Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
In diesem Artikel wird beschrieben, wie Sie Microsoft Defender für IoT-Warnungen an RSA NetWitness senden. Die Integration von Defender für IoT in NetWitness bietet Einblicke in die Sicherheit und Resilienz von OT-Netzwerken und einen einheitlichen Ansatz für IT- und OT-Sicherheit.
Hinweis
Defender für IoT plant, die NetWitness-Integration am 1. Dezember 2025 zurückzuziehen
Voraussetzungen
Bevor Sie beginnen, stellen Sie sicher, dass Sie die folgenden Voraussetzungen erfüllen:
Zugriff auf einen Defender for IoT OT-Sensor als Admin-Benutzer. Weitere Informationen finden Sie unter Lokale Benutzer und Rollen für die OT-Überwachung mit Defender for IoT.
NetWitness-Konfiguration zum Sammeln von Ereignissen aus Quellen, die das Common Event Format (CEF) unterstützen. Weitere Informationen finden Sie im Implementierungshandbuch zur CyberX-Plattform RSA NetWitness CEF Parser.
Erstellen einer Weiterleitungsregel für Defender for IoT
Dieses Verfahren beschreibt, wie Sie eine Weiterleitungsregel auf Ihrem OT-Sensor erstellen, um Defender für IoT-Warnmeldungen von diesem Sensor an NetWitness weiterzuleiten.
Weiterleitungswarnungsregeln werden nur für Warnungen ausgeführt, die nach dem Erstellen der Weiterleitungsregel ausgelöst werden. Alarme, die sich bereits im System befinden, bevor die Weiterleitungsregel erstellt wurde, sind von der Regel nicht betroffen.
Weitere Informationen finden Sie unter Weiterleiten von Warnungsinformationen.
Melden Sie sich bei Ihrer OT-Sensorkonsole an, und wählen Sie "Weiterleitung" aus.
Wählen Sie + Neue Regel erstellen aus.
Definieren Sie im Bereich Weiterleitungsregel hinzufügen die Regelparameter:
Parameter BESCHREIBUNG Regelname Geben Sie einen aussagekräftigen Namen für Ihre Regel ein. Minimale Warnungsstufe Der Mindestschweregrad für die Weiterleitung von Vorfällen. Wenn Sie beispielsweise "Geringfügig" auswählen, werden Sie über alle geringfügigen, wichtigen und kritischen Vorfälle benachrichtigt. Beliebiges erkanntes Protokoll Deaktivieren Sie die Option, um die Protokolle auszuwählen, die Sie in die Regel aufnehmen möchten. Von einer beliebigen Engine erkannter Datenverkehr Deaktivieren Sie die Option, um den Datenverkehr auszuwählen, den Sie in die Regel aufnehmen möchten. Definieren Sie im Bereich Aktionen die folgenden Werte:
Parameter BESCHREIBUNG Server Wählen Sie NetWitness aus. Gastgeber Der NetWitness-Hostname. Hafen Der NetWitness-Port. Zeitzone Geben Sie Ihre NetWitness-Zeitzone ein. Wählen Sie "Speichern" aus, um Ihre Weiterleitungsregel zu speichern.
