Tento článek popisuje, jak odesílat Microsoft Defender pro upozornění IoT službě LogRhythm. Integrace Defenderu pro IoT s LogRhythm poskytuje přehled o zabezpečení a odolnosti sítí OT a jednotný přístup k zabezpečení IT a OT.
Požadavky
Než začnete, ujistěte se, že máte následující požadavky:
Tento postup popisuje, jak vytvořit pravidlo předávání ze senzoru OT, které odešle upozornění Defenderu pro IoT z tohoto senzoru do LogRhythmu.
Pravidla přeposílání upozornění se spouštějí jenom u výstrah aktivovaných po vytvoření pravidla předávání. Upozornění, která jsou už v systému před vytvořením pravidla předávání, nejsou tímto pravidlem ovlivněna.
Přihlaste se ke konzole senzoru OT a vyberte Přeposílání.
Vyberte + Vytvořit nové pravidlo.
V podokně Přidat pravidlo předávání definujte parametry pravidla:
Parametr
Popis
Název pravidla
Zadejte smysluplný název pravidla.
Minimální úroveň upozornění
Minimální incident na úrovni zabezpečení, který se má předat dál. Pokud například vyberete Možnost Vedlejší, zobrazí se oznámení o všech méně závažných, významných a kritických incidentech.
Jakýkoli zjištěný protokol
Vypnutím vyberte protokoly, které chcete zahrnout do pravidla.
Provoz zjištěný libovolným modulem
Vypnutím vyberte provoz, který chcete do pravidla zahrnout.
V oblasti Actions (Akce ) definujte následující hodnoty:
Parametr
Popis
Server
Vyberte možnost serveru SYSLOG, například SYSLOG Server (formát LEEF).
Hostitel
IP adresa nebo název hostitele kolektoru LogRhythm
Port
Zadejte 514.
Timezone
Zadejte časové pásmo.
Vyberte Uložit.
Konfigurace LogRhythmu pro shromažďování protokolů
Po konfiguraci pravidla přeposílání z konzoly senzoru OT nakonfigurujte LogRhythm tak, aby shromažďovat protokoly Defenderu pro IoT.