Integrace ArcSightu s Microsoft Defender for IoT
Tento článek popisuje, jak odesílat upozornění Microsoft Defender pro IoT službě ArcSight. Integrace Defenderu pro IoT se službou ArcSight poskytuje přehled o zabezpečení a odolnosti sítí OT a jednotný přístup k zabezpečení IT a OT.
Požadavky
Než začnete, ujistěte se, že máte následující požadavky:
- Přístup k senzoru OT Defenderu for IoT jako uživatel Správa. Další informace najdete v tématu Místní uživatelé a role pro monitorování OT pomocí Defenderu pro IoT.
Konfigurace typu přijímače ArcSight
Konfigurace nastavení serveru ArcSight tak, aby mohl přijímat informace o upozornění defenderu pro IoT:
- Přihlaste se k serveru ArcSight.
- Nakonfigurujte typ přijímače jako přijímač CEF UDP.
Další informace najdete v dokumentaci ke službě ArcSight SmartConnectors.
Vytvoření pravidla předávání Defenderu pro IoT
Tento postup popisuje, jak vytvořit pravidlo přesměrování ze senzoru OT, které odešle upozornění Defenderu pro IoT z tohoto senzoru do ArcSightu.
Pravidla přeposílání upozornění se spouštějí jenom u výstrah aktivovaných po vytvoření pravidla předávání. Upozornění, která jsou už v systému před vytvořením pravidla předávání, nejsou tímto pravidlem ovlivněna.
Další informace najdete v tématu Informace o přeposílání upozornění.
Přihlaste se ke konzole senzoru OT a vyberte Přeposílání.
Vyberte + Vytvořit nové pravidlo.
V podokně Přidat pravidlo předávání definujte parametry pravidla:
Parametr Popis Název pravidla Zadejte smysluplný název pravidla. Minimální úroveň upozornění Minimální incident na úrovni zabezpečení, který se má předat dál. Pokud například vyberete Možnost Vedlejší, zobrazí se oznámení o všech méně závažných, významných a kritických incidentech. Jakýkoli zjištěný protokol Vypnutím vyberte protokoly, které chcete zahrnout do pravidla. Provoz zjištěný libovolným modulem Vypnutím vyberte provoz, který chcete do pravidla zahrnout. V oblasti Actions (Akce ) definujte následující hodnoty:
Parametr Popis Server Vyberte ArcSight. Hostitel Adresa serveru ArcSight. Port Port serveru ArcSight. Timezone Zadejte časové pásmo serveru ArcSight. Vyberte Uložit a uložte pravidlo přeposílání.
