越來越多企業將 OT 系統轉換為數位 IT 基礎結構,安全性作業中心 (SOC) 小組和主要資訊安全人員 (CISO) 處理 OT 網路威脅的責任也越來越重。
我們建議使用適用於 IoT 的 Microsoft Defender 之現成資料連接器和解決方案,與 Microsoft Sentinel 整合,並且弭平 IT 與 OT 安全難題之間的差距。
不過,如果您有其他安全性資訊和事件管理 (SIEM) 系統,也可以使用 Microsoft Sentinel,透過 Microsoft Sentinel 和 Azure 事件中樞,將適用於 IoT 的 Microsoft Defender 雲端警示轉寄給該合作夥伴 SIEM。
雖然本文使用 Splunk 作為範例,但您可以使用以下所述的流程,搭配任何支援事件中樞擷取的 SIEM,例如 IBM QRadar。
開始之前,您必須先在 Microsoft Sentinel 執行個體安裝適用於 IoT 的 Microsoft Defender 資料連接器。 如需詳細資訊,請參閱教學課程:使用 Microsoft Sentinel 連線適用於 IoT 的 Microsoft Defender。
此外,請檢查下列步驟每個連結之程序的任何必要條件。
您必須將 Microsoft Entra ID 定義為 Microsoft 雲端服務之 Splunk 附加元件的服務主體。 若要這麼做,您必須建立有特定權限的 Microsoft Entra 應用程式。
若要註冊 Microsoft Entra 應用程式並定義權限:
在 Microsoft Entra ID 註冊新的應用程式。 在 [憑證和秘密] 頁面,為服務主體新增用戶端密碼。
如需詳細資訊,請參閱使用 Microsoft 身分識別平台註冊應用程式
在應用程式的 [API 權限] 頁面,授與從應用程式讀取資料的 API 權限。
選取以新增權限,然後選取 [Microsoft Graph] > [應用程式權限]> [SecurityEvents.ReadWrite.All]> [新增權限]。
請確定您的權限需要管理員同意。
如需詳細資訊,請參閱 設定用戶端應用程式以存取 Web API
從應用程式的 [概觀] 頁面,記下下列應用程式值:
從 [憑證與秘密] 頁面,記下用戶端秘密值和秘密標識碼的值。
建立 Azure 事件中樞,作為 Microsoft Sentinel 與合作夥伴 SIEM 之間的橋樑。 建立 Azure 事件中樞命名空間,然後新增 Azure 事件中樞,開始這個步驟。
若要建立事件中樞命名空間和事件中樞:
在 Azure 事件中樞,建立新的事件中樞命名空間。 在新命名空間中,建立新的 Azure 事件中樞。
在事件中樞,請務必定義 [分割區計數] 和 [訊息保留] 設定。
如需詳細資訊,請參閱使用 Azure 入口網站建立事件中樞。
在事件中樞命名空間,選取 [存取控制 (IAM)] 頁面,然後新增角色指派。
選取即可使用 Azure 事件中樞資料接收者角色,並新增您稍早建立的 Microsoft Entra 服務主體應用程式作為成員。
如需詳細資訊,請參閱:使用 Azure 入口網站指派 Azure 角色。
在事件中樞命名空間的 [概觀] 頁面,記下命名空間的 [主機名稱] 值。
在事件中樞命名空間的 [事件中樞] 頁面,記下事件中樞的名稱。
若要將 Microsoft Sentinel 事件或警示轉寄至事件中樞,請從 Azure Log Analytics 建立資料匯出規則。
在規則中,請務必定義下列設定:
將 [來源] 設定為 SecurityIncident
使用您稍早記錄的事件中樞命名空間和事件中樞名稱,將 [目的地] 設定為 [事件類型]。
如需詳細資訊,請參閱 Azure 監視器中的 Log Analytics 工作區資料匯出。
設定事件中樞與匯出規則之後,請將Splunk 設定為從事件中樞取用 Microsoft Sentinel 事件。
安裝 Microsoft 雲端服務的 Splunk 附加元件應用程式。
在 Microsoft 雲端服務的 Splunk 附加元件應用程式,新增 Azure 應用程式帳戶。
移至 Microsoft 雲端服務的 Splunk 附加元件輸入,然後為 Azure 事件中樞建立新的輸入。
其他設定保留預設值。
一旦資料開始從事件中樞內嵌至 Splunk,請使用下列搜尋欄位中的值查詢資料:sourcetype="mscs:azure:eventhub"