Intégrer ArcSight à Microsoft Defender pour IoT

Cet article décrit comment envoyer des alertes Microsoft Defender pour IoT à ArcSight. L’intégration de Defender pour IoT à ArcSight offre une visibilité sur la sécurité et la résilience des réseaux OT, ainsi qu’une approche unifiée de la sécurité informatique et OT.

Prérequis

Avant de commencer, vérifiez que les conditions préalables suivantes sont remplies :

• Accédez à un capteur OT Defender pour IoT en tant qu’utilisateur administrateur. Pour plus d’informations, consultez Utilisateurs et rôles locaux pour le monitoring OT avec Defender pour IoT.

Configurer le type de récepteur ArcSight

Pour configurer les paramètres de votre serveur ArcSight afin qu’il puisse recevoir les informations d’alerte Defender pour IoT :

1. Connectez-vous à votre serveur ArcSight.
2. Configurez votre type de récepteur en tant que Récepteur CEF UDP.

Pour plus d’informations, consultez la documentation ArcSight SmartConnectors.

Créer une règle de transfert Defender pour IoT

Cette procédure explique comment créer une règle de transfert depuis votre capteur OT pour envoyer des alertes Defender pour IoT entre ce capteur et ArcSight.

Les règles de transfert d’alerte s’exécutent uniquement sur les alertes déclenchées après la création de la règle de transfert. Les alertes qui étaient déjà présentes dans le système avant la création de la règle de transfert ne sont pas affectées par cette règle.

Pour plus d’informations, consultez Transférer les informations d’alerte.

1. Connectez-vous à la console de votre capteur OT et sélectionnez Transfert.

2. Sélectionnez + Créer une règle.

3. Dans le volet Ajouter une règle de transfert, définissez les paramètres de la règle :

   

   Paramètre	Description
   Nom de la règle	Entrez un nom explicite pour votre règle.
   Niveau d’alerte minimal	Incident de niveau de sécurité minimal à transférer. Par exemple, si vous sélectionnez Mineur, vous êtes averti de tous les incidents mineurs, majeurs et critiques.
   Tous les protocoles détectés	Désactivez ce paramètre pour sélectionner les protocoles à inclure dans la règle.
   Trafic détecté par n’importe quel moteur	Désactivez ce paramètre pour sélectionner le trafic à inclure dans la règle.

4. Dans la zone Actions, définissez les valeurs suivantes :

   Paramètre	Description
   Serveur	Sélectionnez ArcSight.
   Hôte	Adresse du serveur ArcSight.
   Port	Port du serveur ArcSight.
   Fuseau horaire	Entrez le fuseau horaire du serveur ArcSight.

5. Sélectionnez Enregistrer pour enregistrer votre règle de transfert.

Étapes suivantes

• Intégrations à d’autres services Microsoft et partenaires
• Transférer les informations d’alerte
• Gérer des capteurs individuels