IBM QRadar
注意
本文介绍GravityZone云平台与IBM QRadar的集成信息。若需GravityZone本地部署集成方案,请参阅 IBM QRadar .
概述
该集成方案使您能够通过 GravityZone 事件与IBM QRadar实现更高效的监控。 Bitdefender QRadar专用DSM模块 作为设备支持模块,可按照QRadar高级/低级威胁分类标准对事件进行分类,使管理员能够执行复杂搜索、跨多事件类型及来源的关联分析,并开展包含GravityZone技术层深度报告信息的威胁狩猎活动。
先决条件
-
IBM QRadar 7.3.3版本(补丁6)或IBM QRadar云
在QRadar中部署应用程序
要安装 Bitdefender QRadar专用DSM模块 到IBM QRadar中:
-
登录IBM QRadar系统。
-
点击 管理员 选项卡。
-
在 系统配置 区域下,点击 扩展管理 ,新窗口将弹出。
-
点击右侧的 添加 按钮,然后 浏览 选择安装包。
-
勾选 立即安装 ,再点击 添加 .
-
点击 安装 .
您可以在 扩展管理 窗口在安装完成后。
配置HTTP接收器
以下配置步骤可能因QRadar版本不同而有所差异(适用于7.5.0更新包3及更早版本)。更多信息请参阅 IBM官方文档 .
要在QRadar中配置 HTTP接收器 ,请按以下步骤操作:
-
登录IBM QRadar。
-
进入 管理员 界面并点击 QRadar日志源管理 应用图标。
-
选择 日志源 .
-
使用 +新建日志源 按钮创建新日志源。
-
在 单一日志源 与 多重日志源 .
-
搜索并选择 Bitdefender JSON HTTP 日志源类型。点击 步骤2:选择协议类型 按钮继续操作。
-
搜索并选择 HTTP接收器 协议类型。点击 步骤3:配置日志源参数 按钮继续操作。
-
根据需要配置日志源参数。部分设置已预配置,您可保留默认值或按需修改。点击 步骤3:配置协议参数 按钮继续操作。
-
配置协议参数。日志源标识符为您的GravityZone控制台网址。
注意
确保通信类型为HTTPS,TLS版本为TLSv1.2,且监听端口设置正确。
-
测试参数并完成设置。
将HTTP接收器订阅至 GravityZone 事件推送API服务
要使用HTTP接收器,需配置 GravityZone 事件推送API服务以将事件发送至QRadar实例。
可按照以下步骤在 GravityZone 控制中心生成API密钥:
-
登录 GravityZone 控制中心。
-
进入 我的账户 .
-
在 API密钥 部分,点击 添加 .
-
勾选 事件推送服务 复选框并点击 生成 。新窗口将显示API密钥,请务必将其保存在安全位置。
-
点击 保存 以保留更改。
-
请记住 API密钥 和 访问URL .
现在,您可以使用Postman或其他自选的API测试工具,开始通过 GravityZone 事件推送API服务发送事件。有关通用API功能的更多信息,请参阅我们的 公共API 文档。
在API测试工具中,您可以使用 setPushEventSettings 方法及以下指南配置请求:
-
所需URL格式为CONTROL_CENTER_APIs_ACCESS_URL/v1.0/jsonrpc/push,其中需将CONTROL_CENTER_APIs_ACCESS_URL替换为您的 GravityZone 访问URL。
-
授权类型应选择basic。
-
用户名为先前获取的API密钥。
-
您可以使用 此请求示例 并按如下方式配置:
-
服务类型的值为
qradar. -
URL的值为QRadar实例地址,后接HTTP接收器中先前配置的端口。
-
默认情况下请求包含多种事件类型,但您可以通过将相应事件类型值设为
true或false.
