分享方式:

整合 ArcSight 與適用於 IoT 的 Microsoft Defender

  • 文章

本文說明如何將適用於 IoT 的 Microsoft Defender 警示傳送至 ArcSight。 將 ArcSight 與適用於 IoT 的 Defender 整合可讓您觀察 OT 網路的安全性及復原能力,以及 IT 與 OT 安全性的整合方法。

必要條件

開始之前,請先確定您已擁有下列必要條件:

設定 ArcSight 接收者類型

若要進行 ArcSight 伺服器設定,使其可以接收適用於 IoT 的 Defender 警示資訊:

  1. 請登入您的 ArcSight 伺服器。
  2. 將您的接收者類型設定為 CEF UDP 接收者

如需詳細資訊,請參閱 ArcSight SmartConnectors 文件

建立適用於 IoT 的 Defender 轉寄規則

本程序說明如何從 OT 感應器建立轉寄規則,將適用於 IoT 的 Defender 警示從該感應器傳送至 ArcSight。

轉送警示規則只會在建立轉送規則之後觸發的警示上執行。 在建立轉送規則之前,系統中已有的警示不會受到規則的影響。

如需更多詳細資訊,請參閱轉接警示資訊

  1. 登入您的 OT 感應器主控台,然後選取 [轉送]

  2. 選取 [+ 建立新規則]

  3. 在 [新增轉送規則] 窗格中,定義規則參數:

    Screenshot of creating a new forwarding rule.

    參數 描述
    規則名稱 為規則輸入有意義的名稱。
    最小警示等級 要轉送的最低安全性層級事件。 例如,若您選取 [次要],就會收到所有次要、主要以及危急事件的通知。
    任何偵測到的通訊協定 切換為關閉,以選取要包含在規則中的通訊協定。
    任何引擎偵測到的流量 切換為關閉,以選取要包含在規則中的流量。

  4. 在 [動作] 區域中,定義下列各值:

    參數 Description
    Server 選取 [ArcSight]
    主機 ArcSight 伺服器位址。
    通訊埠 ArcSight 伺服器連接埠。
    時區 輸入 ArcSight 伺服器的時區。

  5. 選取 [儲存],儲存轉寄規則。

下一步