Integration von QRadar mit VirusTotal

Hallo. Im letzten Artikel haben wir betrachtet Regeln erstellen, und heute möchte ich die Methode beschreiben, die SIEM-Administratoren helfen wird, schneller auf mögliche Sicherheitsvorfälle zu reagieren.

Beim Umgang mit Informationssicherheitsvorfällen in QRadar ist es äußerst wichtig, die Arbeitsgeschwindigkeit von Operatoren und Analysten im SOC zu erhöhen. Die Nutzung von integrierten Tools bietet viele Möglichkeiten, aber Technologien entwickeln sich weiter, neue Produkte und Plattformen entstehen.
Um die Arbeit von IS-Spezialisten im SOC effizienter zu gestalten, empfehle ich die Verwendung der Funktionalität „Right Click Properties“. Diese Funktionalität ermöglicht es Ihnen, eine einfache Integration mit verschiedenen Plattformen zu konfigurieren, um detailliertere Informationen zu jenen Feldern in Logs zu erhalten, die in QRadar untersucht werden. Die Integration sollte idealerweise mit einfachen Aufgaben beginnen, und betrachten wir das folgende Beispiel, um zu verstehen, wie es richtig gemacht wird.

Integration mit dem öffentlichen Ressourcen VirusTotal

Warum brauchen wir eine solche Integration? Sie wird uns helfen, die Arbeit der IS-Spezialisten zu automatisieren und schnell Informationen zu erhalten, um Rückschlüsse auf den Ruf zu ziehen.
Bevor wir mit der Integration beginnen, müssen wir bestimmen, welche Felder aus den Logs auf dieser Ressource geprüft werden sollen.
Es ist wichtig, zu beachten: Beginnen Sie die Integration besser mit einem oder zwei Feldern und fügen Sie dann alle weiteren benötigten Felder hinzu. Es ist auch wichtig, den Lizenzteil der Ressource zu berücksichtigen, die Sie verwenden möchten, um keine Vereinbarung zu verletzen.
Also lassen Sie uns anfangen.
Zum Beispiel haben wir die folgenden Felder für die Integration ausgewählt: Quell-IP, Hash, URL.
Das Erste, was zu tun ist, ist den genauen Namen dieser Variablen in der QRadar-DB herauszufinden.
Um dies zu tun, machen Sie eine Suche und fügen Sie die Felder Quell-IP, Hash, URL zu den Suchspalten hinzu.
Führen Sie dann einfach den Mauszeiger auf die Spalte, in der die erforderliche Variable ausgewählt wird.
Am unteren Bildschirmrand, in unserem Fall – links, wird ein Browser-Hinweis in Rot hervorgehoben.Wie Sie sehen können, wird die Variable genannt sourceIP.
Als nächstes gehen wir über SSH zum QRadar-Server. Gehen Sie zum /opt/qradar/conf-Verzeichnis.
Wir benötigen die Datei arielRightClick.properties. Ich empfehle, vor der Bearbeitung eine Sicherungskopie der Datei zu erstellen.
Öffnen Sie die Datei arielRightClick.properties.
In der Zeile „pluginActions =“ fügen Sie den Namen der Variablen hinzu, die bei einem Rechtsklick auf die entsprechenden Felder in den Logs in der QRadar-Web-Konsole angezeigt werden.
Zum Beispiel:* pluginActions = VirusTotal_Source_IP, VirusTotal_Hash, VirusTotal_URLDann schreiben wir folgendes:VirusTotal_Source_IP.arielProperty=sourceIP

VirusTotal_Source_IP.text= VirusTotal Source IP Prüfung

VirusTotal_Source_IP.url= https://www.virustotal.com/#/search/$sourceIP$Dann wiederholen wir diese Operation auf die gleiche Weise für die verbleibenden Variablen.
Starten Sie den Webserver neu. Admin – Erweitert – Neustart Webserver.
Viel Spaß.