Интеграция LogRhythm с Microsoft Defender для Интернета вещей

В этой статье описана отправка оповещений Microsoft Defender для Интернета вещей в LogRhythm. Интеграция Defender для Интернета вещей с LogRhythm обеспечивает возможность отслеживания безопасности и устойчивости сетей OT и унифицированный подход к безопасности ИТ и OT.

Предварительные требования

Прежде чем приступить к работе, убедитесь, что у вас есть следующие необходимые компоненты:

• Доступ к датчику OT Defender для Интернета вещей в качестве Администратора. Дополнительные сведения см. в статье Локальные пользователи и роли для мониторинга OT с помощью Defender для Интернета вещей.

Создание правила пересылки Defender для Интернета вещей

Эта процедура описывает создание правила пересылки с датчика OT для отправки оповещений Defender для Интернета вещей с этого датчика в LogRhythm.

Правила переадресации оповещений выполняются только для оповещений, активированных после создания правила переадресации. Это правило не влияет на оповещения, уже существующие в системе до создания правила переадресации.

Дополнительные сведения см. в разделе Переадресация сведений об оповещении.

1. Войдите в консоль датчика OT и выберите Переадресация.

2. Выберите + Создать новое правило.

3. В области Добавление правила пересылки определите параметры правила:

   

   Параметр	Описание
   Имя правила	Введите понятное имя правила.
   Минимальный уровень оповещений	Минимальный уровень инцидента безопасности для переадресации. Например, если выбрать дополнительный, вы получите уведомление обо всех незначительных, крупных и критических инцидентах.
   Любой обнаруженный протокол	Переключите переключатель, чтобы выбрать протоколы, которые нужно включить в правило.
   Трафик, обнаруженный любым обработчиком	Переключите переключатель, чтобы выбрать трафик, который вы хотите включить в правило.

4. В области Действия задайте следующие значения:

   Параметр	Описание
   Сервер	Выберите параметр сервера SYSLOG, например СЕРВЕР SYSLOG (формат LEEF).
   Узел	IP-адрес или имя узла сборщика LogRhythm
   порт.	Введите 514.
   Часовой пояс	Введите часовой пояс.

5. Щелкните Сохранить.

Настройка LogRhythm для сбора журналов

После настройки правила пересылки из консоли датчика OT настройте LogRhythm для сбора журналов Defender для Интернета вещей.

Дополнительные сведения см. в документации по LogRhythm.

Дальнейшие действия

• Интеграции со службами корпорации Майкрософт и наших партнеров
• Переадресация сведений об оповещении