Conexión a un origen de datos Microsoft Graph Security

Conecte el origen de datos de Microsoft Graph Security a IBM Security QRadar® Suite Software para permitir que las aplicaciones y los paneles de instrumentos recopilen y analicen datos de seguridad de Microsoft Graph Security . Los conectores de Universal Data Insights habilitan la búsqueda federada en los productos de seguridad.

Importante: El conector Microsoft Graph Security se ha denominado conector Microsoft Azure Sentinel en QRadar Suite Software 1.10.9 y anteriores.

Antes de empezar

Colabore con un administrador de Microsoft Graph Security para establecer los permisos necesarios para que su cuenta de usuario reciba alertas a través del conector. También puede obtener las credenciales de seguridad siguientes:
  • ID de arrendatario
  • ID de cliente
  • Secreto de cliente
Configure la API de Microsoft Graph .
  1. Para registrar la aplicación en Azure Active Directory , siga la documentación de Microsoft para registrar una aplicación.

    Aparece el nuevo panel de control de la aplicación; el ID de cliente de esta aplicación está disponible en el panel de control.

  2. Pulse Permisos de API.
  3. Añada los permisos en la tabla siguiente. Para añadir permisos, pulse Añadir un permiso.
    API Nombre de permisos Tipo
    Azure Gestión de servicios user_impersonation Delegado
    Microsoft Graph Security.Events.Read.All Delegado
    Microsoft Graph Security.Events.Read.All Aplicación
    Microsoft Graph User.Read Delegado
  4. Elija la API Microsoft Graph.
  5. Pulse las categorías Permisos delegados y Permisos de aplicación.
  6. Pulse Otorgar consentimiento administrativo para la cuenta de usuario para los permisos configurados.
  7. Pulse Certificados y secretos.
  8. Para generar el secreto de cliente para esta aplicación configurada, pulse Nuevo secreto de cliente.
  9. Especifique una descripción y elija un valor de las opciones de Caduca para el secreto de cliente.

    Para obtener más información sobre el acceso a la aplicación, consulte Obtener acceso sin un usuario.

Si tiene un cortafuegos entre el clúster y el destino de origen de datos, utilice IBM® Security Edge Gateway para alojar los contenedores. El Edge Gateway debe ser V1.6 o posterior. Para obtener más información, consulte Edge Gateway.

Acerca de esta tarea

El conector de IBM Security QRadar Suite Software para Microsoft Graph Security está diseñado para funcionar con el punto final v1.0/security/alerts de alertas de seguridad.

Para obtener más información sobre Microsoft Graph Security, consulte Microsoft Defender for Cloud.

Información de amenazas estructurada eXpression (STIX) es un lenguaje y formato de serialización que las organizaciones utilizan para intercambiar inteligencia de ciberamenazas. El conector utiliza el patrón STIX para consultar datos Microsoft Graph Security y devuelve los resultados como objetos STIX. Para obtener más información sobre cómo se correlaciona el esquema de datos de Microsoft Graph Security con STIX, consulte Repositorio de stix-shifter deMicrosoft Graph Security (https://github.com/opencybersecurityalliance/stix-shifter/tree/develop/stix_shifter_modules/azure_sentinel).

Procedimiento

  1. Inicie la sesión en IBM Security QRadar Suite Software.
  2. En el menú, pulse Conexiones > Orígenes de datos.
  3. En la página Fuentes de datos de integración, en el mosaico Seguridad de Microsoft Graph, haga clic en Configurar una conexión.
  4. En la página Servicios de conexión, seleccione el mosaico del servicio de búsquedas federadas y, a continuación, haga clic en Activar.
  5. Haga clic en Siguiente.
  6. En la página Detalles de la conexión, configure los siguientes parámetros.
    1. Configure la conexión con la fuente de datos.
      Tabla 1. Parámetros de conexión
      Parámetro Descripción
      Nombre de origen de datos Introduzca un nombre único para identificar la conexión a la fuente de datos. Puede crear varias conexiones a una fuente de datos, por lo que resulta útil diferenciarlas claramente por su nombre.

