Jak zintegrować Bitdefender GravityZone w chmurze z IBM QRadar

W tym artykule opiszemy jak zintegrować Bitdefender GravityZone w chmurze z IBM QRadar.

Wstęp

Ta integracja zapewnia możliwość lepszego monitorowania zdarzeń GravityZone przy użyciu IBM QRadar. Bitdefender DSM for QRadar to moduł obsługi urządzeń, który zapewnia kategoryzację zdarzeń zgodnie z kategoriami zagrożeń QRadar wysokiego i niskiego poziomu, umożliwiając administratorowi QRadar wykonywanie złożonych wyszukiwań, korelacji krzyżowych między wieloma typami zdarzeń i źródłami oraz wykonywanie działań związanych z polowaniem na zagrożenia, które obejmują szczegółowe informacje zgłaszane przez warstwy technologiczne GravityZone.

Wymagania

• IBM QRadar 7.3.3 (Patch 6) lub IBM QRadar Cloud

Wdrożenie aplikacji w QRadar

Aby zainstalować  Bitdefender DSM for QRadar w IBM QRadar.

1. Zaloguj się do IBM QRadar.

2. Przejdź do zakładki Admin.

3. W sekcji  System Configuration kliknij Extensions Management. Otworzy Ci się nowe okno.

4. Kliknij Add.

5. Wybierz Install immediately i kliknij Add.

6. Kliknij Install.

Po zakończeniu instalacji aplikacja będzie widoczna w Extensions Management.

Konfiguracja HTTP Receiver

1. Przejdź do sekcji Admin i kliknik QRadar Log Source Management.

2. Wybierz Log Sources.

3. Utwórz nowe źródło logów klikając +New Log Source.

4. Wybierz pomiędzy Single Log Source lub Multiple Log Sources.

5. Wybierz Bitdefender JSON HTTP w log source type. Następnie kliknij Select Protocol Type aby kontynuować.

6. Wyszukaj i wybierz typ protokołu HTTP Receiver. Kliknij Configure Log Source Parameter aby kontynuować.

7. Skonfiguruj źródło logów według własnych potrzeb. Kliknij Configure Protocol Parameters aby kontynuować.

8. Skonfiguruj parametry protokołu. Identyfikatorem źródła logów jest adres Twojej konsoli GravityZone. 

9. Przetestuj paramtery i zakończ konfigurację.

Subskrypcja HTTP Receivera dla API GravityZone

1. Zaloguj się do GravityZone Control Center.

2. Przejdź do Moje Konto.

3. Kliknij Dodaj w sekcji Klucze API.

4. Wybierz Event Push Service  i kliknij Wygeneruj. Klucz API wyświetli się w nowym oknie – zapisz go w bezpiecznym miejscu.

5. Kliknij Zapisz.

6. Zapisz klucz API i URL do dostępu. 

Zapisane wzorce wyszukiwania

1. Kliknij Log Activity.

2. Kliknij Quick Searches. Wyświetli Ci się lista z przygotowanymi wzorcami wyszukiwania. 

3. Wybierz interesujący Cię wzorzec, aby wyświetlić wszystkie wyniki.

Przeglądanie zdarzeń i danych

Aby zbadać zdarzenie: 

1. Przejdź do zakładki Log Activity.

2. Kliknij Quick Searches.

3. Wybierz jeden z predefiniowanych wzorców.

4. Dostosuj swoje zapytanie lub skorzystaj z domyślnego.

5. Kliknij Search. 

6. Kliknij dwukrotnie w zdarzenie, które przykuło Twoją uwagę. W oknie Event Information możesz zobaczyć jego szczegóły.

W tym samym oknie możesz również wyświetlić zdarzenie w formacie JSON.

Źródło: https://www.bitdefender.com/business/support/en/77209-335051-ibm-qradar.html