Microsoft Defender for IoT와 RSA NetWitness 통합

이 문서에서는 Microsoft Defender for IoT 경고를 RSA NetWitness에 보내는 방법을 설명합니다. Defender for IoT를 NetWitness와 통합하면 OT 네트워크의 보안 및 복원력과 IT 및 OT 보안에 대한 통합된 접근 방식을 파악할 수 있습니다.

필수 조건

시작하기 전에 다음 필수 조건을 갖추고 있는지 확인합니다.

• Defender for IoT OT 센서에 관리 사용자로 액세스합니다. 자세한 내용은 Defender for IoT를 사용한 OT 모니터링을 위한 온-프레미스 사용자 및 역할을 참조하세요.

• CEF(Common Event Format)를 지원하는 원본에서 이벤트를 수집하기 위한 NetWitness 구성. 자세한 내용은 CyberX 플랫폼 - RSA NetWitness CEF 파서 구현 가이드를 참조하세요.

Defender for IoT 전달 규칙 만들기

이 절차는 OT 센서에서 전달 규칙을 만들어 해당 센서에서 NetWitness로 Defender for IoT 경고를 보내는 방법을 설명합니다.

전달 경고 규칙은 전달 규칙이 만들어진 후 트리거된 경고에서만 실행됩니다. 전달 규칙이 만들어지기 전에 이미 시스템에 있는 경고는 규칙의 영향을 받지 않습니다.

자세한 내용은 전달 경고 정보를 참조하세요.

1. OT 센서 콘솔에 로그인하고 전달을 선택합니다.

2. + 새 규칙 만들기를 선택합니다.

3. 전달 규칙 추가 창에서 규칙 매개 변수를 정의합니다.

   

   매개 변수	설명
   규칙 이름	규칙의 의미 있는 이름을 입력합니다.
   최소 경고 수준	전달하려는 최소 보안 수준 인시던트입니다. 예를 들어, 경미를 선택하면 모든 경미한 인시던트, 주요 인시던트 및 위험 인시던트에 대한 알림을 받습니다.
   검색된 모든 프로토콜	끄기를 해제하여 규칙에 포함할 프로토콜을 선택합니다.
   모든 엔진에서 검색된 트래픽	끄기를 전환하여 규칙에 포함할 트래픽을 선택합니다.

4. 작업 영역에서 다음 값을 정의합니다.

   매개 변수	설명
   서버	NetWitness를 선택합니다.
   호스트	NetWitness 호스트 이름.
   포트	NetWitness 포트.
   표준 시간대	NetWitness 표준 시간대를 입력합니다.

5. 저장을 선택하여 전달 규칙을 저장합니다.

다음 단계

• CyberX 플랫폼 - RSA NetWitness CEF 파서 구현 가이드
• Microsoft 및 파트너 서비스와 통합
• 경고 정보 전달