Integrieren von LogRhythm in Microsoft Defender for IoT

In diesem Artikel wird beschrieben, wie Sie Microsoft Defender for IoT-Warnungen an LogRhythm senden. Die Integration von Defender for IoT mit LogRhythm bietet Einblick in die Sicherheit und Ausfallsicherheit von OT-Netzwerken und einen einheitlichen Ansatz für IT- und OT-Sicherheit.

Voraussetzungen

Bevor Sie beginnen, stellen Sie sicher, dass Sie die folgenden Voraussetzungen erfüllen:

• Zugriff auf einen Defender for IoT OT-Sensor als Admin-Benutzer. Weitere Informationen finden Sie unter Lokale Benutzer und Rollen für die OT-Überwachung mit Defender for IoT.

Erstellen Sie eine Defender for IoT-Weiterleitungsregel

Dieses Verfahren beschreibt, wie Sie eine Weiterleitungsregel von Ihrem OT-Sensor erstellen, um Defender for IoT-Warnungen von diesem Sensor an LogRhythm zu senden.

Weiterleitungswarnungsregeln werden nur für Warnungen ausgeführt, die nach dem Erstellen der Weiterleitungsregel ausgelöst werden. Alarme, die sich bereits im System befinden, bevor die Weiterleitungsregel erstellt wurde, sind von der Regel nicht betroffen.

Weitere Informationen finden Sie unter Alarminformationen weiterleiten.

1. Melden Sie sich bei Ihrer OT-Sensorkonsole an und wählen Sie Weiterleitung aus.

2. Wählen Sie + Neue Regel erstellen aus.

3. Definieren Sie im Bereich Weiterleitungsregel hinzufügen die Regelparameter:

   

   Parameter	BESCHREIBUNG
   Regelname	Geben Sie einen aussagekräftigen Namen für Ihre Regel ein.
   Minimale Warnungsstufe	Der Mindestschweregrad für die Weiterleitung von Vorfällen. Wenn Sie beispielsweise „Geringfügig“ auswählen, werden Sie über alle geringfügigen, wichtigen und kritischen Vorfälle benachrichtigt.
   Beliebiges erkanntes Protokoll	Deaktivieren Sie die Option, um die Protokolle auszuwählen, die Sie in die Regel aufnehmen möchten.
   Von einer beliebigen Engine erkannter Datenverkehr	Deaktivieren Sie die Option, um den Datenverkehr auszuwählen, den Sie in die Regel aufnehmen möchten.

4. Definieren Sie im Bereich Aktionen die folgenden Werte:

   Parameter	BESCHREIBUNG
   Server	Wählen Sie eine SYSLOG-Serveroption aus, z. B. SYSLOG-Server (LEEF-Format).
   Host	Die IP oder der Hostname Ihres LogRhythm-Sammlers
   Port	Geben Sie „514“ ein.
   Zeitzone	Geben Sie Ihre Zeitzone ein.

5. Wählen Sie Speichern aus.

Konfigurieren von LogRhythm zum Sammeln von Protokollen

Nachdem Sie eine Weiterleitungsregel von Ihrer OT-Sensorkonsole konfiguriert haben, konfigurieren Sie LogRhythm so, dass Ihre Defender for IoT-Protokolle erfasst werden.

Weitere Informationen finden Sie in der LogRhythm-Dokumentation.

Nächste Schritte

• Integrationen in andere Microsoft- und Partnerdienste
• Weiterleiten von Warnungsinformation