Uwaga
Dostęp do tej strony wymaga autoryzacji. Może spróbować zalogować się lub zmienić katalogi.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
W tym artykule opisano sposób wysyłania alertów usługi Microsoft Defender dla IoT do usługi RSA NetWitness. Integracja usługi Defender for IoT z platformą NetWitness zapewnia wgląd w zabezpieczenia i odporność sieci OT oraz ujednolicone podejście do zabezpieczeń IT i OT.
Uwaga / Notatka
Usługa Defender dla IoT planuje wycofanie integracji NetWitness 1 grudnia 2025 r.
Wymagania wstępne
Przed rozpoczęciem upewnij się, że masz następujące wymagania wstępne:
Dostęp do czujnika usługi Defender for IoT OT jako administrator. Aby uzyskać więcej informacji, zobacz Użytkownicy lokalni i role na potrzeby monitorowania OT za pomocą usługi Defender for IoT.
Konfiguracja NetWitness do zbierania zdarzeń ze źródeł obsługujących format Wspólnego Formatu Zdarzeń (CEF). Aby uzyskać więcej informacji, zobacz Przewodnik implementacji analizatora CEF platformy CyberX — RSA NetWitness.
Tworzenie reguły przekazywania usługi Defender dla IoT
W tej procedurze opisano, jak utworzyć regułę przekazywania na czujniku OT, aby wysyłać alerty z usługi Defender dla IoT z tego czujnika do NetWitness.
Przekazywanie reguł alertów jest uruchamiane tylko dla alertów wyzwalanych po utworzeniu reguły przekazywania. Alerty już w systemie przed utworzeniem reguły przekazywania nie mają wpływu na regułę.
Aby uzyskać więcej informacji, zobacz Przekazywanie informacji o alertach.
Zaloguj się do konsoli czujnika OT i wybierz pozycję Przekazywanie.
Wybierz pozycję + Utwórz nową regułę.
W okienku Dodawanie reguły przesyłania dalej zdefiniuj parametry reguły:
Parametr Opis Nazwa reguły Wprowadź zrozumiałą nazwę reguły. Minimalny poziom alertu Minimalny poziom zdarzeń na poziomie zabezpieczeń do przekazania. Jeśli na przykład wybierzesz pozycję Drobne, będziesz powiadamiany o wszystkich drobnych, dużych i krytycznych zdarzeniach. Wykryto dowolny protokół Przełącz się, aby wybrać protokoły, które chcesz uwzględnić w regule. Ruch wykryty przez dowolny aparat Przełącz się, aby wybrać ruch, który chcesz uwzględnić w regule. W obszarze Akcje zdefiniuj następujące wartości:
Parametr Opis Serwer Wybierz pozycję NetWitness. Gospodarz Nazwa hosta NetWitness. Port Port NetWitness. Strefa czasowa Wprowadź strefę czasową NetWitness. Wybierz pozycję Zapisz , aby zapisać regułę przesyłania dalej.
