Upravit

Sdílet prostřednictvím

Upozornění služby Stream Defender pro cloud IoT na partnera SIEM

  • Postupy

Vzhledem k tomu, že více firem převádí systémy OT na digitální IT infrastruktury, týmy security operations center (SOC) a vedoucí pracovníci pro zabezpečení informací (CISO) stále více zodpovídají za manipulaci s hrozbami ze sítí OT.

Doporučujeme použít integrovaný datový konektor a řešení Microsoft Defenderu pro IoT k integraci se službou Microsoft Sentinel a překlenout mezeru mezi výzvou zabezpečení IT a OT.

Pokud ale máte jiné systémy pro správu informací o zabezpečení a událostí (SIEM), můžete pomocí Služby Microsoft Sentinel předávat výstrahy cloudu Defender for IoT na tento partner SIEM prostřednictvím Služby Microsoft Sentinel a Azure Event Hubs.

I když tento článek jako příklad používá Splunk, můžete použít níže popsaný proces s libovolným SIEM, který podporuje příjem dat centra událostí, jako je IBM QRadar.

Důležité

Za použití služby Event Hubs a pravidla exportu Log Analytics se můžou účtovat další poplatky. Další informace najdete v tématu Ceny služby Event Hubs a ceny exportu dat protokolu.

Požadavky

Než začnete, budete potřebovat datový konektor Microsoft Defender for IoT nainstalovaný v instanci Microsoft Sentinelu. Další informace najdete v kurzu: Připojení Microsoft Defenderu pro IoT se službou Microsoft Sentinel.

Zkontrolujte také všechny požadavky pro každý z postupů propojených v následujících krocích.

Registrace aplikace v Microsoft Entra ID

Budete potřebovat ID Microsoft Entra definované jako instanční objekt pro doplněk Splunk pro Microsoft Cloud Services. K tomu budete muset vytvořit aplikaci Microsoft Entra s konkrétními oprávněními.

Registrace aplikace Microsoft Entra a definování oprávnění:

  1. V Microsoft Entra ID zaregistrujte novou aplikaci. Na stránce Certifikáty a tajné kódy přidejte nový tajný klíč klienta pro instanční objekt.

    Další informace najdete v tématu Registrace aplikace na platformě Microsoft Identity Platform.

  2. Na stránce oprávnění rozhraní API vaší aplikace udělte oprávnění rozhraní API ke čtení dat z vaší aplikace.

    • Vyberte, pokud chcete přidat oprávnění, a pak vyberte oprávnění>aplikace Microsoft Graph>SecurityEvents.ReadWrite.All>Add oprávnění.

    • Ujistěte se, že je pro vaše oprávnění vyžadován souhlas správce.

    Další informace najdete v tématu Konfigurace klientské aplikace pro přístup k webovému rozhraní API.

  3. Na stránce Přehled vaší aplikace si poznamenejte následující hodnoty pro vaši aplikaci:

    • Zobrazované jméno
    • ID aplikace (klienta)
    • ID adresáře (tenanta)

  4. Na stránce Certifikáty a tajné kódy si poznamenejte hodnoty hodnoty tajného klíče klienta a ID tajného klíče.

Vytvoření centra událostí Azure

Vytvořte centrum událostí Azure, které se použije jako most mezi Microsoft Sentinelem a partnerem SIEM. Začněte tímto krokem tím, že vytvoříte obor názvů centra událostí Azure a pak přidáte centrum událostí Azure.

Vytvoření oboru názvů centra událostí a centra událostí:

  1. Ve službě Azure Event Hubs vytvořte nový obor názvů centra událostí. V novém oboru názvů vytvořte nové centrum událostí Azure.

    V centru událostí nezapomeňte definovat nastavení Počet oddílů a Uchovávání zpráv.

    Další informace najdete v tématu Vytvoření centra událostí pomocí webu Azure Portal.

  2. V oboru názvů centra událostí vyberte stránku Řízení přístupu (IAM) a přidejte nové přiřazení role.

    Vyberte, jestli chcete použít roli Příjemce dat služby Azure Event Hubs, a přidejte aplikaci instančně Microsoft Entra, kterou jste vytvořili dříve jako člena.

    Další informace najdete v tématu: Přiřazení rolí Azure pomocí webu Azure Portal.

  3. Na stránce Přehled oboru názvů centra událostí si poznamenejte hodnotu názvu hostitele oboru názvů.

  4. Na stránce event Hubs oboru názvů centra událostí si poznamenejte název centra událostí.

Předávání incidentů Microsoft Sentinelu do centra událostí

Pokud chcete předávat incidenty nebo výstrahy Microsoft Sentinelu do centra událostí, vytvořte pravidlo exportu dat z Azure Log Analytics.

V pravidle nezapomeňte definovat následující nastavení:

  1. Konfigurace zdroje jako SecurityIncident

  2. Nakonfigurujte cíl jako typ události pomocí oboru názvů centra událostí a názvu centra událostí, který jste si poznamenali dříve.

    Další informace najdete v tématu Export dat pracovního prostoru služby Log Analytics ve službě Azure Monitor.

Konfigurace Splunku pro využívání incidentů Microsoft Sentinelu

Jakmile máte centrum událostí a pravidlo exportu nakonfigurované, nakonfigurujte Splunk tak, aby z centra událostí spotřeboval incidenty Služby Microsoft Sentinel.

  1. Nainstalujte doplněk Splunk pro aplikaci Microsoft Cloud Services.

  2. V doplňku Splunk pro aplikaci Microsoft Cloud Services přidejte účet Aplikace Azure.

    1. Zadejte smysluplný název účtu.
    2. Zadejte ID klienta, tajný klíč klienta a podrobnosti ID tenanta, které jste si poznamenali dříve.
    3. Definujte typ třídy účtu jako veřejný cloud Azure.

  3. Přejděte na doplněk Splunk pro vstupy Microsoft Cloud Services a vytvořte nový vstup pro centrum událostí Azure.

    1. Zadejte smysluplný název vstupu.
    2. Vyberte účet Aplikace Azure, který jste právě vytvořili v doplňku Splunk pro aplikaci Microsoft Services.
    3. Zadejte plně kvalifikovaný název domény a název centra událostí vašeho centra událostí.

    U ostatních nastavení ponechte výchozí nastavení.

    Jakmile se data začnou ingestovat do Splunku z centra událostí, zadejte do vyhledávacího pole následující hodnotu: sourcetype="mscs:azure:eventhub"

Související obsah