Bewerken

Delen via

Stream Defender for IoT-cloudwaarschuwingen naar een partner SIEM

  • Uitleg

Naarmate meer bedrijven OT-systemen converteren naar digitale IT-infrastructuren, zijn SOC-teams (Security Operations Center) en chief information security officer (CISO's) steeds meer verantwoordelijk voor het afhandelen van bedreigingen van OT-netwerken.

We raden u aan de out-of-the-box-gegevensconnector en -oplossing van Microsoft Defender for IoT te gebruiken om te integreren met Microsoft Sentinel en de kloof tussen de IT- en OT-beveiligingsvraag te overbruggen.

Als u echter andere SIEM-systemen (Security Information and Event Management) hebt, kunt u Microsoft Sentinel ook gebruiken om Defender for IoT-cloudwaarschuwingen door te sturen naar die partner SIEM, via Microsoft Sentinel en Azure Event Hubs.

Hoewel in dit artikel Splunk als voorbeeld wordt gebruikt, kunt u het hieronder beschreven proces gebruiken met siem's die ondersteuning bieden voor Event Hub-opname, zoals IBM QRadar.

Belangrijk

Als u Event Hubs en een Log Analytics-exportregel gebruikt, worden er mogelijk extra kosten in rekening gebracht. Zie prijzen voor Event Hubs en prijzen voor Logboekgegevensexport voor meer informatie.

Vereisten

Voordat u begint, moet de Microsoft Defender for IoT-gegevensconnector zijn geïnstalleerd in uw Microsoft Sentinel-exemplaar. Zie Zelfstudie: Microsoft Defender for IoT verbinden met Microsoft Sentinel voor meer informatie.

Controleer ook de vereisten voor elk van de procedures die zijn gekoppeld in de onderstaande stappen.

Een toepassing registreren in Microsoft Entra-id

U hebt Microsoft Entra-id nodig die is gedefinieerd als een service-principal voor de Splunk-invoegtoepassing voor Microsoft Cloud Services. Hiervoor moet u een Microsoft Entra-toepassing met specifieke machtigingen maken.

Een Microsoft Entra-toepassing registreren en machtigingen definiëren:

  1. Registreer een nieuwe toepassing in Microsoft Entra ID. Voeg op de pagina Certificaten en geheimen een nieuw clientgeheim toe voor de service-principal.

    Zie Een toepassing registreren bij het Microsoft Identity Platform voor meer informatie

  2. Op de pagina API-machtigingen van uw app verleent u API-machtigingen om gegevens uit uw app te lezen.

    • Selecteer deze optie om een machtiging toe te voegen en selecteer vervolgens Microsoft Graph>Application permissions>SecurityEvents.ReadWrite.All>Add permissions.

    • Zorg ervoor dat beheerderstoestemming is vereist voor uw toestemming.

    Zie Een clienttoepassing configureren voor toegang tot een web-API voor meer informatie

  3. Noteer op de overzichtspagina van uw app de volgende waarden voor uw app:

    • Weergavenaam
    • Toepassings-id (client)
    • Map-id (tenant)

  4. Noteer op de pagina Certificaten en geheimen de waarden van de waarde van het clientgeheim en de geheime id.

Een Azure Event Hub maken

Maak een Azure Event Hub om te gebruiken als een brug tussen Microsoft Sentinel en uw partner SIEM. Begin deze stap door een Azure Event Hub-naamruimte te maken en vervolgens een Azure Event Hub toe te voegen.

Ga als volgende te werk om uw Event Hub-naamruimte en Event Hub te maken:

  1. Maak in Azure Event Hubs een nieuwe Event Hub-naamruimte. Maak in uw nieuwe naamruimte een nieuwe Azure Event Hub.

    Zorg ervoor dat u in uw Event Hub de instellingen voor het aantal partities en de bewaarinstellingen voor berichten definieert.

    Zie Een Event Hub maken met behulp van Azure Portal voor meer informatie.

  2. Selecteer in uw Event Hub-naamruimte de pagina Toegangsbeheer (IAM) en voeg een nieuwe roltoewijzing toe.

    Selecteer deze optie om de azure Event Hubs-gegevensontvangerrol te gebruiken en voeg de Microsoft Entra-service-principal-app toe die u eerder als lid hebt gemaakt.

    Zie voor meer informatie: Azure-rollen toewijzen met behulp van Azure Portal.

  3. Noteer op de overzichtspagina van de Event Hub-naamruimte de hostnaamwaarde van de naamruimte.

  4. Noteer op de Event Hubs-pagina van de Event Hubs van uw Event Hubs de naam van uw Event Hub.

Microsoft Sentinel-incidenten doorsturen naar uw Event Hub

Als u Microsoft Sentinel-incidenten of -waarschuwingen wilt doorsturen naar uw Event Hub, maakt u een regel voor gegevensexport vanuit Azure Log Analytics.

Zorg ervoor dat u in uw regel de volgende instellingen definieert:

  1. De bron configureren als SecurityIncident

  2. Configureer de bestemming als gebeurtenistype met behulp van de event hub-naamruimte en de naam van de Event Hub die u eerder hebt opgenomen.

    Zie Log Analytics-werkruimtegegevens exporteren in Azure Monitor voor meer informatie.

Splunk configureren om Microsoft Sentinel-incidenten te gebruiken

Zodra uw Event Hub en exportregel zijn geconfigureerd, configureert u Splunk om Microsoft Sentinel-incidenten van de Event Hub te gebruiken.

  1. Installeer de Splunk-invoegtoepassing voor de Microsoft Cloud Services-app .

  2. Voeg in de Splunk-invoegtoepassing voor de Microsoft Cloud Services-app een Azure-app-account toe.

    1. Voer een betekenisvolle naam in voor het account.
    2. Voer de client-id, het clientgeheim en de tenant-id in die u eerder hebt vastgelegd.
    3. Definieer het type accountklasse als openbare Azure-cloud.

  3. Ga naar de Splunk-invoegtoepassing voor Invoer van Microsoft Cloud Services en maak een nieuwe invoer voor uw Azure Event Hub.

    1. Voer een betekenisvolle naam in voor uw invoer.
    2. Selecteer het Azure-app-account dat u zojuist hebt gemaakt in de Splunk-invoegtoepassing voor de Microsoft Services-app.
    3. Voer de FQDN- en Event Hub-naam van uw Event Hub-naamruimte in.

    Laat andere instellingen staan op de standaardinstellingen.

    Zodra gegevens worden opgenomen in Splunk vanuit uw Event Hub, voert u een query uit op de gegevens met behulp van de volgende waarde in uw zoekveld: sourcetype="mscs:azure:eventhub"

Gerelateerde inhoud