      Solo están permitidos los caracteres alfanuméricos y los siguientes caracteres especiales: - . _
      Descripción del origen de datos Introduzca una descripción para indicar el propósito de la conexión de la fuente de datos. Puede crear varias conexiones a una fuente de datos, por lo que es útil indicar claramente el propósito de cada conexión mediante una descripción.

      Solo están permitidos los caracteres alfanuméricos y los siguientes caracteres especiales: - . _
      Pasarela periférica Si tiene un cortafuegos entre el clúster y el destino de origen de datos, utilice Edge Gateway para alojar los contenedores. En el campo Edge gateway, especifique un Edge Gateway para alojar el conector.

      El estado de las conexiones de fuentes de datos recién desplegadas en Edge Gateway puede tardar hasta cinco minutos en mostrarse como conectado.
      Dirección IP o nombre de host de gestión Introduzca el nombre de host o la dirección IP de la fuente de datos para que QRadar Suite Software pueda comunicarse con ella.
      Puerto de host Introduzca el número de puerto asociado al host de origen de datos.
      Punto final de autenticación de Microsoft Entra Introduzca el punto final de autenticación de Microsoft Entra para nubes nacionales..
    2. Establezca los parámetros de consulta para controlar el comportamiento de la consulta de búsqueda federada en la fuente de datos.
      Tabla 2. Parámetros de consulta
      Parámetro de consulta Descripción
      Límite de búsqueda simultáneo Introduzca el número de conexiones simultáneas que pueden realizarse a la fuente de datos. El límite predeterminado para el número de conexiones es 4. El valor no debe ser menor que 1 y ni mayor que 100.
      Límite de tiempo de espera de búsqueda de consulta Introduzca el límite de tiempo en minutos durante el que se ejecutará la consulta en la fuente de datos. El límite de tiempo predeterminado es 30. Cuando el valor es cero, no se produce tiempo de espera. El valor no debe ser inferior a 1 y no debe ser superior a 120.
      Límite de tamaño de resultados Introduzca el número máximo de entradas u objetos que se devuelven por consulta de búsqueda. El límite predeterminado del tamaño del resultado es 10.000. El valor no debe ser inferior a 1 ni superior a 500.000.
      Rango de tiempo de consulta Introduzca el intervalo de tiempo en minutos para la búsqueda, representado como los últimos X minutos. El valor predeterminado es 5 minutos. El valor no debe ser inferior a 1 y no debe ser superior a 10.000.
      Asignación personalizada (opcional) Si necesita personalizar la asignación de atributos STIX, haga clic en Personalizar asignación de atributos y edite el blob JSON para asignar propiedades nuevas o existentes a sus campos de origen de datos de destino asociados.
      Importante: Si aumenta el Límite de búsqueda simultánea y el Límite de tamaño de resultado, se puede enviar una mayor cantidad de datos a la fuente de datos, lo que aumenta la tensión en la fuente de datos. Aumentar el rango de tiempo de consulta también aumenta la cantidad de datos.
    3. Haga clic en Siguiente.
  7. Opcional: Si Microsoft Azure Sentinel está configurado con un certificado SSL (Security Sockets Layer) autofirmado, añada un certificado de conexión.
    1. Especifique el certificado autofirmado que está configurado en Microsoft Azure Sentinel.
    2. Si el valor de su nombre de host o dirección IP no coincide con el valor del nombre común de su certificado, añada el nombre de host al servidor que aloja Edge Gateway.
      Tabla 3. Añadir su nombre de host al servidor Edge Gateway
      Si está ejecutando el cliente Edge Si no está ejecutando el cliente Edge
      Ejecute el siguiente mandato:
      manageAppHost dns --set --ip <ip_address> --hostname <hostname1> --hostname <hostname2>
      Consejo: <dirección_ip> es la dirección del servidor al que desea acceder y <nombre_host> es el nombre del servidor. Si un servidor tiene varios nombres, puede añadir cada nombre utilizando --hostname.

