L A B Y R I N T H

Loading

Gartner Peer Insights

Dwukierunkowa integracja z IBM QRadar

  1. Strona główna
  2. Blog
  3. Dwukierunkowa integracja z IBM QRadar

09May

 

Aby wzbogacić alerty bezpieczeństwa generowane przez Labyrinth Deception Platform, nasz zespół opracował rozszerzoną integrację z jednym z najpopularniejszych i najbardziej funkcjonalnych systemów SIEM – IBM QRadar. Taka dwukierunkowa integracja pozwala na rozszerzenie funkcjonalności obu systemów w celu zwiększenia wydajności działów cyberbezpieczeństwa i SOC oraz poprawienia dokładności wykrywania, w celu zaoszczędzenia czasu pracowników cyberochrony.

Zaimplementowane wektory integracji z QRadar SIEM:

  • wysyłanie informacji o incydentach bezpieczeństwa do QRadar poprzez Syslog w formacie CEF,
  • wzbogacanie alertów o informacje otrzymywane z QRadar poprzez API,
  • wykrywanie używania fałszywych danych uwierzytelniających, tworzonych przez Labyrinth na prawdziwych hostach, przy użyciu logów z QRadar.

Przede wszystkim platformę Labyrinth można łatwo skonfigurować tak, aby wysyłała informacje o wykrytych złośliwych działaniach do dowolnego systemu QRadar (lub dowolnego innego systemu SIEM). Interakcja z SIEM odbywa się za pomocą protokołu Syslog. Struktura wysyłanych zdarzeń jest w pełni zgodna z CEF (Common Event Format).

W celu poprawnego parsowania/mapowania zdarzeń w QRadar stworzono „Log Source Extension”. Przykład wyświetlenia jednego z alertów bezpieczeństwa w SIEM:

Operator platformy Labyrinth Deception otrzymuje dodatkowo informację o zaatakowanym hoście, dostępną w QRadar. Dane te znacznie poszerzają kontekst zdarzeń związanych z bezpieczeństwem i oszczędzają czas potrzebny na wyszukiwanie informacji w SIEM w celu szczegółowego zbadania incydentu. Informacje te mogą zawierać zarówno dane o lokalizacji hosta i jego przeznaczeniu funkcjonalnym, jak i dane o bezpośrednich użytkownikach tego hosta:

Odrębnym typem alertu w systemie Labyrinth jest wykrycie wykorzystania przez atakującego danych uwierzytelniających, które były rozprowadzane wewnątrz plików-wabików. Ten alert wskazuje na działania atakującego mające na celu uzyskanie maksymalnego dostępu do korporacyjnej sieci IT przy użyciu wszystkich wcześniej zebranych potencjalnie odpowiednich danych, w tym informacji z Seeder-Tasks (nawigacji okruszkowej):

Jednocześnie platforma decepcji Labyrinth daje możliwość porównania poświadczeń, zastosowanych przez atakującego, z hostem, po uzyskaniu dostępu do którego i dalszym przeszukaniu jego systemu plików, dane te zostały pozyskane. Bardzo często ten host jest głównym punktem wejścia atakującego do sieci korporacyjnej, na przykład za pośrednictwem wiadomości phishingowych z załącznikami.

Zespół Labyrinth Development kontynuuje prace nad jeszcze ściślejszą integracją z IBM QRadar, aby rozszerzyć funkcjonalność i zapewnić bardziej zaawansowane funkcje wynikające z synergii dwóch zintegrowanych systemów.

Oryginalny artykuł w języku angielskim: Two way integration with IBM Qradar | Labyrinth
 
Zainteresowała Cię platforma Labyrinth Deception?
Zapraszamy do kontaktu i zapoznania się z demo: [email protected]

Zapisz się do naszego newslettera

You successfully subscribed!