Интеграция RSA NetWitness с Microsoft Defender для Интернета вещей
Эта статья описывает отправку оповещений Microsoft Defender для Интернета вещей в RSA NetWitness. Интеграция Defender для Интернета вещей с NetWitness обеспечивает возможность отслеживания безопасности и устойчивости сетей OT и унифицированный подход к безопасности ИТ и OT.
Предварительные требования
Прежде чем приступить к работе, убедитесь, что у вас есть следующие необходимые компоненты:
Доступ к датчику OT Defender для Интернета вещей в качестве Администратора. Дополнительные сведения см. в статье Локальные пользователи и роли для мониторинга OT с помощью Defender для Интернета вещей.
Конфигурация NetWitness для сбора событий из источников, поддерживающих общий формат событий Common Event Format (CEF). Дополнительные сведения см. в руководстве по реализации средства синтаксического анализа CEF для RSA NetWitness на платформе CyberX.
Создание правила пересылки Defender для Интернета вещей
Эта процедура описывает создание правила пересылки с датчика OT для отправки оповещений Defender для Интернета вещей с этого датчика в NetWitness.
Правила переадресации оповещений выполняются только для оповещений, активированных после создания правила переадресации. Это правило не влияет на оповещения, уже существующие в системе до создания правила пересылки.
Дополнительные сведения см. в разделе Переадресация сведений об оповещении.
Войдите в консоль датчика OT и выберите Переадресация.
Выберите + Создать новое правило.
В области Добавление правила переадресации определите параметры правила:
Параметр Описание Имя правила Введите понятное имя правила. Минимальный уровень оповещений Минимальный уровень инцидента безопасности для переадресации. Например, если вы выберете Дополнительный, вы получите уведомление обо всех незначительных, крупных и критических инцидентах. Обнаружен любой протокол Переключите переключатель, чтобы выбрать протоколы, которые нужно включить в правило. Трафик, обнаруженный любым обработчиком Переключите переключатель, чтобы выбрать трафик, который вы хотите включить в правило. В области Действия задайте следующие значения:
Параметр Описание Сервер Выберите NetWitness. Узел Имя узла NetWitness. порт. Порт NetWitness. Часовой пояс Введите часовой пояс NetWitness. Нажмите кнопку Сохранить, чтобы сохранить правило пересылки.
