Mengintegrasikan ArcSight dengan Microsoft Defender untuk IoT
Artikel ini menjelaskan cara mengirim pemberitahuan Microsoft Defender untuk IoT ke Arcsight. Mengintegrasikan Defender untuk IoT dengan Arcsight menyediakan visibilitas pada keamanan dan ketahanan jaringan OT dan pendekatan terpadu untuk keamanan IT dan OT.
Prasyarat
Sebelum memulai, pastikan Anda memiliki prasyarat berikut:
- Akses ke sensor OT Defender untuk IoT sebagai pengguna Admin. Untuk informasi selengkapnya, lihat Pengguna dan peran lokal untuk pemantauan OT dengan Defender for IoT.
Konfigurasikan jenis penerima ArcSight
Untuk melakukan konfigurasi pengaturan server ArcSight Anda sehingga dapat menerima informasi pemberitahuan Defender for IoT:
- Masuk ke server ArcSight Anda.
- Konfigurasikan jenis penerima Anda sebagai Penerima UDP CEF.
Untuk informasi selengkapnya, lihat dokumentasi ArcSight SmartConnectors.
Membuat aturan penerusan Defender untuk IoT
Prosedur ini menjelaskan cara membuat aturan penerusan dari sensor OT Anda untuk mengirim pemberitahuan Defender untuk IoT dari sensor tersebut ke Arcsight.
Penerusan aturan pemberitahuan hanya berjalan pada pemberitahuan yang dipicu setelah aturan penerusan dibuat. Pemberitahuan yang sudah ada dalam sistem dari sebelum aturan penerusan dibuat tidak terpengaruh oleh aturan.
Untuk informasi selengkapnya, lihat Meneruskan informasi peringatan.
Masuk ke konsol sensor OT Anda dan pilih Penerusan.
Pilih + Buat aturan baru.
Di panel Tambahkan aturan penerusan , tentukan parameter aturan:
Parameter Deskripsi Nama aturan Masukkan nama yang bermakna untuk aturan Anda. Tingkat pemberitahuan minimal Insiden tingkat keamanan minimal yang akan diteruskan. Misalnya, jika Anda memilih Minor, Anda akan diberi tahu tentang semua insiden kecil, besar, dan kritis. Protokol apa pun yang terdeteksi Alihkan untuk memilih protokol yang ingin Anda sertakan dalam aturan. Lalu lintas yang terdeteksi oleh mesin apa pun Alihkan untuk memilih lalu lintas yang ingin Anda sertakan dalam aturan. Di area Tindakan, tentukan nilai berikut ini:
Parameter Deskripsi Server Pilih ArcSight. Host Alamat server ArcSight. Port Port server ArcSight. Zona waktu Masukkan zona waktu server ArcSight. Pilih Simpan untuk menyimpan aturan penerusan Anda.