-
成功的请求响应应包含值
true
。几分钟后,您可在QRadar实例中查看请求的事件。
保存的搜索
为帮助您识别安全事件 Bitdefender QRadar专用DSM 根据事件提供模块存储了以下预定义搜索项:
内容控制
-
Bitdefender-被拦截应用活动报告-高级搜索时间范围 集中显示被拦截应用事件,并提供最后拦截日期、计算机IP和应用程序路径等详细信息。
-
Bitdefender-被拦截应用影响对象-高级搜索时间范围 汇总被拦截应用的聚合事件。此快速搜索提供前10位用户及其对应IP地址、最后拦截日期及特定应用的总检测次数等详情。双击任意行项目可查看构成该行的事件详情。
-
Bitdefender-被拦截网站活动报告-高级搜索时间范围 集中显示特定网站被拦截事件,可查看最后拦截日期、计算机IP和URL。
防火墙
-
Bitdefender-防火墙事件活动报告-高级搜索时间范围 集中显示被拦截流量事件,可查看最后拦截日期、计算机IP、源IP及被拦截流量的协议ID。
-
Bitdefender-防火墙事件拦截动作-高级搜索时间范围 集中记录被拦截流量的相关事件。快速搜索可提供事件详情,包括最后应用路径、TCP/IP协议ID及状态。
-
Bitdefender-防火墙事件Top 10来源IP – 高级搜索时间范围 汇总被拦截流量的聚合事件。快速搜索可显示前10位主机及其拦截事件计数。
HyperDetect
-
Bitdefender-HyperDetect活动报告 – 高级搜索时间范围 集中记录威胁检测事件,并提供详细信息如检测时间戳、恶意软件名称、文件路径及终端IP。
-
Bitdefender-HyperDetect按威胁分类检测 – 高级搜索时间范围 汇总威胁事件聚合数据,可查看 HyperDetect 模块检测到的最常见威胁及其检测次数。
-
Bitdefender-HyperDetect持续感染主机 – 高级搜索时间范围 聚焦于上报威胁检测但未清除(可能仍存在于终端)的主机威胁事件。
-
Bitdefender-HyperDetect Top 10威胁 – 高级搜索时间范围 汇总威胁事件聚合数据,快速搜索提供前10位检测到的威胁 HyperDetect 模块信息及其检测次数。
事件传感器
-
Bitdefender-事件活动报告 – 高级搜索时间范围 集中记录由 GravityZone 平台生成的事件。可查看事件ID、严重程度及若检测到恶意软件时的检测名称。
-
Bitdefender-按攻击类型分类事件检测 – 高级搜索时间范围 汇总由 GravityZone 平台生成的事件聚合数据。快速搜索可基于检测到的攻击类型查看全部事件概览。
-
Bitdefender-高严重性事件 – 高级搜索时间范围 集中记录由 GravityZone 平台生成的高严重性事件。快速搜索可快速聚焦高严重性案例并了解其生成的事件总量。
反恶意软件
-
Bitdefender恶意软件活动报告 - 高级搜索时间范围 集中显示检测到恶意软件的事件。您可以查看检测时间戳、恶意软件名称、文件路径及终端IP等信息。
-
Bitdefender按威胁分类的恶意软件检测 - 高级搜索时间范围 汇总检测到恶意软件的聚合事件。该快速搜索可显示受保护终端上单个恶意软件的检测次数详情。
-
Bitdefender持续感染主机报告 - 高级搜索时间范围 集中显示扫描项被忽略、恢复或仍存在的事件。可查看IP地址、用户名、计算机名、恶意软件类型、名称及操作状态等详细信息。
-
Bitdefender十大威胁报告 - 高级搜索时间范围 汇总检测到恶意软件的聚合事件。该快速搜索可提供 反恶意软件 模块检测到的十大威胁及其检测次数。
注意
以下专属 GravityZone 本地控制台的预设搜索可在 IBM QRadar .
使用这些搜索请按以下步骤操作:
-
点击 日志活动 标签页。
-
点击 快速搜索 (位于页面左上角)。您将看到包含所有已保存搜索(自定义和预定义)的列表。
若未列出搜索项,请执行以下操作:
-
点击 搜索 按钮(位于页面左上角)并选择 新建搜索 .
-
在文本框输入搜索名称或从 可用保存的 搜索 .
-
点击 加载 按钮。
-
加载完成后,勾选 包含在我的 快速搜索 复选框。
-
点击页面右下角的 搜索 按钮。完成后,您可以在 快速搜索 列表中查看该搜索。
-
-
选择感兴趣的搜索以列出所有匹配事件。
查看和探索事件
该集成使您能够实时查看事件,并使用可自定义查询对其进行适当调查。
调查事件步骤:
-
访问 日志活动 选项卡。
-
点击 快速搜索 .
-
选择预定义的搜索。
-
自定义或使用相应的默认查询。
-
点击 搜索 .
-
双击您感兴趣的事件。您可以在 事件信息 窗口。
在同一窗口中,您还可以查看事件的JSON格式。
如需获取有关GravityZone事件的更多信息,请参阅 事件类型 .