المقدمة
يصف هذا المستند كيفية تكوين تطبيق أمان السحابة من Cisco باستخدام IBM QRadar لتحليل السجل.
نظرة عامة
QRadar من IBM هو SIEM شائع لتحليل السجل. وهو يوفر واجهة قوية لتحليل مجموعات كبيرة من البيانات، مثل السجلات المقدمة من Cisco Umbrella لحركة مرور DNS في مؤسستك. يوفر تطبيق أمان السحابة ل IBM QRadar رؤية من منتجات أمان متعددة (التحقيق والإنفاذ و CloudLock) ويدمجها مع QRadar. كما تساعد هذه الأداة المستخدم على أتمتة الأمان واحتواء التهديدات بشكل أسرع ومباشر من خلال تطبيق QRadar.
عند إعداد تطبيق أمان السحابة من Cisco ل QRadar، فإنه يدمج جميع البيانات من منصة أمان السحابة من Cisco ويسمح لك بعرض البيانات في شكل رسومي في وحدة تحكم QRadar. من التطبيق، يستطيع المحللون:
- التحقيق في المجالات وعناوين IP وعناوين البريد الإلكتروني
- حظر المجالات وإلغاء حظرها (الإنفاذ)
- عرض معلومات جميع حوادث الشبكة.
يوضح هذا المقال الطريقة الأساسية لإعداد QRadar وتشغيله حتى يتمكن من سحب السجلات من دلو S3 واستهلاكها.
المتطلبات
متطلبات Cisco Umbrella
يفترض هذا المستند أنه قد تم تكوين دلو Amazon AWS S3 في Umbrella (الإعدادات > إدارة السجل) وهو يظهر اللون الأخضر مع تحميل السجلات الحديثة.
للحصول على مزيد من المعلومات حول كيفية تكوين هذه الميزة، يمكنك القراءة هنا: إدارة سجلاتك.
متطلبات IBM Security QRadar SIEM
يلزم أن يكون للمسؤول حقوق إدارية في جهاز (أجهزة) QRadar والتكوين في Amazon S3 ولوحة معلومات المظلة، وتفترض هذه التعليمات أن مسؤول QRadar على دراية بإنشاء ملفات LSX (ملحق مصدر السجل).
الرجاء العلم بأن تطبيق أمان السحابة Cisco v1.0.3 يعمل فقط حتى IBM QRadar 7.2.8. يعمل الإصدار الجديد، v1.0.6، مع الإصدار الحالي QRadar من 7.4.2 والإصدارات الأحدث.
تثبيت تطبيق أمان السحابة ل IBM QRadar
- تنزيل تطبيق أمان السحابة من Cisco وتثبيته ل IBM QRadar الموجود هنا: Cisco Cloud Security App v1.0.3 (ل IBM QRadar v7.2.8) أو Cisco Cloud Security App v1.0.6 (ل IBM QRadar v7.4.8).
- بعد التثبيت، قم بنشر التغييرات في QRadar.
تكوين تطبيق أمان السحابة من Cisco: إضافة مصدر سجل
ملاحظة: أنت يستطيع رأيت آخر سجل في S3 مثل تدقيق وجدار حماية، غير أن هم لا يساند. قم فقط بإعداد الثلاثة المذكورة هنا. ينتج عن أي محاولات لتكوين هذه السجلات الأخرى فشل.
لإضافة مصدر سجل، انقر فوق علامة التبويب Admin في شريط التنقل QRadar، وانتقل لأسفل وانقر فوق إدارة مصدر سجل QRadar، ثم انقر فوق الزر +مصدر سجل جديد:
- سجل اسم المصدر (يجب أن تتطابق أسماء الإدخال تماما كما هو مدرج):
- سجلات DNS من Cisco: cisco_umbrella_dns_log
- سجلات Cisco Umbrella IP: cisco_umbrella_ip_log
- سجلات وكيل Cisco Umbrella: cisco_umbrella_proxy_log
- تنسيق الحدث: Cisco Umbrella CSV
- نوع مصدر السجل: Cisco Umbrella
- تكوين البروتوكول: Amazon AWS S3 REST API
- نموذج الملف: .*؟\.csv\.gz
- سجل مصدر الامتداد: Cisco Umbrella_ext **
- الرجاء تحديد أي مجموعات تريد أن يكون مصدر السجل هذا عضوا فيها: cisco_umbrella_logsource_group
انتقل إلى معالج إضافة مصدر سجل واحد:
4404306773524
4404306773268
4404313505300
4404306774164
4404306897556
4404306881812
ملاحظة: إذا لم يتم تعيين "ملحق مصدر السجل" على "CiscoUmbrella_ext"، الرجاء إختيار اسم مصدر السجل من القائمة:
360071157752
360071326791
هنا مثال على ما يبدو عليه دلو مدار من Cisco:
Bucket name: cisco-managed-us-west-1
ACCESS_KEY_ID: xxxxxxxxxxxxxx
SECRET_ACCESS_KEY: xxxxxxxxxxxxxx
Region: us-west-1
Your Directory Prefix is the key part of this. This is the customers folder,
followed by the appropriate log folder.
For example: xxxxxxx_cfa37bd906xxxxxx3aff94e205db7bxxxxxxx/dnslogs
انتقل مرة أخرى إلى إعدادات تطبيق أمان السحابة من Cisco وقم بتعيين معدل تحديث اللوحة بالساعات إلى قيمة أدنى مقدارها "1" لعرض البيانات في الرسومات البيانية.
إنشاء رمز المصادقة المميز
يحتاج المسؤول إلى إنشاء رمز مميز للخدمة لإضافته إلى تطبيق أمان Cisco الخاص بك. كأفضل ممارسة، تمت إعادة إنشاء رمز الخدمة المميز المعتمد كل 90 يوما:
- تسجيل الدخول إلى QRadar > علامة التبويب "المسؤول" > الخدمات المعتمدة.
360071965571
- إضافة الخدمات المعتمدة.
360071965551
- أدخل التفاصيل وقم بإنشاء رمز مصادقة مميز.
- بعد إنشاء الرمز المميز، انقر فوق "نشر التغييرات".
تكوين تطبيق أمان السحابة من Cisco
- من علامة التبويب Admin في شريط التنقل QRadar، قم بالتمرير إلى أسفل وفتح إعدادات تطبيق أمان سحابة Cisco.
360071754732
- أدخل رمز المصادقة المميز الذي تم إنشاؤه في الخطوة السابقة.
360072462992
- حرر إعدادات API كما يلي:
360072703611
تشير القائمة المنبثقة إلى أنه تم تحديث إعدادات التطبيق بنجاح.
360071986151
الفهرسة في QRadar
- انتقل إلى علامة التبويب Admin، ثم انقر فوق إدارة الفهرس.
360071780112
- فهرسة CEPs Packaged مع التطبيق.
360071988811
هذه هي وحدات CEP الموصى بها التي يجب فهرستها:
- مصدر السجل
- فئة DNS
- نوع الحدث
- عنوان URL للمجال
- الهويات
- مستخدم متعدد المستويات
- Username
- معرف أصل الموقع
- فئة الحدث
- السياسة
- مورد
الآن أنت جاهز لاستخدام QRadar لبدء أنشطة مراقبة تفاصيل Cisco Umbrella، و Investigate، و CloudLock. يمكن العثور على مزيد من الإرشادات حول كيفية التنقل عبر QRadar هنا: التنقل عبر تطبيق أمان السحابة من Cisco.