      Puede utilizar --show para ver los nombres de host definidos y --clear para eliminar un nombre de host definido previamente con el comando manageAppHost .

      		 Añada el nombre de host al servidor que aloja Edge Gateway añadiendo entradas a Pod /etc/hosts con HostAliases. Para editar el despliegue de trabajadores de Universal Data Insights , ejecute el siguiente comando:
      oc edit deployment udi-udiworker
      Añada la siguiente información a la implementación del host HostAliases, en la sección spec.template.spec sección
      hostAliases:
   - hostnames:
    - qradar.iseccs.local
    ip: <1.2.3.4>

      Para más información, consulte Añadir entradas a Pod /etc/hosts con HostAliases ( https://kubernetes.io/docs/tasks/network/customize-hosts-file-for-pods/ ).
    3. Copie los detalles del certificado y péguelos en el espacio que se suministra.
  8. Haga clic en Siguiente.
  9. En la página Configuraciones de conexión, configure la identidad y el acceso.
    1. Haga clic en Añadir una configuración.
    2. En la ventana Detalles de configuración, configure los siguientes parámetros.
      Tabla 4. Parámetros de configuración
      Parámetro Descripción
      Nombre de configuración Introduzca un nombre único para describir la configuración de acceso y distinguirla de las demás configuraciones de acceso para esta conexión de fuente de datos que pueda configurar. Solo están permitidos los caracteres alfanuméricos y los siguientes caracteres especiales: - . _
      Descripción de la configuración Introduzca una descripción única para describir la configuración de acceso y distinguirla de las demás configuraciones de acceso para esta conexión de fuente de datos que pueda establecer. Solo están permitidos los caracteres alfanuméricos y los siguientes caracteres especiales: - . _
      Arrendatario Introduzca el ID de arrendatario de la aplicación Azure Active Directory con acceso a la API Microsoft Graph .
      ID de cliente Introduzca el ID de cliente de la aplicación Azure Active Directory con acceso a la API Microsoft Graph .
      Secreto de cliente Introduzca el secreto de cliente de la aplicación Azure Active Directory con acceso a la API Microsoft Graph .
    3. Para guardar la configuración y establecer la conexión, haga clic en Guardar.
  10. Haga clic en Siguiente.
  11. Para asignar el acceso de los usuarios, en la página Control de acceso de usuarios, seleccione una o varias configuraciones de fuentes de datos de la lista Acceso y, a continuación, haga clic en Finalizar.
  12. Para gestionar tus conexiones activas, completa los siguientes pasos:
    1. En la página Fuentes de datos de integración, en el mosaico de la fuente de datos correspondiente, haga clic en Gestionar <x> de <x> conexiones activas.
    2. En la página Estado de la conexión, en el mosaico de la fuente de datos correspondiente, puede editar, actualizar o eliminar la conexión de su fuente de datos.

Resultados

Después de conectar una fuente de datos, puede tardar hasta 30 segundos en recuperar los datos. Antes de que se devuelva el conjunto de datos completo, es posible que el origen de datos se muestre como no disponible. Una vez devueltos los datos, el origen de datos se muestra como conectado y se produce un mecanismo de sondeo para validar el estado de conexión. El estado de conexión es válido durante 60 segundos después de cada sondeo.

Puede añadir otras configuraciones de conexión para este origen de datos que tengan distintos usuarios y distintos permisos de acceso a datos.

Pasos siguientes

Pruebe la conexión buscando una dirección IP en IBM Security Data Explorer que coincida con un origen de datos de activo. En Data Explorer, pulse una dirección IP para ver sus activos y riesgos asociados.

Para utilizar Data Explorer, debe tener orígenes de datos conectados para que la aplicación pueda ejecutar consultas y recuperar resultados en un conjunto unificado de orígenes de datos. Los resultados de la búsqueda varían en función de los datos que incluyen los orígenes de datos configurados. Para obtener más información sobre cómo crear una consulta en Data Explorer, consulte Crear una consulta.