Integration von RSA NetWitness in Microsoft Defender for IoT
In diesem Tutorial wird beschrieben, wie Sie Microsoft Defender for IoT-Warnungen an RSA NetWitness übermitteln. Die Integration von Defender for IoT mit NetWitness bietet Einblick in die Sicherheit und Widerstandsfähigkeit von OT-Netzwerken und einen einheitlichen Ansatz für IT- und OT-Sicherheit.
Voraussetzungen
Bevor Sie beginnen, stellen Sie sicher, dass Sie die folgenden Voraussetzungen erfüllen:
Zugriff auf einen Defender for IoT OT-Sensor als Admin-Benutzer. Weitere Informationen finden Sie unter Lokale Benutzer und Rollen für die OT-Überwachung mit Defender for IoT.
Konfiguration von NetWitness um Ereignisse aus Quellen zu sammeln, die das Common Event Format (CEF) unterstützen. Weitere Informationen finden Sie im CyberX-Plattform – RSA NetWitness CEF Parser Implementierungshandbuch.
Erstellen einer Weiterleitungsregel für Defender for IoT
In diesem Verfahren wird beschrieben, wie Sie eine Weiterleitungsregel von Ihrem OT-Sensor erstellen, um Warnungen aus dem Defender für IoT von diesem Sensor an NetWitness zu senden.
Weiterleitungswarnungsregeln werden nur für Warnungen ausgeführt, die nach dem Erstellen der Weiterleitungsregel ausgelöst werden. Alarme, die sich bereits im System befinden, bevor die Weiterleitungsregel erstellt wurde, sind von der Regel nicht betroffen.
Weitere Informationen finden Sie unter Alarminformationen weiterleiten.
Melden Sie sich bei Ihrer OT-Sensorkonsole an und wählen Sie Weiterleitung aus.
Wählen Sie + Neue Regel erstellen aus.
Definieren Sie im Bereich Weiterleitungsregel hinzufügen die Regelparameter:
Parameter BESCHREIBUNG Regelname Geben Sie einen aussagekräftigen Namen für Ihre Regel ein. Minimale Warnungsstufe Der Mindestschweregrad für die Weiterleitung von Vorfällen. Wenn Sie beispielsweise „Geringfügig“ auswählen, werden Sie über alle geringfügigen, wichtigen und kritischen Vorfälle benachrichtigt. Beliebiges erkanntes Protokoll Deaktivieren Sie die Option, um die Protokolle auszuwählen, die Sie in die Regel aufnehmen möchten. Von einer beliebigen Engine erkannter Datenverkehr Deaktivieren Sie die Option, um den Datenverkehr auszuwählen, den Sie in die Regel einschließen möchten. Definieren Sie im Bereich Aktionen die folgenden Werte:
Parameter BESCHREIBUNG Server Wählen Sie NetWitness aus. Host Der NetWitness-Hostname. Port Der NetWitness-Port. Zeitzone Geben Sie Ihre NetWitness-Zeitzone ein. Wählen Sie Speichern aus, um Ihre Weiterleitungsregel zu speichern.