Интеграция ArcSight с Microsoft Defender для Интернета вещей
В этой статье описывается отправка оповещений Microsoft Defender для Интернета вещей в ArcSight. Интеграция Defender для Интернета вещей с ArcSight обеспечивает возможность отслеживания безопасности и устойчивости сетей OT и унифицированный подход к безопасности ИТ и OT.
Предварительные требования
Прежде чем приступить к работе, убедитесь, что у вас есть следующие необходимые компоненты:
- Доступ к датчику OT Defender для Интернета вещей в качестве Администратора. Дополнительные сведения см. в статье Локальные пользователи и роли для мониторинга OT с помощью Defender для Интернета вещей.
Настройка типа приемника ArcSight
Чтобы настроить параметры сервера ArcSight для получения сведений об оповещениях Defender для Интернета вещей, выполните следующие действия:
- Войдите на сервер ArcSight.
- Настройте тип приемника в качестве приемника UDP CEF.
Дополнительные сведения см. в документации по ArcSight SmartConnectors.
Создание правила пересылки Defender для Интернета вещей
В этой процедуре описывается создание правила пересылки с датчика OT для отправки оповещений Defender для Интернета вещей с этого датчика в ArcSight.
Правила переадресации оповещений выполняются только для оповещений, активированных после создания правила переадресации. Это правило не влияет на оповещения, уже существующие в системе до создания правила пересылки.
Дополнительные сведения см. в разделе Переадресация сведений об оповещении.
Войдите в консоль датчика OT и выберите Переадресация.
Выберите + Создать новое правило.
В области Добавление правила переадресации определите параметры правила:
Параметр Описание Имя правила Введите понятное имя правила. Минимальный уровень оповещений Минимальный уровень инцидента безопасности для переадресации. Например, если вы выберете Дополнительный, вы получите уведомление обо всех незначительных, крупных и критических инцидентах. Обнаружен любой протокол Переключите переключатель, чтобы выбрать протоколы, которые нужно включить в правило. Трафик, обнаруженный любым обработчиком Переключите переключатель, чтобы выбрать трафик, который вы хотите включить в правило. В области Действия задайте следующие значения:
Параметр Описание Сервер Выберите ArcSight. Узел Адрес сервера ArcSight. порт. Порт сервера ArcSight. Часовой пояс Введите часовой пояс сервера ArcSight. Нажмите кнопку Сохранить, чтобы сохранить правило пересылки.
