Düzenle

Aracılığıyla paylaş

İş ortağı SIEM'sine IoT için Stream Defender bulut uyarıları

  • Nasıl yapılır

Daha fazla işletme OT sistemlerini dijital BT altyapılarına dönüştürdükçe, güvenlik operasyonları merkezi (SOC) ekipleri ve bilgi güvenliği sorumluları (CIO' lar) OT ağlarından gelen tehditleri işlemekten giderek daha fazla sorumludur.

Microsoft Sentinel ile tümleştirmek ve BT ile OT güvenlik sınaması arasındaki boşluğu kapatmak için IoT için Microsoft Defender'ın kullanıma hazır veri bağlayıcısını ve çözümünü kullanmanızı öneririz.

Ancak, başka güvenlik bilgileriniz ve olay yönetimi (SIEM) sistemleriniz varsa Microsoft Sentinel'i kullanarak IoT için Defender bulut uyarılarını Microsoft Sentinel ve Azure Event Hubs aracılığıyla bu iş ortağı SIEM'e iletebilirsiniz.

Bu makalede örnek olarak Splunk kullanılsa da aşağıda açıklanan işlemi IBM QRadar gibi Event Hub alımını destekleyen tüm SIEM'lerde kullanabilirsiniz.

Önemli

Event Hubs ve Log Analytics dışarı aktarma kuralının kullanılması ek ücrete neden olabilir. Daha fazla bilgi için bkz . Event Hubs fiyatlandırması ve Günlük Verileri Dışarı Aktarma fiyatlandırması.

Önkoşullar

Başlamadan önce, Microsoft Sentinel örneğinizde IoT için Microsoft Defender veri bağlayıcısının yüklü olması gerekir. Daha fazla bilgi için bkz. Öğretici: Microsoft Sentinel ile IoT için Microsoft Defender'ı Bağlan.

Ayrıca aşağıdaki adımlarda bağlantılı yordamların her biri için önkoşulları denetleyin.

Microsoft Entra Id'de uygulama kaydetme

Microsoft Cloud Services için Splunk Eklentisi'nin hizmet sorumlusu olarak tanımlanan Microsoft Entra Kimliği gerekir. Bunu yapmak için belirli izinlere sahip bir Microsoft Entra uygulaması oluşturmanız gerekir.

Microsoft Entra uygulamasını kaydetmek ve izinleri tanımlamak için:

  1. Microsoft Entra Id'de yeni bir uygulama kaydedin. Sertifikalar ve gizli diziler sayfasında, hizmet sorumlusu için yeni bir istemci gizli dizisi ekleyin.

    Daha fazla bilgi için bkz. Microsoft kimlik platformu ile uygulama kaydetme

  2. Uygulamanızın API izinleri sayfasında, uygulamanızdaki verileri okumak için API izinleri verin.

    • İzin eklemek için seçin ve ardından Microsoft Graph>Uygulama izinleri>SecurityEvents.ReadWrite.All>Add permissions öğesini seçin.

    • İzniniz için yönetici onayının gerekli olduğundan emin olun.

    Daha fazla bilgi için bkz . İstemci uygulamasını web API'sine erişecek şekilde yapılandırma

  3. Uygulamanızın Genel Bakış sayfasında, uygulamanız için aşağıdaki değerleri not edin:

    • Görünen ad
    • Uygulama (istemci) kimliği
    • Dizin (kiracı) kimliği

  4. Sertifikalar ve gizli diziler sayfasında, istemci gizli anahtarı Değerinizin ve Gizli Dizi Kimliğinizin değerlerini not edin.

Azure olay hub'ı oluşturma

Microsoft Sentinel ile iş ortağınız SIEM arasında köprü olarak kullanmak için bir Azure olay hub'ı oluşturun. Bir Azure olay hub'ı ad alanı oluşturup bir Azure olay hub'ı ekleyerek bu adımı başlatın.

Olay hub'ı ad alanınızı ve olay hub'ınızı oluşturmak için:

  1. Azure Event Hubs'da yeni bir olay hub'ı ad alanı oluşturun. Yeni ad alanınızda yeni bir Azure olay hub'ı oluşturun.

    Olay hub'ınızda Bölüm Sayısı ve İleti Bekletme ayarlarını tanımladığınızdan emin olun.

    Daha fazla bilgi için bkz . Azure portalını kullanarak olay hub'ı oluşturma.

  2. Olay hub'ı ad alanınızda Erişim denetimi (IAM) sayfasını seçin ve yeni bir rol ataması ekleyin.

    Azure Event Hubs Veri Alıcısı rolünü kullanmayı seçin ve daha önce üye olarak oluşturduğunuz Microsoft Entra hizmet ilkesi uygulamasını ekleyin.

    Daha fazla bilgi için bkz. Azure portalını kullanarak Azure rolleri atama.

  3. Olay hub'ı ad alanınızın Genel Bakış sayfasında, ad alanının Ana bilgisayar adı değerini not edin.

  4. Olay hub'ı ad alanınızın Event Hubs sayfasında olay hub'ınızın adını not edin.

Microsoft Sentinel olaylarını olay hub'ınıza iletme

Microsoft Sentinel olaylarını veya uyarılarını olay hub'ınıza iletmek için Azure Log Analytics'ten bir veri dışarı aktarma kuralı oluşturun.

Kuralınızda aşağıdaki ayarları tanımladığınızdan emin olun:

  1. Kaynağı SecurityIncident olarak yapılandırma

  2. Daha önce kaydettiğiniz olay hub'ı ad alanını ve olay hub'ı adını kullanarak Hedefi Olay Türü olarak yapılandırın.

    Daha fazla bilgi için bkz . Azure İzleyici'de Log Analytics çalışma alanı verilerini dışarı aktarma.

Splunk'u Microsoft Sentinel olaylarını kullanacak şekilde yapılandırma

Olay hub'ınızı ve dışarı aktarma kuralınızı yapılandırdıktan sonra Splunk'u olay hub'ından Microsoft Sentinel olaylarını kullanacak şekilde yapılandırın.

  1. Microsoft Cloud Services için Splunk Eklentisini yükleyin.

  2. Microsoft Cloud Services için Splunk Eklentisi uygulamasında bir Azure Uygulaması hesabı ekleyin.

    1. Hesap için anlamlı bir ad girin.
    2. Daha önce kaydettiğiniz istemci kimliğini, istemci gizli dizisini ve kiracı kimliği ayrıntılarını girin.
    3. Hesap sınıfı türünü Azure Genel Bulut olarak tanımlayın.

  3. Microsoft Cloud Services için Splunk Eklentisi girişlerine gidin ve Azure olay hub'ınız için yeni bir giriş oluşturun.

    1. Girişiniz için anlamlı bir ad girin.
    2. Microsoft Hizmetleri için Splunk Eklentisi'nde yeni oluşturduğunuz Azure Uygulaması Hesabını seçin.
    3. Olay hub'ı ad alanı FQDN'nizi ve olay hub'ı adınızı girin.

    Diğer ayarları varsayılan ayarları olarak bırakın.

    Veriler olay hub'ınızdan Splunk'a alınmaya başladıktan sonra, arama alanınızda aşağıdaki değeri kullanarak verileri sorgula: sourcetype="mscs:azure:eventhub"

İlgili içerik