Partager via


Transférer les informations des alertes OT locales

Les alertes de Microsoft Defender pour IoT améliorent la sécurité réseau et les opérations avec des informations en temps réel sur des événements journalisés dans votre réseau. Les alertes OT sont déclenchées quand des capteurs réseau OT détectent des modifications ou des activités suspectes dans le trafic réseau et qui nécessitent votre attention.

Cet article explique comment configurer votre capteur OT ou votre console de gestion locale pour transférer des alertes à des services partenaires, des serveurs Syslog, des adresses e-mail, etc. Les informations des alertes transférées incluent des informations détaillées comme :

  • Date et heure de l’alerte
  • Moteur ayant détecté l’événement
  • Titre de l’alerte et message descriptif
  • Gravité de l’alerte
  • Nom et adresse IP de la source et de la destination
  • Trafic suspect détecté
  • les capteurs déconnectés
  • les échecs de sauvegarde à distance

Notes

Les règles de transfert d’alerte s’exécutent seulement sur les alertes déclenchées après la création de la règle de transfert. Les alertes déjà présentes dans le système avant la création de la règle de transfert ne sont pas affectées par cette règle.

Prérequis

Créer des règles de transfert sur un capteur OT

  1. Connectez-vous au capteur OT et sélectionnez Transfert dans le menu de gauche >+ Créer une règle.

  2. Dans le volet Ajouter une règle de transfert, entrez un nom de règle explicite, puis définissez les conditions et les actions de la règle comme suit :

    Nom Description
    Niveau d’alerte minimal Sélectionnez le niveau de gravité d’alerte minimal que vous voulez transférer.

    Par exemple, si vous sélectionnez Mineur, les alertes mineures et toute alerte supérieure à ce niveau de gravité sont transférées.
    Tous les protocoles détectés Activez ce paramètre pour transférer les alertes concernant le trafic de tous les protocoles, ou désactivez-le et sélectionnez les protocoles spécifiques que vous voulez inclure.
    Trafic détecté par n’importe quel moteur Activez ce paramètre pour transférer les alertes provenant de tous les moteurs d’analytique, ou désactivez-le et sélectionnez les moteurs spécifiques que vous voulez inclure.
    Actions Sélectionnez le type de serveur auquel vous voulez transférer des alertes, puis définissez toutes les autres informations nécessaires pour ce type de serveur.

    Pour ajouter plusieurs serveurs à la même règle, sélectionnez + Ajouter un serveur et ajoutez plus d’informations.

    Pour plus d’informations, consultez Configurer des actions de règle de transfert d’alerte.
  3. Quand vous avez terminé de configurer la règle, sélectionnez Enregistrer. La règle est listée dans la page Transfert.

  4. Testez la règle que vous avez créée :

    1. Sélectionnez le menu d’options (...) pour votre règle >Envoyer un message de test.
    2. Accédez au service cible pour vérifier que les informations envoyées par le capteur ont été reçues.

Modifier ou supprimer des règles de transfert sur un capteur OT

Pour modifier ou supprimer une règle existante :

  1. Connectez-vous à votre capteur OT et sélectionnez Transfert dans le menu de gauche.

  2. Sélectionnez le menu d’options (...) pour votre règle, puis effectuez une des actions suivantes :

Créer des règles de transfert sur une console de gestion locale

Pour créer une règle de transfert sur la console de gestion :

  1. Connectez-vous à la console de gestion locale, puis sélectionnez Transfert dans le menu de gauche.

  2. Sélectionnez le bouton + en haut à droite pour créer une règle.

  3. Dans la fenêtre Créer une règle de transfert, entrez un nom explicite pour la règle, puis définissez les conditions et les actions de la règle comme suit :

    Nom Description
    Niveau d’alerte minimal En haut à droite de la boîte de dialogue, utilisez la liste déroulante pour sélectionner le niveau de gravité d’alerte minimal que vous voulez transférer.

    Par exemple, si vous sélectionnez Mineur, les alertes mineures et toute alerte supérieure à ce niveau de gravité sont transférées.
    Protocoles Sélectionnez Tout pour transférer les alertes du trafic de tous les protocoles, ou sélectionnez Spécifique pour seulement ajouter des protocoles spécifiques.
    Moteurs Sélectionnez Tout pour transférer les alertes déclenchées par tous les moteurs d’analytique de capteur, ou sélectionnez Spécifique pour ajouter seulement des moteurs spécifiques.
    System Notifications (Notifications système) Sélectionnez l’option Signaler les notifications du système pour signaler les capteurs déconnectés ou les échecs de sauvegarde à distance.
    Notifications d’alerte Sélectionnez l’option Signaler les notifications d’alerte pour signaler la date et l’heure, le titre, la gravité, le nom et l’adresse IP source et de destination, le trafic suspect et le moteur qui a détecté l’événement de l’alerte.
    Actions Sélectionnez Ajouter pour ajouter une action à appliquer, puis entrez les valeurs des paramètres nécessaires pour l’action sélectionnée. Répétez l’opération si nécessaire pour ajouter plusieurs actions.

