QRadar와 VirusTotal 통합하기

안녕하세요. 지난 기사에서는 규칙 생성에 대해 논의했습니다, 오늘은 SIEM 관리자들이 보안 사고에 더 빠르게 대응할 수 있도록 도와줄 방법을 설명하고자 합니다.

QRadar에서 정보 보안 사건을 처리할 때, SOC에서 운영자와 분석가의 운영 속도를 높이는 것이 매우 중요합니다. 내장 도구 사용은 충분한 기회를 제공하지만 기술은 발전하고 새로운 제품과 플랫폼이 등장하고 있습니다.
SOC에서 IS 전문가의 업무를 더욱 효율적으로 만들기 위해 “오른쪽 클릭 속성” 기능을 사용하는 것을 권장합니다. 이 기능을 통해 QRadar에서 조사 중인 로그 필드에 대해 더 자세한 정보를 얻기 위해 다양한 플랫폼과의 간단한 통합을 구성할 수 있습니다. 통합은 간단한 작업부터 시작하는 것이 바람직하며, 아래의 예를 통해 올바르게 수행하는 방법을 이해해 보겠습니다.

공공 자원 VirusTotal과의 통합

왜 이러한 통합이 필요할까요? 이는 IS 전문가의 작업을 자동화하고 평판에 대한 결론을 내리기 위해 빠르게 정보를 얻는 데 도움을 줍니다.
통합을 시작하기 전에 이 자원에서 확인해야 할 로그 필드를 결정해야 합니다.
중요한 점: 통합은 한두 개 필드부터 시작하고 필요한 모든 다른 필드를 추가하는 것이 좋습니다. 또한 사용하려는 자원의 라이센싱 부분을 기억하는 것도 중요하며, 계약을 위반하지 않도록 주의해야 합니다.
그럼 시작해 보겠습니다.
예를 들어, 통합에 다음 필드를 선택했습니다: 소스 IP, 해시, URL입니다.
첫 번째로 해야 할 일은 QRadar DB에서 이러한 변수의 정확한 이름을 알아내는 것입니다.
이를 위해 검색을 수행하고, 검색 열에 소스 IP, 해시, URL 필드를 추가합니다.
다음으로, 필요한 변수가 선택된 열에 마우스를 대면 됩니다.
화면 하단, 우리의 경우 – 왼쪽에서 브라우저 힌트가 빨간색으로 하이라이트됩니다.보시다시피, 변수는 sourceIP라고 불립니다.
다음으로 QRadar 서버에 SSH로 접속합니다. 다음 경로로 이동합니다 /opt/qradar/conf 폴더에 있습니다.
파일 arielRightClick.properties가 필요합니다. 수정하기 전에 파일의 백업 사본을 만드는 것이 좋습니다.
파일을 엽니다 arielRightClick.properties.
다음 줄에 “pluginActions =” QRadar 웹 콘솔에서 로그의 해당 필드를 오른쪽 클릭할 때 표시될 변수 이름을 추가합니다.
예를 들어:* pluginActions = VirusTotal_Source_IP, VirusTotal_Hash, VirusTotal_URL그 다음에는 다음을 작성합니다:VirusTotal_Source_IP.arielProperty=sourceIP

VirusTotal_Source_IP.text= VirusTotal Source IP 확인

VirusTotal_Source_IP.url= https://www.virustotal.com/#/search/$sourceIP$그 다음에는 나머지 변수들에 대해 같은 방식으로 이 작업을 반복합니다.
웹 서버를 재부팅합니다. 관리자 – 고급 – 재시작 웹 서버.
즐기세요.