Integrazione di QRadar con VirusTotal

Ciao. Nell’ultimo articolo abbiamo considerato la creazione di regole, e oggi voglio descrivere il metodo che aiuterà gli amministratori di SIEM a rispondere più rapidamente a possibili incidenti di sicurezza.

Quando si lavora con gli incidenti di sicurezza informatica in QRadar, è estremamente importante aumentare la velocità di operazione degli operatori e degli analisti nel SOC. L’uso di strumenti integrati offre ampie opportunità, ma le tecnologie si sviluppano, nuovi prodotti e piattaforme emergono.
Per rendere il lavoro degli specialisti IT nel SOC più efficiente, consiglio di usare la funzionalità “Right Click Properties”. Questa funzionalità permette di configurare un’integrazione semplice con diverse piattaforme per ottenere informazioni più dettagliate sui campi nei log, che sono sotto indagine in QRadar. È auspicabile avviare l’integrazione con compiti semplici e vediamo l’esempio sotto per capire come farlo correttamente.

Integrazione con la risorsa pubblica VirusTotal

Perché abbiamo bisogno di tale integrazione? Ci aiuterà ad automatizzare il lavoro degli specialisti IT e ottenere rapidamente informazioni per trarre conclusioni sulla reputazione.
Prima di iniziare l’integrazione, dobbiamo determinare quali campi dei log devono essere verificati su questa risorsa.
È importante ricordare: è meglio iniziare l’integrazione da uno o due campi, e poi aggiungere tutti gli altri campi di cui hai bisogno. È anche importante ricordare la parte di licenza della risorsa che prevedi di utilizzare per non violare l’accordo.
Allora iniziamo.
Per esempio, abbiamo scelto i seguenti campi per l’integrazione: IP sorgente, Hash, URL.
La prima cosa da fare è scoprire il nome esatto di queste variabili nel DB di QRadar.
Per fare ciò, esegui una ricerca e aggiungi i campi IP sorgente, Hash, URL alle colonne di ricerca.
Successivamente, basta puntare il mouse sulla colonna, dove viene selezionata la variabile necessaria.
In fondo allo schermo, nel nostro caso – a sinistra, un suggerimento del browser è evidenziato in rosso.Come vedi, la variabile si chiama sourceIP.
Successivamente, andiamo via SSH al server QRadar. Vai alla cartella /opt/qradar/conf.
Abbiamo bisogno del file arielRightClick.properties. Raccomando di fare una copia di backup del file prima di modificarlo.
Apri il file arielRightClick.properties.
Nella riga “pluginActions =” aggiungi il nome delle variabili che saranno visualizzate nella console web di QRadar quando fai clic con il tasto destro sui campi corrispondenti nei log.
Per esempio:* pluginActions = VirusTotal_Source_IP, VirusTotal_Hash, VirusTotal_URLPoi scriviamo quanto segue:VirusTotal_Source_IP.arielProperty=sourceIP

VirusTotal_Source_IP.text= Controllo IP Sorgente VirusTotal

VirusTotal_Source_IP.url= https://www.virustotal.com/#/search/$sourceIP$Quindi ripetiamo questa operazione nello stesso modo per le variabili rimanenti.
Riavvia il Server Web. Admin – Avanzato – Riavvia Server Web.
Goditi.