Изменить

Оповещения Stream Defender для облака Интернета вещей для партнера SIEM

  • Практическое руководство

Поскольку больше предприятий преобразуют системы OT в цифровые ИТ-инфраструктуры, команды центра управления безопасностью (SOC) и основные сотрудники по информационной безопасности (CISOs) все чаще отвечают за обработку угроз из сетей OT.

Мы рекомендуем использовать встроенный соединительданных и решение Microsoft Defender для Интернета вещей, чтобы интегрироваться с Microsoft Sentinel и преодолеть разрыв между проблемой безопасности ИТ и OT.

Однако если у вас есть другие системы управления безопасностью и событиями (SIEM), вы также можете использовать Microsoft Sentinel для пересылки оповещений Defender для облака Интернета вещей в этот партнер SIEM через Microsoft Sentinel и Центры событий Azure.

Хотя в этой статье используется Splunk в качестве примера, можно использовать процесс, описанный ниже, с любым SIEM, поддерживающим прием концентратора событий, например IBM QRadar.

Внимание

Использование Центров событий и правила экспорта Log Analytics может взиматься дополнительная плата. Дополнительные сведения см. в разделе "Цены на центры событий" и цены на экспорт данных журнала.

Необходимые компоненты

Перед началом работы вам потребуется соединитель данных Microsoft Defender для Интернета вещей , установленный в экземпляре Microsoft Sentinel. Дополнительные сведения см. в руководстве: Подключение Microsoft Defender для Интернета вещей с помощью Microsoft Sentinel.

Кроме того, проверка все необходимые условия для каждой процедуры, связанной с приведенными ниже инструкциями.

Регистрация приложения в идентификаторе Microsoft Entra

Вам потребуется идентификатор Microsoft Entra, определенный как субъект-служба для надстройки Splunk для Microsoft Облачные службы. Для этого необходимо создать приложение Microsoft Entra с определенными разрешениями.

Чтобы зарегистрировать приложение Microsoft Entra и определить разрешения:

  1. В идентификаторе Microsoft Entra зарегистрируйте новое приложение. На странице "Сертификаты и секреты" добавьте новый секрет клиента для субъекта-службы.

    Дополнительные сведения см. в статье "Регистрация приложения с помощью платформа удостоверений Майкрософт

  2. На странице разрешений API приложения предоставьте api разрешения на чтение данных из приложения.

    • Выберите, чтобы добавить разрешение, а затем выберите разрешения>приложения Microsoft Graph>SecurityEvents.ReadWrite.All>Add.

    • Убедитесь, что для вашего разрешения требуется согласие администратора.

    Дополнительные сведения см. в статье "Настройка клиентского приложения для доступа к веб-API"

  3. На странице обзора приложения обратите внимание на следующие значения приложения:

    • Отображаемое имя
    • Application (client) ID (Идентификатор приложения (клиент))
    • Идентификатор каталога (клиент)

  4. На странице "Сертификаты и секреты" запишите значения значения секрета клиента и идентификатор секрета.

Создание концентратора событий Azure

Создайте концентратор событий Azure для использования в качестве моста между Microsoft Sentinel и вашим партнером SIEM. Начните этот шаг, создав пространство имен концентратора событий Azure и добавив концентратор событий Azure.

Чтобы создать пространство имен концентратора событий и концентратор событий, выполните приведенные ниже действия.

  1. В Центры событий Azure создайте новое пространство имен концентратора событий. В новом пространстве имен создайте новый концентратор событий Azure.

    В концентраторе событий обязательно определите параметры счетчика секций и хранения сообщений.

    Дополнительные сведения см. в разделе "Создание концентратора событий" с помощью портал Azure.

  2. В пространстве имен концентратора событий выберите страницу управления доступом (IAM) и добавьте новое назначение роли.

    Выберите для использования роли приемника данных Центры событий Azure и добавьте приложение принципа службы Microsoft Entra, созданное ранее в качестве члена.

    Дополнительные сведения см. в статье "Назначение ролей Azure с помощью портал Azure".

  3. На странице обзора пространства имен концентратора событий запишите значение имени узла пространства имен.

  4. На странице центров событий концентратора событий запишите имя концентратора событий.

Пересылка инцидентов Microsoft Sentinel в концентратор событий

Чтобы пересылать инциденты или оповещения Microsoft Sentinel в концентратор событий, создайте правило экспорта данных из Azure Log Analytics.

В правиле обязательно определите следующие параметры:

  1. Настройка источника в качестве securityIncident

  2. Настройте назначение в качестве типа события, используя пространство имен концентратора событий и имя концентратора событий, записанное ранее.

    Дополнительные сведения см. в разделе Экспорт данных из рабочей области Log Analytics в Azure Monitor.

Настройка Splunk для использования инцидентов Microsoft Sentinel

После настройки концентратора событий и правила экспорта настройте Splunk для использования инцидентов Microsoft Sentinel из концентратора событий.

  1. Установите надстройку Splunk для приложения Microsoft Облачные службы.

  2. В приложении Splunk для Microsoft Облачные службы добавьте учетную запись приложение Azure.

    1. Введите понятное имя учетной записи.
    2. Введите идентификатор клиента, секрет клиента и сведения об идентификаторе клиента, записанные ранее.
    3. Определите тип класса учетной записи в качестве общедоступного облака Azure.

  3. Перейдите к надстройке Splunk для Microsoft Облачные службы входных данных и создайте новые входные данные для концентратора событий Azure.

    1. Введите понятное имя для входных данных.
    2. Выберите учетную запись приложение Azure, которую вы только что создали в надстройке Splunk для microsoft Services.
    3. Введите полное доменное имя пространства имен концентратора событий и имя концентратора событий.

    Оставьте другие параметры в качестве значений по умолчанию.

    После начала приема данных в Splunk из концентратора событий запросите данные с помощью следующего значения в поле поиска: sourcetype="mscs:azure:eventhub"

Связанный контент