Подключение сетевые датчики OT или локальные консоль управления в Microsoft Sentinel (устаревшая версия)
В этой статье описывается устаревший метод подключения датчика OT или локального консоль управления к Microsoft Sentinel. Потоковая передача данных в Microsoft Sentinel всякий раз, когда вы хотите использовать расширенный поиск угроз Microsoft Sentinel, аналитику безопасности и функции автоматизации при реагировании на инциденты безопасности и угрозы в вашей сети.
Важно!
Если вы используете облачный подключенный датчик, рекомендуется подключить данные Defender для Интернета вещей с помощью решения Microsoft Sentinel вместо устаревшего метода интеграции. Дополнительные сведения см. в разделе:
Необходимые компоненты
Прежде чем начать, убедитесь, что у вас есть следующие предварительные требования по мере необходимости:
Доступ к сетевому датчику OT или локальному консоль управления в качестве пользователя Администратор. Дополнительные сведения см. в разделе локальных пользователей и ролей для мониторинга OT с помощью Defender для Интернета вещей.
Прокси-компьютер, подготовленный для отправки данных в Microsoft Sentinel. Дополнительные сведения см. в статье Get CEF-formatted logs from your device or (модуль) в Microsoft Sentinel.
Если вы хотите зашифровать данные, отправленные в Microsoft Sentinel с помощью TLS, обязательно создайте действительный TLS-сертификат с прокси-сервера для использования в правиле оповещения пересылки.
Настройка правил пересылки оповещений
Войдите в сетевой датчик OT или локальный консоль управления и создайте правило пересылки. Дополнительные сведения см. в разделе "Переадресация локальных оповещений OT".
При создании правила пересылки обязательно выберите Microsoft Sentinel в качестве значения сервера . Например, на датчике OT:
Если вы используете шифрование TLS, установите флажок "Включить шифрование " и отправьте файлы сертификатов и ключей.
Выберите Сохранить, когда вы закончите. Обязательно протестируйте правило, чтобы убедиться, что он работает должным образом.
Важно!
Чтобы пересылать сведения об оповещении нескольким экземплярам Microsoft Sentinel, обязательно создайте отдельное правило пересылки для каждого экземпляра. Не используйте параметр "Добавить сервер " в одном правиле пересылки для отправки данных нескольким экземплярам Microsoft Sentinel.
Следующие шаги
Дополнительные сведения см. в разделе: