IBM QRadar

概述

该集成方案可帮助您更全面地监控 GravityZone 事件通过IBM QRadar进行监控。 Bitdefender QRadar专用DSM模块 该设备支持模块可根据QRadar高级/低级威胁类别对事件进行分类，使QRadar管理员能够执行复杂搜索、跨多事件类型及来源的关联分析，并开展包含GravityZone技术层所报告深度信息的威胁狩猎活动。

前提条件

IBM QRadar 7.3.3版本（补丁6）或IBM QRadar云平台

在QRadar中部署应用

安装 Bitdefender QRadar专用DSM模块 至IBM QRadar的步骤：

登录IBM QRadar系统。
点击 管理员 标签页。
在 系统配置 区域点击 扩展管理 ，新窗口将弹出。
点击右侧添加按钮后浏览选择安装包。
勾选 立即安装 并点击添加 .
点击安装 .

安装完成后，您可以在 扩展管理 窗口中找到该应用程序。

配置HTTP接收器

以下配置步骤可能适用于QRadar 7.5.0更新包3及更早版本。更多信息，请参考 IBM官方文档 .

要在QRadar中配置 HTTP接收器 ，请执行以下操作：

登录IBM QRadar。
转到管理并点击 QRadar日志源管理 应用程序图标。
选择 日志源 .
使用 +新建日志源 按钮创建新的日志源。
在 单一日志源 或 多个日志源 .
搜索并选择 Bitdefender JSON HTTP 日志源类型。点击 步骤2：选择协议类型 按钮继续。
搜索并选择 HTTP接收器 协议类型。点击 步骤3：配置日志源参数 按钮继续。
根据需要配置日志源参数。部分设置已预配置，您可以保留默认值或根据需求修改。点击 步骤3：配置协议参数 按钮继续。
配置协议参数。日志源标识符为您的GravityZone控制台网址。

注意

确保通信类型为HTTPS、TLS版本为TLSv1.2且监听端口设置正确。
测试参数并完成设置。

将HTTP接收器订阅至 GravityZone 事件推送API服务

要使用HTTP接收器，需配置 GravityZone 事件推送API服务以将事件发送至QRadar实例。

您可按照以下步骤在 GravityZone 控制中心生成API密钥：

登录 GravityZone 控制中心。
进入 我的账户 .
在 API密钥 部分，点击添加 .
勾选 事件推送服务 复选框并点击生成。新窗口将显示API密钥，请务必将其保存在安全位置。
点击保存以保留更改。
请记住 API密钥 和 访问URL .

现在，您可以使用Postman或其他自选的API测试工具，开始通过 GravityZone 事件推送API服务发送事件。有关通用API功能的更多信息，请参阅我们的公共API 文档。

在API测试工具中，您可以使用 setPushEventSettings 方法及以下指南配置请求：

所需URL格式为CONTROL_CENTER_APIs_ACCESS_URL/v1.0/jsonrpc/push，其中需将CONTROL_CENTER_APIs_ACCESS_URL替换为您的 GravityZone 访问URL。
授权类型应为基本认证。
用户名为您先前获取的API密钥。
您可以使用此请求示例并按如下方式配置：
- 服务类型的值为 qradar .
- URL值为QRadar实例地址，后接HTTP接收器中预先配置的端口号。
- 默认情况下请求包含多种事件类型，但您可通过将该事件类型值设为 true 或 false .

请求成功的响应值应为 true 。几分钟后，您即可在QRadar实例中查看请求的事件。

保存的搜索

为帮助您识别安全事件 Bitdefender QRadar专用数据源模块 根据事件来源模块存储了以下预定义的搜索项：

内容控制

Bitdefender-被拦截应用程序活动报告 - 高级搜索时间范围 集中显示被拦截应用程序事件，并提供最后拦截日期、计算机IP和应用程序路径等详细信息。
Bitdefender-被拦截应用程序影响对象 - 高级搜索时间范围 汇总被拦截应用程序的聚合事件。此快速搜索提供前10名用户及其对应IP地址、最后拦截日期及特定应用程序检测总数等详细信息。双击任意行项目可查看构成该行项目的事件详情。
Bitdefender-被拦截网站活动报告 - 高级搜索时间范围 集中显示特定网站被拦截的事件。您可以查看最后拦截日期、计算机IP和URL。

