0|CyberX platform Alert|devTime=May 05 2019 15:28:54 devTimeFormat=MMM dd yyyy HH:mm:ss sev=2 cat=XSense Alerts title=Device is Suspected to be Disconnected (Unresponsive) score=81 reporter=192.168.219.50 rta=0 alertId=6 engine=Operational senderName=sensor Agent UUID=5-1557059334000 site=Site zone=Zone actions=handle dst=192.168.2.2 dstName=192.168.2.2 msg=Device 192.168.2.2 is suspected to be disconnected (unresponsive).
전달 규칙을 구성할 때:
작업 영역에서 Qradar를 선택합니다.
QRadar 호스트, 포트 및 표준 시간대에 대한 세부 정보를 입력합니다.
필요에 따라 암호화를 사용하도록 설정한 다음 암호화를 구성하고/또는 를 선택하여 외부에서 경고를 관리합니다.
자세한 내용은 온-프레미스 OT 경고 정보 전달을 참조하세요.
QRadar에 알림 매핑
QRadar 콘솔에 로그인하고 QRadar로그 작업 을> 선택합니다.
필터 추가를 선택하고 다음 매개 변수를 정의합니다.
매개 변수 설명 매개 변수 Log Sources [Indexed]연산자 Equals로그 원본 그룹 Other로그 원본 <Xsense Name>Defender for IoT 센서에서 검색된 알 수 없는 보고서를 찾아 두 번 클릭합니다.
맵 이벤트를 선택합니다.
모달 로그 원본 이벤트 페이지에서 다음을 선택합니다.
- 상위 수준 범주: 의심스러운 활동 + Low-Level 범주 - 알 수 없는 의심스러운 이벤트 + 로그
- 원본 유형: 모든
검색을 선택합니다.
결과에서 이름 XSense가 표시되는 줄을 선택하고 확인을 선택합니다.
이제부터 모든 센서 보고서에 센서 경고로 태그가 지정됩니다.
QRadar에 다음과 같은 새 필드가 표시됩니다.
UUID: 1-1555245116250과 같은 고유 경고 식별자입니다.
사이트: 경고가 검색된 사이트입니다.
영역: 경고가 검색된 영역입니다.
예시:
<9>May 5 12:29:23 sensor_Agent LEEF:1.0|CyberX|CyberX platform|2.5.0|CyberX platform Alert|devTime=May 05 2019 15:28:54 devTimeFormat=MMM dd yyyy HH:mm:ss sev=2 cat=XSense Alerts title=Device is Suspected to be Disconnected (Unresponsive) score=81 reporter=192.168.219.50 rta=0 alertId=6 engine=Operational senderName=sensor Agent UUID=5-1557059334000 site=Site zone=Zone actions=handle dst=192.168.2.2 dstName=192.168.2.2 msg=Device 192.168.2.2 is suspected to be disconnected (unresponsive).
참고
QRadar에 대해 만드는 전달 규칙은 OT 센서의 UUID API를 사용합니다. 자세한 내용은 UUID(UUID에 따라 경고 관리)를 참조하세요.
경고에 사용자 지정 필드 추가
경고에 사용자 지정 필드를 추가하려면 다음을 수행합니다.
속성 추출을 선택합니다.
Regex Based를 선택합니다.
다음 필드를 구성합니다.
매개 변수 설명 새 속성 다음 중 하나가 필요합니다.
- 센서 경고 설명
- 센서 경고 ID
- 센서 경고 점수
- 센서 경고 제목
- 센서 대상 이름
- 센서 직접 리디렉션
- 센서 보낸 사람 IP
- 센서 보낸 사람 이름
- 센서 경고 엔진
- 센서 원본 디바이스 이름구문 분석 최적화 확인합니다. 필드 형식 AlphaNumericEnabled 확인합니다. 로그 원본 유형 Universal LEAF로그 원본 <Sensor Name>이벤트 이름 센서 경고로 이미 설정해야 합니다. 캡처 그룹 1 Regex 다음을 정의합니다.
- 센서 경고 설명 RegEx:msg=(.*)(?=\t)
- 센서 경고 ID RegEx:alertId=(.*)(?=\t)
- 센서 경고 점수 RegEx:Detected score=(.*)(?=\t)
- 센서 경고 제목 RegEx:title=(.*)(?=\t)
- 센서 대상 이름 RegEx:dstName=(.*)(?=\t)
- 센서 직접 리디렉션 RegEx:rta=(.*)(?=\t)
- 센서 보낸 사람 IP: RegEx:reporter=(.*)(?=\t)
- 센서 발신자 이름 RegEx:senderName=(.*)(?=\t)
- 센서 경고 엔진 RegEx:engine =(.*)(?=\t)
- 센서 원본 디바이스 이름 RegEx:src