你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
随着越来越多的企业将 OT 系统转换为数字 IT 基础结构,安全运营中心 (SOC) 团队和首席信息安全官 (CISO) 对于 OT 网络的威胁的处理承担着越来越大的责任。
建议使用 Microsoft Defender for IoT 的现成数据连接器和解决方案来与 Microsoft Sentinel 集成,并弥合 IT 与 OT 安全挑战之间的差距。
但是,如果你有其他安全信息和事件管理 (SIEM) 系统,还可使用 Microsoft Sentinel 通过 Microsoft Sentinel 和 Azure 事件中心将 Defender for IoT 云警报转发到该合作伙伴 SIEM。
虽然本文以 Splunk 为例,但你可将下述过程与支持事件中心引入的任何 SIEM(例如 IBM QRadar)结合使用。
在开始之前,需要在 Microsoft Sentinel 实例中安装 Microsoft Defender for IoT 数据连接器。 有关详细信息,请参阅教程:将 Microsoft Defender for IoT 与 Microsoft Sentinel 相连接。
此外,请查看以下步骤中链接的每个过程的所有先决条件。
你需要为定义为 Microsoft 云服务的 Splunk 加载项的服务主体的 Microsoft Entra ID。 为此,需要创建具有特定权限的 Microsoft Entra 应用程序。
要注册 Microsoft Entra 应用程序并定义权限,请:
在 Microsoft Entra ID 中注册新应用程序。 在“证书和机密”页上,为服务主体添加新的客户端密码。
有关详细信息,请参阅将应用程序注册到 Microsoft 标识平台
在应用的“API 权限”页中,授予从应用读取数据的 API 权限。
选择添加权限,然后选择“Microsoft Graph”>“应用程序权限”>“SecurityEvents.ReadWrite.All”>“添加权限”。
确保你的权限获得管理员同意。
有关详细信息,请参阅配置客户端应用程序以访问 Web API
在应用的“概述”页中,记下应用的以下值:
在“证书和机密”页中,记下客户端密码“值”和“机密 ID”。
创建 Azure 事件中心以用作 Microsoft Sentinel 与合作伙伴 SIEM 之间的桥梁。 首先创建 Azure 事件中心命名空间,然后添加 Azure 事件中心。
创建事件中心命名空间和事件中心:
在 Azure 事件中心创建新的事件中心命名空间。 在新命名空间中,创建新的 Azure 事件中心。
在事件中心,确保定义“分区计数”和“消息保留”设置。
有关详细信息,请参阅使用 Azure 门户创建事件中心。
在事件中心命名空间中,选择“访问控制(IAM)”页,然后添加新的角色分配。
选择使用“Azure 事件中心数据接收者”角色,然后将之前创建的 Microsoft Entra 服务主体应用添加为成员。
有关详细信息,请参阅使用 Azure 门户分配 Azure 角色。
在事件中心命名空间的“概述”页中,记下命名空间的“主机名”值。
在事件中心命名空间的“事件中心”页中,记下事件中心的名称。
要将 Microsoft Sentinel 事件或警报转发到事件中心,请从 Azure Log Analytics 创建数据导出规则。
在规则中,请确保定义以下设置:
将“源”配置为 SecurityIncident
使用前面记录的事件中心命名空间和事件中心名称,将“目标”配置为“事件类型”。
有关详细信息,请参阅 Azure Monitor 中的 Log Analytics 工作区数据导出。
配置事件中心和导出规则后,将 Splunk 配置为从事件中心使用 Microsoft Sentinel 事件。
在适用于 Microsoft 云服务的 Splunk 加载项应用中,添加 Azure 应用帐户。
转到适用于 Microsoft 云服务的 Splunk 加载项输入,并为 Azure 事件中心创建新输入。
将其他设置保留为默认设置。
数据开始从事件中心引入 Splunk 后,请在搜索字段中使用以下值查询数据:sourcetype="mscs:azure:eventhub"