防火墙

Bitdefender-防火墙事件活动报告 – 高级搜索时间范围 集中显示被拦截的流量事件。您可以查看最后拦截日期、计算机IP、源IP和被拦截流量的协议ID。
Bitdefender-防火墙事件拦截操作 – 高级搜索时间范围 集中显示流量被拦截的事件。快速搜索提供有关事件的更多详细信息，例如最后应用程序路径、TCP/IP协议ID和状态。
Bitdefender-防火墙事件前10大源IP – 高级搜索时间范围 集中显示流量被拦截的聚合事件。快速搜索提供前10大主机和拦截事件计数。

HyperDetect

Bitdefender-HyperDetect活动报告 – 高级搜索时间范围 集中显示检测到威胁的事件，并提供详细信息，例如检测时间戳、恶意软件名称、文件路径和终端IP。
Bitdefender-HyperDetect按威胁分类的检测 – 高级搜索时间范围 集中显示聚合的威胁事件，您可以查看 HyperDetect 模块检测到的最多威胁以及检测次数。
Bitdefender-HyperDetect仍受感染的主机 – 高级搜索时间范围 集中显示威胁事件，重点关注报告了威胁检测但未移除威胁（可能仍存在于终端上）的主机。
Bitdefender-HyperDetect前10大威胁 – 高级搜索时间范围 集中显示聚合的威胁事件。此搜索提供有关检测到的前10大威胁的信息 HyperDetect 模块以及检测次数。

事件传感器

Bitdefender-事件活动报告 – 高级搜索时间范围 集中显示由 GravityZone 平台生成的事件。您可以查看此类事件的事件ID、事件严重性以及如果在事件中确实检测到恶意软件，还可以查看检测名称。
Bitdefender-按攻击类型分类的事件检测 – 高级搜索时间范围 集中显示由 GravityZone 平台生成的聚合事件。快速搜索帮助您根据检测到的攻击类型查看所有事件。
Bitdefender-高严重性事件-高级搜索时间范围 集中展示由 GravityZone 平台生成的高严重性事件。快速搜索功能可帮助您聚焦高严重性案例，并快速了解此类案例生成的事件总量。

反恶意软件

Bitdefender-恶意软件活动报告-高级搜索时间范围 集中展示检测到恶意软件的事件。您可以查看检测时间戳、恶意软件名称、文件路径及终端IP等信息。
Bitdefender-按威胁分类的恶意软件检测-高级搜索时间范围 集中展示检测到恶意软件的聚合事件。快速搜索功能提供关于单个恶意软件在受保护终端上被检测次数的详细信息。
Bitdefender-仍受感染的恶意软件主机-高级搜索时间范围 集中展示扫描项被忽略、恢复或仍存在的事件。可查看IP地址、用户名、计算机名、恶意软件类型、恶意软件名称及操作状态等详细信息。
Bitdefender-十大恶意软件威胁-高级搜索时间范围 集中展示检测到恶意软件的聚合事件。快速搜索功能提供由反恶意软件模块检测到的十大威胁及其检测次数。

注意

特定于 GravityZone 本地控制台的已保存搜索可在 IBM QRadar .

使用这些搜索请按以下步骤操作：

点击 日志活动 标签页。
点击页面左上角的 快速搜索 。您将看到包含所有已保存搜索（自定义和预定义）的列表。

若搜索未列出，请按以下步骤操作：
1. 点击搜索按钮，位于页面左上角，然后选择 新建搜索 .
2. 在文本框中输入搜索名称，或从 可用保存的搜索 .
3. 点击加载按钮。
4. 加载完成后，勾选包含在我的 快速搜索 复选框。
5. 点击搜索按钮，位于页面右下角。完成后，您可以在 快速搜索 列表中查看该搜索。
选择感兴趣的搜索以列出所有匹配的事件。

查看和探索事件

该集成功能使您能够实时查看事件，并通过可自定义的查询进行深入调查。

要调查一个事件：

访问 日志活动 选项卡。
点击 快速搜索 .
选择一个预定义的搜索。
自定义或使用对应的默认查询。
点击搜索 .
双击您感兴趣的事件。您可以在 事件信息 窗口中查看详情。

在同一窗口中，您还可以查看事件的JSON格式数据。

有关GravityZone事件的更多信息，请参阅事件类型 .