RSA NetWitness integreren met Microsoft Defender for IoT
In dit artikel wordt beschreven hoe u Microsoft Defender voor IoT-waarschuwingen verzendt naar RSA NetWitness. De integratie van Defender for IoT met NetWitness biedt inzicht in de beveiliging en tolerantie van OT-netwerken en een uniforme benadering van IT- en OT-beveiliging.
Vereisten
Voordat u begint, moet u ervoor zorgen dat u aan de volgende vereisten voldoet:
Toegang tot een Defender for IoT OT-sensor als een Beheer gebruiker. Zie On-premises gebruikers en rollen voor OT-bewaking met Defender for IoT voor meer informatie.
NetWitness-configuratie voor het verzamelen van gebeurtenissen van bronnen die ondersteuning bieden voor Common Event Format (CEF). Zie de Implementatiehandleiding voor CyberX Platform - RSA NetWitness CEF Parser voor meer informatie.
Een Defender for IoT-doorstuurregel maken
In deze procedure wordt beschreven hoe u een doorstuurregel maakt van uw OT-sensor om Defender for IoT-waarschuwingen van die sensor naar NetWitness te verzenden.
Waarschuwingsregels voor doorsturen worden alleen uitgevoerd op waarschuwingen die worden geactiveerd nadat de doorstuurregel is gemaakt. Waarschuwingen die al aanwezig waren in het systeem van voordat de doorstuurregel werd gemaakt, worden niet beïnvloed door de regel.
Zie Waarschuwingsinformatie doorsturen voor meer informatie.
Meld u aan bij de OT-sensorconsole en selecteer Doorsturen.
Selecteer + Nieuwe regel maken.
Definieer in het deelvenster Doorstuurregel toevoegen de regelparameters:
Parameter Beschrijving Regelnaam Voer een beschrijvende naam in voor uw regel. Minimaal waarschuwingsniveau Het minimale incident op beveiligingsniveau dat moet worden doorgestuurd. Als u bijvoorbeeld Secundair selecteert, wordt u op de hoogte gesteld van alle secundaire, primaire en kritieke incidenten. Elk protocol gedetecteerd Schakel uit om de protocollen te selecteren die u in de regel wilt opnemen. Verkeer gedetecteerd door een engine Schakel uit om het verkeer te selecteren dat u in de regel wilt opnemen. Definieer in het gebied Acties de volgende waarden:
Parameter Beschrijving Server Selecteer NetWitness. Host De NetWitness-hostnaam. Poort De NetWitness-poort. Uurzonee Voer uw NetWitness-tijdzone in. Selecteer Opslaan om de doorstuurregel op te slaan.
