Partager via


Intégrer ArcSight à Microsoft Defender pour IoT

Cet article décrit comment envoyer des alertes Microsoft Defender pour IoT à ArcSight. L’intégration de Defender pour IoT à ArcSight offre une visibilité sur la sécurité et la résilience des réseaux OT, ainsi qu’une approche unifiée de la sécurité informatique et OT.

Prérequis

Avant de commencer, vérifiez que les conditions préalables suivantes sont remplies :

Configurer le type de récepteur ArcSight

Pour configurer les paramètres de votre serveur ArcSight afin qu’il puisse recevoir les informations d’alerte Defender pour IoT :

  1. Connectez-vous à votre serveur ArcSight.
  2. Configurez votre type de récepteur en tant que Récepteur CEF UDP.

Pour plus d’informations, consultez la documentation ArcSight SmartConnectors.

Créer une règle de transfert Defender pour IoT

Cette procédure explique comment créer une règle de transfert depuis votre capteur OT pour envoyer des alertes Defender pour IoT entre ce capteur et ArcSight.

Les règles de transfert d’alerte s’exécutent uniquement sur les alertes déclenchées après la création de la règle de transfert. Les alertes qui étaient déjà présentes dans le système avant la création de la règle de transfert ne sont pas affectées par cette règle.

Pour plus d’informations, consultez Transférer les informations d’alerte.

  1. Connectez-vous à la console de votre capteur OT et sélectionnez Transfert.

  2. Sélectionnez + Créer une règle.

  3. Dans le volet Ajouter une règle de transfert, définissez les paramètres de la règle :

    Capture d’écran de la création d’une règle de transfert.

    Paramètre Description
    Nom de la règle Entrez un nom explicite pour votre règle.
    Niveau d’alerte minimal Incident de niveau de sécurité minimal à transférer. Par exemple, si vous sélectionnez Mineur, vous êtes averti de tous les incidents mineurs, majeurs et critiques.
    Tous les protocoles détectés Désactivez ce paramètre pour sélectionner les protocoles à inclure dans la règle.
    Trafic détecté par n’importe quel moteur Désactivez ce paramètre pour sélectionner le trafic à inclure dans la règle.
  4. Dans la zone Actions, définissez les valeurs suivantes :

    Paramètre Description
    Serveur Sélectionnez ArcSight.
    Hôte Adresse du serveur ArcSight.
    Port Port du serveur ArcSight.
    Fuseau horaire Entrez le fuseau horaire du serveur ArcSight.
  5. Sélectionnez Enregistrer pour enregistrer votre règle de transfert.

Étapes suivantes