跳至主内容

IBM QRadar

注意

本文提供关于GravityZone本地部署与IBM QRadar集成的信息。如需GravityZone云端集成方案,请参阅 IBM QRadar .

概述

该集成使您能够更好地监控 GravityZone 通过IBM QRadar生成的事件。 Bitdefender QRadar专用设备支持模块 是一个根据QRadar高级和低级威胁分类标准对事件进行归类的模块,使QRadar管理员能够执行复杂搜索、跨多事件类型及来源的关联分析,并开展包含 GravityZone 技术层所报告深度信息的威胁狩猎活动。

先决条件

  • IBM QRadar本地部署版本7.3.3(补丁6)。

  • Bitdefender GravityZone 本地部署最低版本6.23.x,需启用TCP或UDP协议的Syslog功能。

启用事件发送

允许 GravityZone 通过Syslog协议向QRadar实例发送事件:

  1. 连接至 GravityZone 控制中心 .

  2. 进入 配置 页面并点击 其他设置 .

  3. 勾选 启用Syslog 复选框。

  4. 输入QRadar实例的IP地址、首选协议及Syslog监听端口。

  5. 选择 通用事件格式(CEF) 作为发送数据至Syslog服务器的格式。

  6. 点击 添加 按钮(位于 操作 列)。

    Enable_Syslog.png

选择要在QRadar实例上接收的事件:

  1. 连接至 GravityZone 控制中心 .

  2. 点击 通知 菜单栏右侧的按钮,然后点击 设置 图标。

  3. 启用通知 部分,选择您希望从 GravityZone 接收的通知类型,并勾选 记录到服务器 复选框。

更多信息,请参阅 通知类型 .

在QRadar中部署应用程序

要安装 Bitdefender QRadar专用DSM 到IBM QRadar:

  1. 登录IBM QRadar。

    QRadar.PNG

  2. 点击 管理员 选项卡。

  3. 系统配置 部分,点击 扩展管理 新窗口将随即打开。

  4. 点击 添加 按钮(位于右侧),然后 浏览 选择安装包。

  5. 勾选 立即安装 ,随后点击 添加 .

  6. 点击 安装 .

安装完成后,您可在 扩展管理 窗口中找到该应用程序。

Installation.PNG

配置日志源

对于QRadar 7.5.0更新包3及更早版本,下列配置步骤可能有所不同。更多信息请参阅 IBM官方文档 .

要在QRadar实例中接收安全事件,请按以下步骤操作:

  1. 进入 管理 并点击 QRadar日志源管理 应用图标。

  2. 选择 日志源 .

  3. 使用 +新建日志源 按钮创建新的日志源。

  4. 单一日志源 多重日志源 .

  5. 搜索并选择 Bitdefender CEF Syslog 日志源类型。点击 步骤2:选择协议类型 按钮继续。

    Configure_Log_Source.png

  6. 搜索并选择 Syslog 协议类型。点击 步骤3:配置日志源参数 按钮继续。

  7. 根据需要配置日志源参数。点击 步骤3:配置协议参数 按钮继续。

  8. 配置协议参数。日志源标识符为 GravityZone 设备主机名。默认主机名为 gzva .

  9. 点击 完成 .

已保存的搜索

为帮助您识别安全事件 Bitdefender DSM for QRadar 存储了两个预设搜索项:

  • Bitdefender 恶意软件 - 仍受感染主机 ”(本地部署版) 集中收集来自 反恶意软件 HyperDetect 模块的事件。您可以查看被相应技术扫描的项目被忽略、恢复或仍存在的事件。这些事件提供IP地址、用户名、计算机名、恶意软件类型、恶意软件名称及操作状态等详细信息。

  • Bitdefender 威胁概览 ”(本地部署版) 集中收集以下模块的事件: 反恶意软件 、反钓鱼、 高级威胁控制 , Exchange安全防护 , HyperDetect , 沙盒分析器 , 高级漏洞防护 , 内容控制 , 存储安全 勒索软件防护 。事件详情包含IP地址、用户名、计算机名及操作状态等信息。

使用这些搜索功能请按以下步骤操作:

  1. 点击 日志活动 标签页。

  2. 从页面左上角选择 快速搜索 ,即可查看所有已保存的搜索列表(包括自定义和预定义搜索)。

    Saved_Searches_OP.PNG

    若未列出这两个搜索项,请按以下步骤操作:

    1. 点击页面左上角的 搜索 按钮并选择 新建搜索 .

    2. 在文本框输入搜索名称,或从 可用保存搜索 .

    3. 点击 加载 按钮。

    4. 加载完成后,勾选 纳入我的 快速搜索 复选框。

    5. 单击 搜索 页面右下角的按钮。完成后,您可以在 快速搜索 列表中查看搜索结果。

  3. 选择感兴趣的搜索,以列出所有匹配的事件。

查看事件并探索数据

此集成使您能够实时查看事件,并使用可自定义的查询对事件进行适当调查。

要调查一个事件:

  1. 访问 日志活动 选项卡。

  2. 单击 快速搜索 .

  3. 选择 Bitdefender“恶意软件-仍受感染的主机”(本地) Bitdefender“威胁概述”(本地) .

  4. 自定义或使用相应的默认查询。

    Bitdefender “恶意软件-仍受感染的主机”(本地)的默认查询 

    SELECT DVC as "IP地址", "目标用户名", "目标计算机名", "恶意软件类型", "恶意软件名称", "操作状态" FROM events WHERE LOGSOURCETYPENAME(devicetype) = 'Bitdefender CEF Syslog' and QIDNAME(qid) IN('AntiMalware','HyperDetect Activity') and "恶意软件类型" IN ('file', 'http', 'cookie', 'pop3', 'smtp', 'process', 'boot', 'registry', 'stream') and "操作状态" IN('still present', 'ignored', 'restored')

    Bitdefender “威胁概述”(本地)的默认查询 : 

    SELECT DVC as "IP地址", "目标用户名", "目标计算机名", "操作状态" FROM events WHERE LOGSOURCETYPENAME(devicetype) = 'Bitdefender CEF Syslog' and QIDNAME(qid) IN('Antiphishing','AntiMalware','Behavioral scanning','Exchange Malware Detected', 'HyperDetect Activity', 'HVI', 'Sandbox Analyzer Detection', 'Exploit Mitigation', 'Web Control', 'Storage Antimalware', 'Ransomware Detection') and ("事件类型" NOT IN (NULL,'N/A','None') OR "恶意软件类型" NOT IN (NULL,'N/A','None') OR "利用类型" NOT IN (NULL,'N/A','None') OR "威胁名称" NOT IN (NULL,'N/A','None') OR "攻击类型" NOT IN (NULL,'N/A','None') OR "应用程序控制阻止类型" NOT IN (NULL,'N/A','None'))

  5. 点击 搜索 .

    View_Events.png

  6. 双击您感兴趣的事件。您可以在 事件信息 窗口中查看详情。

    View_Events_Q.png

    在同一窗口中,您还可以查看CEF格式的事件。

    View_Events_CEF.png

要获取有关GravityZone事件的更多信息,请参阅 Syslog事件类型 .

本节内容 :