Editar

Partilhar via

Alertas na nuvem do Stream Defender for IoT para um SIEM parceiro

  • Procedimentos

À medida que mais empresas convertem sistemas OT em infraestruturas digitais de TI, as equipes do centro de operações de segurança (SOC) e os CISOs (Chief Information Security Officers) são cada vez mais responsáveis por lidar com ameaças de redes OT.

Recomendamos usar o conector de dados e a solução prontos para uso do Microsoft Defender for IoT para integração com o Microsoft Sentinel e preencher a lacuna entre o desafio de segurança de TI e OT.

No entanto, se você tiver outros sistemas de gerenciamento de eventos e informações de segurança (SIEM), também poderá usar o Microsoft Sentinel para encaminhar alertas de nuvem do Defender for IoT para esse SIEM parceiro, por meio do Microsoft Sentinel e dos Hubs de Eventos do Azure.

Embora este artigo use o Splunk como exemplo, é possível usar o processo descrito abaixo com qualquer SIEM que suporte a ingestão do Event Hub, como o IBM QRadar.

Importante

O uso de Hubs de Eventos e uma regra de exportação do Log Analytics pode incorrer em cobranças adicionais. Para obter mais informações, consulte Preços dos Hubs de Eventos e Preços de exportação de dados de log.

Pré-requisitos

Antes de começar, você precisará do conector de dados do Microsoft Defender para IoT instalado em sua instância do Microsoft Sentinel. Para obter mais informações, consulte Tutorial: Conectar o Microsoft Defender para IoT com o Microsoft Sentinel.

Verifique também os pré-requisitos para cada um dos procedimentos vinculados nas etapas abaixo.

Registar uma aplicação no Microsoft Entra ID

Você precisará do ID do Microsoft Entra definido como uma entidade de serviço para o Complemento Splunk para Microsoft Cloud Services. Para fazer isso, você precisará criar um aplicativo Microsoft Entra com permissões específicas.

Para registrar um aplicativo Microsoft Entra e definir permissões:

  1. No Microsoft Entra ID, registre um novo aplicativo. Na página Certificados & segredos, adicione um novo segredo de cliente para a entidade de serviço.

    Para obter mais informações, consulte Registrar um aplicativo com a plataforma de identidade da Microsoft

  2. Na página de permissões de API do seu aplicativo, conceda permissões de API para ler dados do seu aplicativo.

    • Selecione para adicionar uma permissão e, em seguida, selecione Permissões do aplicativo Microsoft Graph>SecurityEvents.ReadWrite.All>>Adicionar permissões.

    • Certifique-se de que o consentimento do administrador é necessário para a sua permissão.

    Para obter mais informações, consulte Configurar um aplicativo cliente para acessar uma API da Web

  3. Na página Visão geral do aplicativo, observe os seguintes valores para o aplicativo:

    • Nome a apresentar
    • ID do aplicativo (cliente)
    • ID do diretório (locatário)

  4. Na página Certificados & segredos, anote os valores do valor secreto do cliente e ID secreto.

Criar um hub de eventos do Azure

Crie um hub de eventos do Azure para usar como uma ponte entre o Microsoft Sentinel e seu SIEM parceiro. Inicie esta etapa criando um namespace de hub de eventos do Azure e adicionando um hub de eventos do Azure.

Para criar seu namespace de hub de eventos e hub de eventos:

  1. Nos Hubs de Eventos do Azure, crie um novo namespace de hub de eventos. Em seu novo namespace, crie um novo hub de eventos do Azure.

    No hub de eventos, certifique-se de definir as configurações de Contagem de partições e Retenção de mensagens.

    Para obter mais informações, consulte Criar um hub de eventos usando o portal do Azure.

  2. No namespace do hub de eventos, selecione a página Controle de acesso (IAM) e adicione uma nova atribuição de função.

    Selecione para usar a função Recetor de Dados dos Hubs de Eventos do Azure e adicione o aplicativo princípio de serviço Microsoft Entra que você criou anteriormente como membro.

    Para obter mais informações, consulte: Atribuir funções do Azure usando o portal do Azure.

  3. Na página Visão geral do namespace do hub de eventos, anote o valor do nome do host do namespace.

  4. Na página Hubs de Eventos do namespace do hub de eventos, anote o nome do hub de eventos.

Encaminhar incidentes do Microsoft Sentinel para o hub de eventos

Para encaminhar incidentes ou alertas do Microsoft Sentinel para seu hub de eventos, crie uma regra de exportação de dados do Azure Log Analytics.

Na sua regra, certifique-se de definir as seguintes configurações:

  1. Configurar a origem como SecurityIncident

  2. Configure o Destino como Tipo de Evento, usando o namespace do hub de eventos e o nome do hub de eventos que você gravou anteriormente.

    Para obter mais informações, consulte Exportação de dados do espaço de trabalho do Log Analytics no Azure Monitor.

Configurar o Splunk para consumir incidentes do Microsoft Sentinel

Depois de configurar o hub de eventos e a regra de exportação, configure o Splunk para consumir incidentes do Microsoft Sentinel do hub de eventos.

  1. Instale o aplicativo Splunk Add-on for Microsoft Cloud Services .

  2. No aplicativo Splunk Add-on for Microsoft Cloud Services, adicione uma conta do Aplicativo do Azure.

    1. Insira um nome significativo para a conta.
    2. Insira o ID do cliente, o segredo do cliente e os detalhes do ID do locatário que você havia registrado anteriormente.
    3. Defina o tipo de classe de conta como Azure Public Cloud.

  3. Vá para o Complemento Splunk para entradas do Microsoft Cloud Services e crie uma nova entrada para seu hub de eventos do Azure.

    1. Insira um nome significativo para a sua entrada.
    2. Selecione a Conta de Aplicativo do Azure que você acabou de criar no Complemento Splunk para o aplicativo Serviços Microsoft.
    3. Insira o FQDN do namespace do hub de eventos e o nome do hub de eventos.

    Deixe outras configurações como padrão.

    Quando os dados começarem a ser ingeridos no Splunk a partir do seu hub de eventos, consulte os dados usando o seguinte valor no campo de pesquisa: sourcetype="mscs:azure:eventhub"

Conteúdos relacionados