Intégration de QRadar avec VirusTotal

Bonjour. Dans le dernier article, nous avons envisagé créer des règles, et aujourd’hui je veux décrire la méthode qui aidera les administrateurs SIEM à répondre plus rapidement aux incidents de sécurité possibles.

Lors de la gestion des incidents de sécurité de l’information dans QRadar, il est extrêmement important d’augmenter la vitesse de travail des opérateurs et des analystes dans le SOC. L’utilisation des outils intégrés offre de vastes opportunités, mais les technologies se développent, de nouveaux produits et plateformes émergent.
Afin de rendre le travail des spécialistes de la sécurité de l’information dans le SOC plus efficace, je recommande d’utiliser la fonctionnalité « Right Click Properties ». Cette fonctionnalité vous permet de configurer une intégration simple avec différentes plateformes pour obtenir des informations plus détaillées sur les champs dans les logs, qui sont en cours d’enquête dans QRadar. Il est souhaitable de commencer l’intégration par des tâches simples et regardons l’exemple ci-dessous pour comprendre comment le faire correctement.

Intégration avec la ressource publique VirusTotal

Pourquoi avons-nous besoin d’une telle intégration ? Elle nous aidera à automatiser le travail des spécialistes de la sécurité de l’information et à obtenir rapidement des informations pour tirer des conclusions sur la réputation.
Avant de commencer l’intégration, nous devons déterminer quels champs des logs doivent être vérifiés sur cette ressource.
Il est important de se souvenir : commencer l’intégration de préférence par un ou deux champs, puis ajouter tous les autres champs dont vous avez besoin. Il est également important de se rappeler la partie licence de la ressource que vous envisagez d’utiliser pour ne pas violer l’accord.
Alors commençons.
Par exemple, nous avons choisi les champs suivants pour l’intégration : IP Source, Hash, URL.
La première chose à faire est de découvrir le nom exact de ces variables dans la base de données QRadar.
Pour ce faire, effectuez une recherche et ajoutez les champs IP Source, Hash, URL aux colonnes de recherche.
Ensuite, pointez simplement la souris sur la colonne où la variable nécessaire est sélectionnée.
Au bas de l’écran, dans notre cas – à gauche, un indice de navigateur est mis en évidence en rouge.Comme vous pouvez le voir, la variable s’appelle sourceIP.
Ensuite, nous passons en SSH au serveur QRadar. Allez au /opt/qradar/conf folder.
Nous avons besoin du fichier arielRightClick.properties. Je recommande de faire une copie de sauvegarde du fichier avant de le modifier.
Ouvrez le fichier arielRightClick.properties.
Dans la ligne « pluginActions = » ajoutez le nom des variables qui s’afficheront dans la console web QRadar lorsque vous faites un clic droit sur les champs correspondants dans les logs.
Par exemple :* pluginActions = VirusTotal_Source_IP, VirusTotal_Hash, VirusTotal_URLEnsuite, nous écrivons ce qui suit :VirusTotal_Source_IP.arielProperty=sourceIP

VirusTotal_Source_IP.text= Vérification de l’IP Source VirusTotal

VirusTotal_Source_IP.url= https://www.virustotal.com/#/search/$sourceIP$Ensuite, nous répétons cette opération de la même manière pour les variables restantes.
Redémarrez le serveur Web. Admin – Avancé – Redémarrer Serveur Web.
Profitez-en.