    Pour plus d’informations, consultez Configurer des actions de règle de transfert d’alerte.
  4. Quand vous avez terminé de configurer la règle, sélectionnez ENREGISTRER. La règle est listée dans la page Transfert.

  5. Testez la règle que vous avez créée :

    1. Dans la ligne correspondant à votre règle, sélectionnez le bouton Tester cette règle de transfert. Une notification de réussite s’affiche si le message a été envoyé avec succès.
    2. Accédez au système de votre partenaire pour vérifier que les informations envoyées par le capteur ont été reçues.

Modifier ou supprimer des règles de transfert sur une console de gestion locale

Pour modifier ou supprimer une règle existante :

  1. Connectez-vous à votre console de gestion locale, puis sélectionnez Transfert dans le menu de gauche.

  2. Recherchez la ligne correspondant à votre règle, puis sélectionnez le bouton Modifier ou Supprimer.

Configurer des actions de règle de transfert d’alerte

Cette section explique comment configurer les paramètres pour les actions de règle de transfert prises en charge, sur un capteur OT ou sur la console de gestion locale.

Action d’adresse e-mail

Configurez une action E-mail pour transférer les données d’alerte à l’adresse e-mail configurée.

Dans la zone Actions, entrez les informations suivantes :

Nom Description
Serveur Sélectionnez E-mail.
E-mail Entrez l’adresse e-mail à laquelle vous voulez transférer les alertes. Chaque règle prend en charge une seule adresse e-mail.
Fuseau horaire Sélectionnez le fuseau horaire que vous voulez utiliser pour la détection d’alerte dans le système cible.

Actions du serveur Syslog

Configurez une action de serveur Syslog pour transférer les données d’alerte au type de serveur Syslog sélectionné.

Dans la zone Actions, entrez les informations suivantes :

Nom Description
Serveur Sélectionnez un des types suivants de format Syslog :

- Serveur SYSLOG (Format CEF)
- Serveur SYSLOG (Format LEEF)
- Serveur SYSLOG (Objet)
- Serveur SYSLOG (SMS)
Hôte / Port Entrez le nom d’hôte et le port du serveur Syslog
Fuseau horaire Sélectionnez le fuseau horaire que vous voulez utiliser pour la détection d’alerte dans le système cible.
Protocole Pris en charge seulement pour les SMS. Sélectionnez TCP ou UDP.
Activer le chiffrement Pris en charge seulement pour le format CEF. Activez ce paramètre pour configurer un fichier de certificat de chiffrement TLS, un fichier de clé et une phrase secrète.

Les sections suivantes décrivent la syntaxe de sortie de Syslog pour chaque format.

Champs de sortie des SMS à Syslog

Nom Description
Priority User. Alerte
Message Nom de la plateforme CyberX : nom du capteur.
Alerte Microsoft Defender pour IoT : titre de l’alerte.
Type : type de l’alerte. Peut être Violation de protocole, Violation de stratégie, Programme malveillant, Anomalie ou Opérationnelle.
Gravité : gravité de l’alerte. Peut être Avertissement, Mineur, Majeur ou Critique.
Source : nom de l’appareil source.
IP source : Adresse IP de l’appareil source.
Protocole (facultatif) : protocole source détecté.
Adresse (facultatif) : adresse du protocole source.
Destination : nom de l’appareil de destination.
IP de destination : Adresse IP de l’appareil de destination.
Protocole (facultatif) : protocole de destination détecté.
Adresse (facultatif) : adresse du protocole de destination.
Message : message de l’alerte.
Groupe d’alertes : Groupe d’alertes associé à l’alerte.
UUID (facultatif) : UUID de l’alerte.

