Az ArcSight integrálása az IoT-Microsoft Defender
Ez a cikk azt ismerteti, hogyan küldhet Microsoft Defender IoT-riasztásokhoz az ArcSightnak. Az IoT-hez készült Defender és az ArcSight integrálása betekintést nyújt az OT-hálózatok biztonságába és rugalmasságába, valamint az informatikai és az OT-biztonság egységes megközelítésébe.
Előfeltételek
A kezdés előtt győződjön meg arról, hogy rendelkezik a következő előfeltételekkel:
- Hozzáférés az IoT-hez készült Defender OT-érzékelőhöz Rendszergazda felhasználóként. További információ: Helyszíni felhasználók és szerepkörök az IoT-hez készült Defenderrel végzett OT-monitorozáshoz.
Az ArcSight-fogadó típusának konfigurálása
Az ArcSight-kiszolgáló beállításainak konfigurálása, hogy megkaphassa a Defender for IoT riasztási adatait:
- Jelentkezzen be az ArcSight-kiszolgálóra.
- Konfigurálja a fogadó típusát CEF UDP-vevőként.
További információt az ArcSight SmartConnectors dokumentációjában talál.
Defender for IoT-továbbítási szabály létrehozása
Ez az eljárás azt ismerteti, hogyan hozhat létre továbbítási szabályt az OT-érzékelőből, hogy a Defender for IoT-riasztásokat küldjön az érzékelőről az ArcSightnak.
A továbbítási riasztási szabályok csak a továbbítási szabály létrehozása után aktivált riasztásokon futnak. A szabály nem érinti a már a rendszerben a továbbítási szabály létrehozása előtti riasztásokat.
További információ: Riasztási információk továbbítása.
Jelentkezzen be az OT-érzékelő konzoljára, és válassza a Továbbítás lehetőséget.
Válassza a + Új szabály létrehozása lehetőséget.
A Továbbítási szabály hozzáadása panelen adja meg a szabályparamétereket:
Paraméter Leírás Szabály neve Adjon meg egy értelmes nevet a szabálynak. Minimális riasztási szint A továbbítandó minimális biztonsági szintű incidens. Ha például a Minor (Alverzió) lehetőséget választja, a rendszer értesítést kap az összes kisebb, nagyobb és kritikus fontosságú incidensről. Bármilyen észlelt protokoll A kikapcsológombbal válassza ki a szabályba felvenni kívánt protokollokat. Bármely motor által észlelt forgalom A kikapcsológombbal válassza ki a szabályba felvenni kívánt forgalmat. A Műveletek területen adja meg a következő értékeket:
Paraméter Leírás Kiszolgáló Válassza az ArcSight lehetőséget. Állomás Az ArcSight-kiszolgáló címe. Port Az ArcSight-kiszolgáló portja. Időzóna Adja meg az ArcSight-kiszolgáló időzónáját. Válassza a Mentés lehetőséget a továbbítási szabály mentéséhez.
Következő lépések
Visszajelzés
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ: https://aka.ms/ContentUserFeedback.
Visszajelzés küldése és megtekintése a következőhöz: