Integrowanie usługi ArcSight z Microsoft Defender dla IoT

W tym artykule opisano sposób wysyłania Microsoft Defender dla alertów IoT do usługi ArcSight. Integracja usługi Defender for IoT z usługą ArcSight zapewnia wgląd w zabezpieczenia i odporność sieci OT oraz ujednolicone podejście do zabezpieczeń IT i OT.

Wymagania wstępne

Przed rozpoczęciem upewnij się, że masz następujące wymagania wstępne:

• Dostęp do czujnika OT usługi Defender for IoT jako użytkownik Administracja. Aby uzyskać więcej informacji, zobacz Lokalne użytkowników i role monitorowania ot za pomocą usługi Defender for IoT.

Konfigurowanie typu odbiornika usługi ArcSight

Aby skonfigurować ustawienia serwera ArcSight, aby można było otrzymywać informacje o alertach usługi Defender for IoT:

1. Zaloguj się do serwera ArcSight.
2. Skonfiguruj typ odbiorcy jako odbiornik UDP CEF.

Aby uzyskać więcej informacji, zobacz dokumentację usługi ArcSight SmartConnectors.

Tworzenie reguły przekazywania usługi Defender for IoT

W tej procedurze opisano sposób tworzenia reguły przekazywania z czujnika OT w celu wysyłania alertów usługi Defender for IoT z tego czujnika do usługi ArcSight.

Przekazywanie reguł alertów jest uruchamiane tylko dla alertów wyzwalanych po utworzeniu reguły przekazywania. Alerty już w systemie przed utworzeniem reguły przekazywania nie mają wpływu na regułę.

Aby uzyskać więcej informacji, zobacz Przekazywanie informacji o alertach.

1. Zaloguj się do konsoli czujnika OT i wybierz pozycję Przekazywanie.

2. Wybierz pozycję + Utwórz nową regułę.

3. W okienku Dodawanie reguły przekazywania zdefiniuj parametry reguły:

   

   Parametr	Opis
   Nazwa reguły	Wprowadź zrozumiałą nazwę reguły.
   Minimalny poziom alertu	Minimalny poziom zdarzeń na poziomie zabezpieczeń do przekazania. Jeśli na przykład wybierzesz pozycję Pomocnicza, otrzymasz powiadomienie o wszystkich drobnych, głównych i krytycznych zdarzeniach.
   Wykryto dowolny protokół	Przełącz się, aby wybrać protokoły, które chcesz uwzględnić w regule.
   Ruch wykryty przez dowolny aparat	Przełącz się, aby wybrać ruch, który chcesz uwzględnić w regule.

4. W obszarze Akcje zdefiniuj następujące wartości:

   Parametr	Opis
   Server (Serwer)	Wybierz pozycję ArcSight.
   Host	Adres serwera ArcSight.
   Port	Port serwera ArcSight.
   Strefa czasowa	Wprowadź strefę czasową serwera ArcSight.

5. Wybierz pozycję Zapisz, aby zapisać regułę przekazywania.

Następne kroki

• Integracje z usługami firmy Microsoft i partnerami
• Przekazywanie informacji o alercie
• Zarządzanie pojedynczymi czujnikami