Champs de sortie Objet Syslog

Nom Description
Priority User.Alert
Date et heure Date et heure auxquelles le serveur Syslog a reçu les informations.
HostName IP du capteur
Message Nom du capteur : nom de l’appliance.
Heure de l’alerte : heure à laquelle l’alerte a été détectée. Peut différer de l’heure de la machine du serveur Syslog et dépend de la configuration du fuseau horaire de la règle de transfert.
Titre de l’alerte : Titre de l’alerte.
Message d’alerte : Message de l’alerte.
Gravité d’alerte : Avertissement, Mineure, Majeure ou Critique.
Type d’alerte : Violation de protocole, Violation de stratégie, Programme malveillant, Anomalie ou Opérationnelle.
Protocole : protocole de l’alerte.
Source_MAC : Adresse IP, nom, fournisseur ou système d’exploitation de l’appareil source.
Destination_MAC : Adresse IP, nom, fournisseur ou système d’exploitation de l’appareil de destination. Si des données sont manquantes, la valeur est N/A.
alert_group : Groupe d’alertes associé à l’alerte.

Champs de sortie CEF Syslog

Nom Description
Priority User.Alert
Date et heure Date et heure auxquelles le capteur a envoyé les informations, au format UTC
Nom d’hôte Nom d’hôte du capteur
Message CEF:0
Microsoft Defender pour IoT/CyberX
Nom du capteur
Version du capteur
Alerte Microsoft Defender pour IoT
Titre de l’alerte
Indication sous forme d’entier de la sévérité. 1 = Avertissement, 4 = Mineur, 8 = Majeur ou 10 = Critique.
msg : message de l’alerte.
protocol : protocole de l’alerte.
severity : Avertissement, Mineur, Majeur ou Critique.
type : Violation de protocole, Violation de stratégie, Programme malveillant, Anomalie ou Opérationnelle.
UUID = UUID de l’alerte (facultatif)
start : heure à laquelle l’alerte a été détectée.
Peut varier de l’heure du serveur Syslog et dépend de la configuration du fuseau horaire de la règle de transfert.
src_ip : Adresse IP de l’appareil source. (facultatif)
src_mac : Adresse MAC de l’appareil source. (facultatif)
dst_ip : Adresse IP de l’appareil de destination. (facultatif)
dst_mac : Adresse MAC de l’appareil de destination. (facultatif)
cat : Groupe d’alertes associé à l’alerte.

Champs de sortie LEEF Syslog

Nom Description
Priority User.Alert
Date et heure Date et heure auxquelles le capteur a envoyé les informations, au format UTC
HostName IP du capteur
Message Nom du capteur : nom de l’appliance Microsoft Defender pour IoT.
LEEF:1.0
Microsoft Defender pour IoT
Capteur
Version du capteur
Alerte Microsoft Defender pour IoT
titre : titre de l’alerte.
msg : message de l’alerte.
protocole : Protocole de l’alerte.
gravité : Avertissement, Mineure, Majeure ou Critique.
type : type de l’alerte : Violation de protocole, Violation de stratégie, Programme malveillant, Anomalie ou Opérationnelle.
start : Heure de l’alerte. Elle peut être différente de l’heure de la machine du serveur Syslog et dépend de la configuration du fuseau horaire.
src_ip : Adresse IP de l’appareil source.
dst_ip : Adresse IP de l’appareil de destination.
cat : Groupe d’alertes associé à l’alerte.

Action du serveur Webhook

Pris en charge seulement depuis la console de gestion locale

Configurez une action Webhook pour configurer une intégration qui s’abonne aux événements d’alerte de Defender pour IoT. Par exemple, envoyez les données d’alerte à un serveur de webhooks pour mettre à jour un système SIEM externe, un système SOAR ou un système de gestion des incidents.

Quand vous avez configuré des alertes à transférer à un serveur de webhooks et qu’un événement d’alerte est déclenché, la console de gestion locale envoie une charge utile HTTP POST à l’URL de webhook configurée.

Dans la zone Actions, entrez les informations suivantes :

Nom Description
Serveur Sélectionnez Webhook.
URL Entrez l’URL du serveur de webhooks.
Clé / Valeur Entrez des paires clé/valeur pour personnaliser l’en-tête HTTP en fonction des besoins. Les caractères pris en charge sont les suivants :
Les - clés peuvent contenir seulement des lettres, des chiffres, des tirets et des traits de soulignement.
Les - valeurs peuvent contenir un seul espace de début et/ou un seul espace de fin.

Webhook étendu

Pris en charge seulement depuis la console de gestion locale

Configurez une action Webhook étendu pour envoyer les données supplémentaires suivantes à votre serveur de webhooks :

  • sensorID
  • sensorName
  • zoneID
  • zoneName
  • siteID
  • siteName
  • sourceDeviceAddress
  • destinationDeviceAddress
  • remediationSteps
  • handled
  • additionalInformation

Dans la zone Actions, entrez les informations suivantes :

Nom Description
Serveur Sélectionnez Webhook étendu.
URL Entrez l’URL des données du point de terminaison.
Clé / Valeur Entrez des paires clé/valeur pour personnaliser l’en-tête HTTP en fonction des besoins. Les caractères pris en charge sont les suivants :
Les - clés peuvent contenir seulement des lettres, des chiffres, des tirets et des traits de soulignement.
Les - valeurs peuvent contenir un seul espace de début et/ou un seul espace de fin.

