Integración de QRadar con VirusTotal

Hola. En el último artículo consideramos crear reglas, y hoy quiero describir el método que ayudará a los administradores de SIEM a responder más rápidamente a posibles incidentes de seguridad.

Cuando se trabaja con incidentes de seguridad de la información en QRadar, es extremadamente importante aumentar la velocidad de operación de los operadores y analistas en SOC. El uso de herramientas integradas ofrece amplias oportunidades, pero las tecnologías están desarrollándose, surgiendo nuevos productos y plataformas.
Para hacer más eficiente el trabajo de los especialistas de SI en SOC, recomiendo usar la funcionalidad «Propiedades de Clic Derecho». Esta funcionalidad permite configurar una integración sencilla con diferentes plataformas para obtener información más detallada sobre esos campos en los registros que están siendo investigados en QRadar. Es recomendable empezar la integración con tareas simples y veamos el ejemplo a continuación para comprender cómo hacerlo correctamente.

Integración con el recurso público VirusTotal

¿Por qué necesitamos tal integración? Nos ayudará a automatizar el trabajo de los especialistas de SI y a obtener rápidamente información para sacar conclusiones sobre la reputación.
Antes de comenzar la integración, debemos determinar qué campos de los registros son necesarios verificar en este recurso.
Es importante recordar: empezar la integración mejor desde uno o dos campos, y luego añadir todos los otros campos que se necesiten. También es importante tener en cuenta la parte de licencias del recurso que planea usar para no violar el acuerdo.
Así que comencemos.
Por ejemplo, elegimos los siguientes campos para la integración: IP de origen, Hash, URL.
Lo primero que hay que hacer es encontrar el nombre exacto de estas variables en la BD de QRadar.
Para hacer esto, realice una búsqueda y agregue los campos IP de origen, Hash, URL a las columnas de búsqueda.
A continuación, simplemente apunte con el ratón a la columna, donde se selecciona la variable necesaria.
En la parte inferior de la pantalla, en nuestro caso – a la izquierda, una sugerencia del navegador se resalta en rojo.Como puede ver, la variable se llama sourceIP.
A continuación, vamos vía SSH al servidor de QRadar. Vamos a la carpeta /opt/qradar/conf.
Necesitamos el archivo arielRightClick.properties. Recomiendo hacer una copia de seguridad del archivo antes de modificarlo.
Abrir el archivo arielRightClick.properties.
En la línea «pluginActions =» agregue el nombre de las variables que se mostrarán en la consola web de QRadar cuando haga clic derecho sobre los campos correspondientes en los registros.
Por ejemplo:* pluginActions = VirusTotal_Source_IP, VirusTotal_Hash, VirusTotal_URLLuego escribimos lo siguiente:VirusTotal_Source_IP.arielProperty=sourceIP

VirusTotal_Source_IP.text= Revisión de IP de Origen VirusTotal

VirusTotal_Source_IP.url= https://www.virustotal.com/#/search/$sourceIP$Luego repetimos esta operación de la misma manera para las variables restantes.
Reiniciamos el Servidor Web. Admin – Avanzado – Reiniciar Servidor Web.
Disfrutar.