Integrera ArcSight med Microsoft Defender för IoT
Den här artikeln beskriver hur du skickar Microsoft Defender för IoT-aviseringar till ArcSight. Integreringen av Defender för IoT med ArcSight ger insyn i ot-nätverkens säkerhet och återhämtning och en enhetlig metod för IT- och OT-säkerhet.
Förutsättningar
Kontrollera att du har följande förutsättningar innan du börjar:
- Åtkomst till en Defender for IoT OT-sensor som en Admin användare. Mer information finns i Lokala användare och roller för OT-övervakning med Defender för IoT.
Konfigurera ArcSight-mottagartypen
Så här konfigurerar du inställningarna för ArcSight-servern så att de kan ta emot aviseringsinformation för Defender for IoT:
- Logga in på ArcSight-servern.
- Konfigurera mottagartypen som EN CEF UDP-mottagare.
Mer information finns i dokumentationen om ArcSight SmartConnectors.
Skapa en Defender for IoT-vidarebefordranregel
Den här proceduren beskriver hur du skapar en vidarebefordringsregel från din OT-sensor för att skicka Defender for IoT-aviseringar från sensorn till ArcSight.
Vidarebefordran aviseringsregler körs endast på aviseringar som utlöses när vidarebefordringsregeln har skapats. Aviseringar som redan finns i systemet från innan vidarebefordringsregeln skapades påverkas inte av regeln.
Mer information finns i Vidarebefordra aviseringsinformation.
Logga in på ot-sensorkonsolen och välj Vidarebefordra.
Välj + Skapa ny regel.
I fönstret Lägg till vidarebefordranregel definierar du regelparametrarna:
Parameter Beskrivning Regelnamn Ange ett beskrivande namn för regeln. Minimal aviseringsnivå Den minsta incident på säkerhetsnivå som ska vidarebefordras. Om du till exempel väljer Del får du ett meddelande om alla mindre, större och kritiska incidenter. Alla protokoll som har identifierats Växla bort för att välja de protokoll som du vill inkludera i regeln. Trafik identifierad av alla motorer Växla bort för att välja den trafik som du vill inkludera i regeln. I området Åtgärder definierar du följande värden:
Parameter Beskrivning Server Välj ArcSight. Värd ArcSight-serveradressen. Port ArcSight-serverporten. Tidszon Ange tidszonen för ArcSight-servern. Välj Spara för att spara vidarebefordringsregeln.
