Integración de RSA NetWitness con Microsoft Defender para IoT
En este artículo se describe cómo enviar alertas de Microsoft Defender para IoT a RSA NetWitness. La integración de Defender para IoT con NetWitness proporciona visibilidad sobre la seguridad y resistencia de las redes de OT y un enfoque unificado para la seguridad de TI y OT.
Prerrequisitos
Asegúrese de que cumple los siguientes requisitos previos antes de empezar:
Acceso a un sensor de OT de Defender para IoT como usuario de Administración. Para obtener más información, consulte Usuarios y roles locales para la supervisión de OT con Defender para IoT.
Configuración de NetWitness para recopilar eventos de orígenes que admiten Common Event Format (CEF). Para obtener más información, consulte la Guía de implementación del analizador CEF de CyberX Platform - RSA NetWitness.
Creación de una regla de reenvío de Defender para IoT
En este procedimiento se describe cómo crear una regla de reenvío desde el sensor de OT para enviar alertas de Defender para IoT desde ese sensor a NetWitness.
Las reglas de reenvío de alertas solo se ejecutan en las alertas desencadenadas después de crear la regla de reenvío. Las alertas que ya están en el sistema desde antes de que se cree la regla de reenvío no se ven afectadas por la regla.
Para obtener más información, consulte Reenvío de información de alertas.
Inicie sesión en la consola del sensor de OT y seleccione Reenvío.
Seleccione + Crear regla nueva.
En el panel Agregar regla de reenvío, defina los parámetros de la regla:
Parámetro Descripción Nombre de regla Escriba un nombre significativo para la regla. Minimal alert level (Nivel de alerta mínimo) El incidente de nivel de seguridad mínimo que se va a reenviar. Por ejemplo, si selecciona Menor, recibirá una notificación sobre todos los incidentes menores, principales y críticos. Any protocol detected (Cualquier protocolo detectado) Desactive esta opción para seleccionar los protocolos que desea incluir en la regla. Traffic detected by any engine (Tráfico detectado por cualquier motor) Desactive esta opción para seleccionar el tráfico que desea incluir en la regla. En el área Acciones, defina los siguientes valores:
Parámetro Descripción Server Seleccione NetWitness. Host El nombre de host de NetWitness. Puerto El puerto netWitness. Zona horaria Escriba la zona horaria de NetWitness. Seleccione Guardar para guardar la regla de reenvío.
