Integração do QRadar com o VirusTotal

Olá. No último artigo, consideramos criar regras, e hoje quero descrever o método que ajudará os administradores de SIEM a responder mais rapidamente a possíveis incidentes de segurança.

Ao lidar com incidentes de segurança da informação no QRadar, é extremamente importante aumentar a velocidade de operação dos operadores e analistas no SOC. O uso de ferramentas integradas oferece amplas oportunidades, mas as tecnologias estão se desenvolvendo, novos produtos e plataformas estão surgindo.
Para tornar o trabalho dos especialistas em SI no SOC mais eficiente, recomendo usar a funcionalidade “Right Click Properties”. Essa funcionalidade permite configurar uma integração simples com diferentes plataformas para obter informações mais detalhadas sobre os campos nos logs que estão sob investigação no QRadar. É desejável começar a integração com tarefas simples e vamos olhar o exemplo abaixo para entender como fazer isso corretamente.

Integração com o recurso público VirusTotal

Por que precisamos de tal integração? Ela nos ajudará a automatizar o trabalho dos especialistas de SI e a obter rapidamente informações para tirar conclusões sobre a reputação.
Antes de iniciar a integração, precisamos determinar quais campos dos logs precisam ser verificados neste recurso.
É importante lembrar: é melhor começar a integração com um ou dois campos e depois adicionar todos os outros campos que você precisa. Também é importante lembrar a parte de licenciamento do recurso que você planeja usar para não violar o acordo.
Então, vamos começar.
Por exemplo, escolhemos os próximos campos para a integração: IP de Origem, Hash, URL.
A primeira coisa a fazer é descobrir o nome exato dessas variáveis no DB do QRadar.
Para fazer isso, faça uma pesquisa e adicione os campos IP de Origem, Hash, URL às colunas de pesquisa.
Em seguida, basta apontar o mouse para a coluna onde a variável necessária é selecionada.
Na parte inferior da tela, no nosso caso – à esquerda, uma dica do navegador é destacada em vermelho.Como você pode ver, a variável é chamada sourceIP.
Em seguida, vamos via SSH para o servidor QRadar. Vá para a pasta /opt/qradar/conf.
Precisamos do arquivo arielRightClick.properties. Recomendo fazer uma cópia de backup do arquivo antes de modificá-lo.
Abra o arquivo arielRightClick.properties.
Na linha “pluginActions =” adicione o nome das variáveis que serão exibidas no console web do QRadar ao clicar com o botão direito nos campos correspondentes nos logs.
Por exemplo:* pluginActions = VirusTotal_Source_IP, VirusTotal_Hash, VirusTotal_URLEntão escrevemos o seguinte:VirusTotal_Source_IP.arielProperty=sourceIP

VirusTotal_Source_IP.text= Verificação de IP de Origem do VirusTotal

VirusTotal_Source_IP.url= https://www.virustotal.com/#/search/$sourceIP$Em seguida, repetimos esta operação da mesma forma para as demais variáveis.
Reinicie o Servidor Web. Admin – Avançado – Reiniciar Servidor Web.
Desfrute.