Intégrer RSA NetWitness à Microsoft Defender pour IoT

Cet article décrit comment envoyer des alertes Microsoft Defender pour IoT à RSA NetWitness. L’intégration de Defender pour IoT à NetWitness offre une visibilité sur la sécurité et la résilience des réseaux OT, ainsi qu’une approche unifiée de la sécurité informatique et OT.

Prérequis

Avant de commencer, vérifiez que les conditions préalables suivantes sont remplies :

• Accédez à un capteur OT Defender pour IoT en tant qu’utilisateur administrateur. Pour plus d’informations, consultez Utilisateurs et rôles locaux pour le monitoring OT avec Defender pour IoT.

• Configuration de NetWitness pour collecter des événements à partir de sources qui prennent en charge Common Event Format (CEF). Pour plus d’informations, consultez le Guide d’implémentation de l’analyseur CEF de CyberX Platform - RSA NetWitness CEF.

Créer une règle de transfert Defender pour IoT

Cette procédure explique comment créer une règle de transfert depuis votre capteur OT pour envoyer des alertes Defender pour IoT entre ce capteur et NetWitness.

Les règles de transfert d’alerte s’exécutent uniquement sur les alertes déclenchées après la création de la règle de transfert. Les alertes déjà présentes dans le système, avant la création de la règle de transfert, ne sont pas affectées par cette règle.

Pour plus d’informations, consultez Transférer les informations d’alerte.

1. Connectez-vous à la console de votre capteur OT et sélectionnez Transférer.

2. Sélectionnez + Créer une règle.

3. Dans le volet Ajouter une règle de transfert, définissez les paramètres de la règle :

   

   Paramètre	Description
   Nom de la règle	Entrez un nom explicite pour votre règle.
   Niveau d’alerte minimal	Incident de niveau de sécurité minimal à transférer. Par exemple, si vous sélectionnez Mineur, vous êtes averti de tous les incidents mineurs, majeurs et critiques.
   Tous les protocoles détectés	Désactivez pour sélectionner les protocoles à inclure dans la règle.
   Trafic détecté par n’importe quel moteur	Désactivez pour sélectionner le trafic à inclure dans la règle.

4. Dans la zone Actions, définissez les valeurs suivantes :

   Paramètre	Description
   Serveur	Sélectionnez NetWitness.
   Hôte	Le nom d’hôte NetWitness.
   Port	Le port NetWitness.
   Fuseau horaire	Renseignez le fuseau horaire de votre NetWitness.

5. Sélectionnez Enregistrer pour enregistrer votre règle de transfert.

Étapes suivantes

• CyberX Platform - Guide d’implémentation RSA NetWitness CEF Parser
• Intégrations à d’autres services Microsoft et partenaires
• Transférer les informations d’alerte