Action NetWitness

Configurez une action NetWitness pour envoyer des informations d’alerte à un serveur NetWitness.

Dans la zone Actions, entrez les informations suivantes :

Nom Description
Serveur Sélectionnez NetWitness.
Nom d’hôte / Port Entrez le nom d’hôte et le port du serveur NetWitness.
Fuseau horaire Entrez le fuseau horaire que vous voulez utiliser dans l’horodatage pour la détection d’alerte au niveau du SIEM.

Configurer les règles de transfert pour les intégrations de partenaire

Vous pouvez intégrer Defender pour IoT à un service de partenaire pour envoyer des informations d’alerte ou d’inventaire d’appareils à un autre système de sécurité ou de gestion des appareils, ou pour communiquer avec des pare-feu côté partenaire.

Les intégrations de partenaire permettent de faire le pont entre des solutions de sécurité auparavant cloisonnées, d’améliorer la visibilité des appareils et d’accélérer la réponse à l’échelle du système afin d’atténuer plus rapidement les risques.

Dans ce cas, utilisez des Actions prises en charge afin d’entrer les informations d’identification et d’autres informations nécessaires pour communiquer avec les services de partenaire intégrés.

Pour plus d’informations, consultez l’article suivant :

Configurer des groupes d’alertes dans des services partenaires

Quand vous configurez des règles de transfert pour envoyer des données d’alerte à des serveurs Syslog, QRadar et ArcSight, des groupes d’alertes sont appliqués automatiquement et sont disponibles dans ces serveurs partenaires.

Les groupes d’alertes aident les équipes SOC qui utilisent ces solutions partenaires à gérer les alertes en fonction des stratégies de sécurité et des priorités métier des entreprises. Par exemple, les alertes relatives aux nouvelles détections sont organisées dans un groupe découverte qui comprend toutes les alertes concernant les nouveaux appareils, les nouveaux VLAN, les nouveaux comptes d’utilisateur, les nouvelles adresses MAC, etc.

Les groupes d’alertes apparaissent dans les services partenaires avec les préfixes suivants :

Préfixe Service partenaire
cat QRadar, ArcSight, CEF Syslog, LEEF Syslog
Alert Group SMS Syslog
alert_group Objets Syslog

Pour utiliser des groupes d’alertes dans votre intégration, veillez à configurer vos services partenaires pour qu’ils affichent le nom du groupe d’alertes.

Par défaut, les alertes sont regroupées comme suit :

  • Comportement de communication anormal
  • Alertes personnalisées
  • Accès à distance
  • Comportement de communication HTTP anormal
  • Découverte
  • Commandes de redémarrage et d’arrêt
  • Authentification
  • Modification du microprogramme
  • Analyser
  • Comportement de communication non autorisé
  • Commandes non conformes
  • Trafic de capteur
  • Anomalies de la bande passante
  • Accès à Internet
  • Suspicion de programme malveillant
  • Dépassement de capacité de la mémoire tampon
  • Échecs d’opération
  • Suspicion d’activité malveillante
  • Échecs de commande
  • Problèmes de fonctionnement
  • Modifications de configuration
  • Programmation

Pour plus d’informations et pour créer des groupes d’alertes personnalisés, contactez le Support Microsoft.

Résoudre les problèmes liés aux règles de transfert

Si vos règles d’alerte de transfert ne fonctionnent pas comme prévu, vérifiez les éléments suivants :

  • Validation du certificat Les règles de transfert pour CEF Syslog, Microsoft Sentinel et QRadar prennent en charge le chiffrement et la validation de certificat.

    Si vos capteurs OT ou votre console de gestion locale sont configurés pour valider les certificats et que le certificat ne peut pas être vérifié, les alertes ne sont pas transférées.

    Quand c’est le cas, le capteur ou la console de gestion locale est le client et le lanceur de la session. Les certificats sont généralement reçus du serveur ou utilisent le chiffrement asymétrique, où un certificat spécifique est fourni pour configurer l’intégration.

  • Règles d’exclusion d’alerte Si vous avez des règles d’exclusion configurées sur votre console de gestion locale, vos capteurs ignorent peut-être les alertes que vous essayez de transférer. Pour plus d’informations, consultez Créer des règles d’exclusion d’alerte sur une console de gestion locale.

Étapes suivantes