Jak zintegrować Bitdefender GravityZone w wersji on-premise z IBM QRadar

W tym artykule opiszemy jak zintegrować Bitdefender GravityZone w wersji on-premise z IBM QRadar.

Wstęp

Ta integracja zapewnia możliwość lepszego monitorowania zdarzeń GravityZone przy użyciu IBM QRadar. Bitdefender DSM for QRadar to moduł obsługi urządzeń, który zapewnia kategoryzację zdarzeń zgodnie z kategoriami zagrożeń QRadar wysokiego i niskiego poziomu, umożliwiając administratorowi QRadar wykonywanie złożonych wyszukiwań, korelacji krzyżowych między wieloma typami zdarzeń i źródłami oraz wykonywanie działań związanych z polowaniem na zagrożenia, które obejmują szczegółowe informacje zgłaszane przez warstwy technologiczne GravityZone.

Wymagania

• IBM QRadar On-premises wersja 7.3.3 (Patch 6).

• Bitdefender GravityZone On-premises w wersji minimalnie 6.23.x z włączonym protokołem Syslog. 

Włączenie wysyłania zdarzeń

1. Zaloguj się do Control Center.

2. Przejdź do zakładki Konfiguracja  >  Inne.

3. Zaznacz Włącz Syslog.

4. Podaj adres IP instancji QRader, preferowany protokół oraz port na którym nasłuchuje syslog.

5. Wybierz Common Event Format (CEF) w Format Zdarzenia. 

6. Kliknij przycisk plusa (Dodaj) w sekcji Akcja. 

Aby zdefiniować jakie powiadomienia będą wysyłane do QRadar:

1. Zaloguj się do GravityZone Control Center

2. Przejdź do zakładki Powiadomienia po prawej stronie ekranu i otwórz Ustawienia.

3. Zaznacz Przekazuj do serwera syslog obok powiadomienia, które ma być przekazane do SIEM.

Wdrożenie aplikacji w QRadar

Aby wdrożyć Bitdefender DSM for QRadar:

1. Zaloguj się do IBM QRadar.

2. Przejdź do zakładki Admin.

3. W sekcji  System Configuration kliknij Extensions Management. Otworzy Ci się nowe okno.

4. Kliknij Add.

5. Wybierz Install immediately i kliknij Add.

6. Kliknij Install.

Po zakończeniu instalacji aplikacja będzie widoczna w Extensions Management.

Konfiguracja źródła logów

Aby otrzymywać zdarzenia w instancji QRadar:

1. Przejdź do sekcji Admin i kliknik QRadar Log Source Management.

2. Wybierz Log Sources.

3. Utwórz nowe źródło logów klikając +New Log Source.

4. Wybierz pomiędzy Single Log Source lub Multiple Log Sources.

5. Wybierz Bitdefender CEF Syslog w log source type. Następnie kliknij Select Protocol Type aby kontynuować.

6. Wyszukaj i wybierz typ protokołu syslog. Kliknij Configure Log Source Parameter aby kontynuować.

7. Skonfiguruj źródło logów według własnych potrzeb. Kliknij Configure Protocol Parameters aby kontynuować.

8. Skonfiguruj parametry protokołu. Identyfikatorem źródła logów jest nazwa hosta maszyny wirtualnej GravityZone – domyślnie gzva.

9. Kliknij Finish.

Zapisane wzorce wyszukiwania

Bitdefender DSM for QRadar przechowuje dwa rodzaje zdarzeń:

• Bitdefender “Malware – Still Infected Hosts”(On-prem) centralizuje zdarzenia z modułów Antymalware i HyperDetect. Możesz przeglądać zdarzenia, w których element przeskanowany przez odpowiednią technologię został zignorowany, przywrócony lub nadal jest obecny. Zdarzenia dostarczają szczegółowych informacji, takich jak adres IP, nazwa użytkownika, nazwa komputera, typ złośliwego oprogramowania, nazwa złośliwego oprogramowania i stan akcji.

• Bitdefender “Threats Overview”(On-prem) centralizuje zdarzenia z następujących modułów: Antymalware, Antyphishing, Zaawansowana Kontrola Zagrożeń, Security for Exchange, HyperDetect, Analizator Sandbox, Zaawansowany Anty-Exploit, Kontrola Zawartości, Security for Storage i Łagodzenie Skutków Ransomware.  Zdarzenia dostarczają szczegółowych informacji, takich jak adres IP, nazwa użytkownika, nazwa komputera i stan akcji.

Aby z nich skorzystać:

1. Kliknij Log Activity.

2. Kliknij Quick Searches. Wyświetli Ci się lista z przygotowanymi wzorcami wyszukiwania. 

3. Wybierz interesujący Cię wzorzec, aby wyświetlić wszystkie wyniki.

Przeglądanie zdarzeń i danych

Aby zbadać zdarzenie: 

1. Przejdź do zakładki Log Activity.

2. Kliknij Quick Searches.

3. Wybierz Bitdefender “Malware – Still infected hosts”(On-prem) lub Bitdefender “Threats Overview”(On-prem).

4. Dostosuj swoje zapytanie lub skorzystaj z domyślnego.

Domyślne zapytanie dla Bitdefender “Malware – Still infected hosts”(On-prem)

SELECT DVC as "IP Address", "Target User Name", "Target Computer Name", "Malware Type", "Malware Name", "Action State" FROM events WHERE LOGSOURCETYPENAME(devicetype) = 'Bitdefender CEF Syslog' and QIDNAME(qid) IN('AntiMalware','HyperDetect Activity') and "Malware Type" IN ('file', 'http', 'cookie', 'pop3', 'smtp', 'process', 'boot', 'registry', 'stream') and "Action State" IN('still present', 'ignored', 'restored')

Domyślne zapytanie dla  Bitdefender “Threats Overview”(On-prem)

SELECT DVC as "IP Address", "Target User Name", "Target Computer Name", "Action State" FROM events WHERE LOGSOURCETYPENAME(devicetype) = 'Bitdefender CEF Syslog' and QIDNAME(qid) IN('Antiphishing','AntiMalware','Behavioral scanning','Exchange Malware Detected', 'HyperDetect Activity', 'HVI', 'Sandbox Analyzer Detection', 'Exploit Mitigation', 'Web Control', 'Storage Antimalware', 'Ransomware Detection') and ("Event Type" NOT IN (NULL,'N/A','None') OR "Malware Type" NOT IN (NULL,'N/A','None') OR "Exploit Type" NOT IN (NULL,'N/A','None') OR "Threat Name" NOT IN (NULL,'N/A','None') OR "Attack Type" NOT IN (NULL,'N/A','None') OR "Application Control Block Type" NOT IN (NULL,'N/A','None'))

5. Kliknij Search. 

6. Kliknij dwukrotnie w zdarzenie, które przykuło Twoją uwagę. W oknie Event Information możesz zobaczyć jego szczegóły.

W tym samym oknie możesz również wyświetlić zdarzenie w formacie CEF.

Źródło: https://www.bitdefender.com/business/support/en/77212-158565-ibm-qradar.html