Modifier

Share via

Envoyer en streaming des alertes cloud Defender pour IoT à un SIEM partenaire

  • Procédures

Alors qu’un nombre croissant d’entreprises convertissent leurs systèmes OT en infrastructures IT numériques, les équipes des centres des opérations de sécurité (SOC) et les responsables de la sécurité des systèmes d’information (CISO) ont une responsabilité de plus en plus grande dans la gestion des menaces provenant des réseaux OT.

Nous vous recommandons d’utiliser le connecteur de données prêt à l’emploi de Microsoft Defender pour IoT et la solution pour intégrer Microsoft Sentinel et combler le fossé entre la sécurité IT et OT.

Toutefois, si vous disposez d’autres systèmes SIEM (Security Information and Event Management), vous pouvez également utiliser Microsoft Sentinel pour transférer les alertes cloud Defender pour IoT à ce partenaire SIEM, via Microsoft Sentinel et Azure Event Hubs.

Bien que cet article utilise Splunk comme exemple, vous pouvez utiliser le processus décrit ci-dessous avec n’importe quel SIEM prenant en charge l’ingestion Event Hub comme IBM QRadar.

Important

L’utilisation d’Event Hubs et d’une règle d’exportation Log Analytics peut engendrer des frais supplémentaires. Pour plus d’informations, consultez Tarification d’Event Hubs et Tarification de l’exportation de données de journal.

Prérequis

Avant de commencer, vous devez installer le connecteur de données Microsoft Defender pour IoT dans votre instance Microsoft Sentinel. Pour plus d’informations, consultez Tutoriel : Connecter Microsoft Defender pour IoT à Microsoft Sentinel.

Vérifiez également les prérequis pour chacune des procédures en lien dans les étapes ci-dessous.

Inscrire une application dans Microsoft Entra ID

Vous devez avoir Microsoft Entra ID défini comme principal de service pour Splunk Add-on for Microsoft Cloud Services. Pour ce faire, vous devez créer une application Microsoft Entra avec des autorisations spécifiques.

Pour inscrire une application Microsoft Entra et définir des autorisations :

  1. Inscrivez une nouvelle application dans l’identifiant Microsoft Entra ID. Dans la page Certificats et secrets, ajoutez un nouveau secret client pour le principal de service.

    Pour plus d’informations, consultez Inscrire une application auprès de la plateforme d’identités Microsoft.

  2. Dans la page Autorisations d’API de votre application, accordez des autorisations d’API pour lire les données de votre application.

    • Sélectionnez pour ajouter une autorisation, puis sélectionnez Microsoft Graph>Autorisations d’application>SecurityEvents.ReadWrite.All>Ajouter des autorisations.

    • Assurez-vous que le consentement de l’administrateur est requis pour votre autorisation.

    Pour plus d’informations, consultez Configurer une application cliente pour accéder à une API web.

  3. Dans la page Vue d’ensemble de votre application, notez les valeurs suivantes pour votre application :

    • Nom complet
    • ID d’application (client)
    • ID de l’annuaire (locataire)

  4. Dans la page Certificats et secrets, notez les valeurs Valeur et ID de secret de votre secret client.

Créer un hub d’événements Azure

Créez un hub d’événements Azure à utiliser comme pont entre Microsoft Sentinel et votre partenaire SIEM. Commencez cette étape en créant un espace de noms Event Hub Azure, puis en ajoutant un Event Hub Azure.

Pour créer votre espace de noms Event Hub et votre Event Hub :

  1. Dans Azure Event Hubs, créez un espace de noms Event Hub. Dans votre nouvel espace de noms, créez un Event Hub Azure.

    Dans votre Event Hub, veillez à définir les paramètres Nombre de partitions et Rétention des messages.

    Pour plus d’informations, consultez Créer un hub d’événements avec le portail Azure.

  2. Dans votre espace de noms Event Hub, sélectionnez la page Contrôle d’accès (IAM) et ajoutez une nouvelle attribution de rôle.

    Sélectionnez pour utiliser le rôle Récepteur de données Azure Event Hubs et ajoutez l’application de principal de service Microsoft Entra que vous avez créée précédemment en tant que membre.

    Pour plus d’informations, consultez Attribuer des rôles Azure en utilisant le portail Azure.

  3. Dans la page Vue d’ensemble de votre espace de noms Event Hub, notez la valeur du Nom d’hôte de l’espace de noms.

  4. Dans la page Event Hubs de votre espace de noms Event Hub, notez le nom de votre Event Hub.

Transférer les incidents Microsoft Sentinel à votre Event Hub

Pour transférer des incidents ou des alertes Microsoft Sentinel à votre Event Hub, créez une règle d’exportation de données depuis Azure Log Analytics.

Dans votre règle, veillez à définir les paramètres suivants :

  1. Configurer la Source en tant que SecurityIncident

  2. Configurer la Destination en tant que Type d’événement en utilisant l’espace de noms Event Hub et le nom de l’Event Hub que vous avez enregistrés précédemment.

    Pour plus d’informations, consultez Exportation des données de l’espace de travail Log Analytics dans Azure Monitor.

Configurer Splunk pour consommer des incidents Microsoft Sentinel

Une fois que vous avez configuré votre Event Hub et votre règle d’exportation, configurez Splunk pour consommer les incidents Microsoft Sentinel à partir de l’Event Hub.

  1. Installez l’application Splunk Add-on for Microsoft Cloud Services.

  2. Dans l’application Splunk Add-on for Microsoft Cloud Services, ajoutez un compte Azure App.

    1. Entrez un nom explicite pour le compte.
    2. Entrez les détails de l’ID client, du secret client et de l’ID de locataire que vous avez enregistrés précédemment.
    3. Définissez le type de classe de compte sur Cloud public Azure.

  3. Accédez aux entrées de Splunk Add-on for Microsoft Cloud Services et créez une entrée pour votre Event Hub Azure.

    1. Entrez un nom explicite pour votre entrée.
    2. Sélectionnez le compte Azure App que vous venez de créer dans l’application Splunk Add-on for Microsoft Cloud Services.
    3. Entrez le FQDN de votre espace de noms Event Hub et le nom de l’Event Hub.

    Laissez les autres paramètres avec leurs valeurs par défaut.

    Une fois que les données commencent à être ingérées dans Splunk à partir de votre Event Hub, interrogez les données en utilisant la valeur suivante dans votre champ de recherche : sourcetype="mscs:azure:eventhub"

Contenu connexe