你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站，请访问 https://docs.azure.cn。

将 OT 网络传感器或本地管理控制台连接到 Microsoft Sentinel（旧版）

本文介绍将 OT 传感器或本地管理控制台连接到 Microsoft Sentinel 的旧方法。 在响应整个网络的安全事件和威胁时，每当要使用 Microsoft Sentinel 的高级威胁搜寻、安全分析和自动化功能时，请将数据流式传输到 Microsoft Sentinel。

重要

如果使用云连接的传感器，建议使用 Microsoft Sentinel 解决方案（而不是旧集成方法）连接 Defender for IoT 数据。 有关详细信息，请参阅：

• 企业 SOC 中的 OT 威胁监视
• 教程：将 Connect Microsoft Defender for IoT 与 Microsoft Sentinel 相连接
• 教程：调查和检测 IoT 设备的威胁

先决条件

在开始之前，请确保根据需要满足以下先决条件：

• 以 Admin 用户身份访问 OT 网络传感器或本地管理控制台。 有关详细信息，请参阅使用 Defender for IoT 进行 OT 监视的本地用户和角色。

• 备好用于将数据发送到 Microsoft Sentinel 的代理计算机。 有关详细信息，请参阅将设备中 CEF 格式的日志引入到 Microsoft Sentinel。

• 如果要使用 TLS 加密发送到 Microsoft Sentinel 的数据，请确保从代理服务器生成有效的 TLS 证书，以用于转发警报规则。

设置转发警报规则

1. 登录到 OT 网络传感器或本地管理控制台并创建转发规则。 有关详细信息，请参阅转发本地 OT 警报信息。

2. 创建转发规则时，请确保选择“Microsoft Sentinel”作为“服务器”值。 例如，在 OT 传感器上：

   

3. 如果使用 TLS 加密，请确保选择“启用加密”并上传证书和密钥文件。

完成时选择“保存” 。 请确保测试规则，以确保它符合预期。

重要

若要将警报详细信息转发到多个 Microsoft Sentinel 实例，请确保为每个实例创建单独的转发规则。 不要在同一转发规则中使用“添加服务器”选项将数据发送到多个 Microsoft Sentinel 实例。

后续步骤

从连接到云的传感器流式传输数据

在 Microsoft Sentinel 中调查

有关详细信息，请参阅：

与 Microsoft 和合作伙伴服务集成