將適用於 IoT 的 Microsoft Defender 雲端警示串流至合作夥伴 SIEM

越來越多企業將 OT 系統轉換為數位 IT 基礎結構，安全性作業中心 (SOC) 小組和主要資訊安全人員 (CISO) 處理 OT 網路威脅的責任也越來越重。

我們建議使用適用於 IoT 的 Microsoft Defender 之現成資料連接器和解決方案，與 Microsoft Sentinel 整合，並且弭平 IT 與 OT 安全難題之間的差距。

不過，如果您有其他安全性資訊和事件管理 (SIEM) 系統，也可以使用 Microsoft Sentinel，透過 Microsoft Sentinel 和 Azure 事件中樞，將適用於 IoT 的 Microsoft Defender 雲端警示轉寄給該合作夥伴 SIEM。

雖然本文使用 Splunk 作為範例，但您可以使用以下所述的流程，搭配任何支援事件中樞擷取的 SIEM，例如 IBM QRadar。

重要

使用事件中樞和 Log Analytics 匯出規則，可能產生額外費用。 如需詳細資訊，請參閱事件中樞定價和記錄資料匯出定價。

必要條件

開始之前，您必須先在 Microsoft Sentinel 執行個體安裝適用於 IoT 的 Microsoft Defender 資料連接器。 如需詳細資訊，請參閱教學課程：使用 Microsoft Sentinel 連線適用於 IoT 的 Microsoft Defender。

此外，請檢查下列步驟每個連結之程序的任何必要條件。

在 Microsoft Entra ID 中註冊應用程式

您必須將 Microsoft Entra ID 定義為 Microsoft 雲端服務之 Splunk 附加元件的服務主體。 若要這麼做，您必須建立有特定權限的 Microsoft Entra 應用程式。

若要註冊 Microsoft Entra 應用程式並定義權限：

1. 在 Microsoft Entra ID 註冊新的應用程式。 在 [憑證和秘密] 頁面，為服務主體新增用戶端密碼。

   如需詳細資訊，請參閱使用 Microsoft 身分識別平台註冊應用程式

2. 在應用程式的 [API 權限] 頁面，授與從應用程式讀取資料的 API 權限。

   • 選取以新增權限，然後選取 [Microsoft Graph] > [應用程式權限]> [SecurityEvents.ReadWrite.All]> [新增權限]。

   • 請確定您的權限需要管理員同意。

   如需詳細資訊，請參閱 設定用戶端應用程式以存取 Web API

3. 從應用程式的 [概觀] 頁面，記下下列應用程式值：

   • 顯示名稱
   • 應用程式 (用戶端) 識別碼
   • 目錄 (租用戶) 識別碼

4. 從 [憑證與秘密] 頁面，記下用戶端秘密值和秘密標識碼的值。

建立 Azure 事件中樞

建立 Azure 事件中樞，作為 Microsoft Sentinel 與合作夥伴 SIEM 之間的橋樑。 建立 Azure 事件中樞命名空間，然後新增 Azure 事件中樞，開始這個步驟。

若要建立事件中樞命名空間和事件中樞：

1. 在 Azure 事件中樞，建立新的事件中樞命名空間。 在新命名空間中，建立新的 Azure 事件中樞。

   在事件中樞，請務必定義 [分割區計數] 和 [訊息保留] 設定。

   如需詳細資訊，請參閱使用 Azure 入口網站建立事件中樞。

2. 在事件中樞命名空間，選取 [存取控制 (IAM)] 頁面，然後新增角色指派。

   選取即可使用 Azure 事件中樞資料接收者角色，並新增您稍早建立的 Microsoft Entra 服務主體應用程式作為成員。

   如需詳細資訊，請參閱：使用 Azure 入口網站指派 Azure 角色。

3. 在事件中樞命名空間的 [概觀] 頁面，記下命名空間的 [主機名稱] 值。

4. 在事件中樞命名空間的 [事件中樞] 頁面，記下事件中樞的名稱。

將 Microsoft Sentinel 事件轉寄至事件中樞

若要將 Microsoft Sentinel 事件或警示轉寄至事件中樞，請從 Azure Log Analytics 建立資料匯出規則。

在規則中，請務必定義下列設定：

1. 將 [來源] 設定為 SecurityIncident

2. 使用您稍早記錄的事件中樞命名空間和事件中樞名稱，將 [目的地] 設定為 [事件類型]。

   如需詳細資訊，請參閱 Azure 監視器中的 Log Analytics 工作區資料匯出。

設定 Splunk 以取用 Microsoft Sentinel 事件

設定事件中樞與匯出規則之後，請將Splunk 設定為從事件中樞取用 Microsoft Sentinel 事件。

1. 安裝 Microsoft 雲端服務的 Splunk 附加元件應用程式。

2. 在 Microsoft 雲端服務的 Splunk 附加元件應用程式，新增 Azure 應用程式帳戶。

   1. 為帳戶輸入有意義的名稱。
   2. 輸入您稍早記錄的用戶端識別碼、用戶端密碼，以及租用戶識別碼詳細資料。
   3. 將帳戶類別型別定義為 [Azure 公用雲端]。

3. 移至 Microsoft 雲端服務的 Splunk 附加元件輸入，然後為 Azure 事件中樞建立新的輸入。

   1. 為範圍輸入有意義的名稱。
   2. 選取您剛才在 Microsoft 雲端服務的 Splunk 附加元件應用程式建立之 Azure 應用程式帳戶。
   3. 輸入事件中樞命名空間 FQDN 和事件中樞名稱。

   其他設定保留預設值。

   一旦資料開始從事件中樞內嵌至 Splunk，請使用下列搜尋欄位中的值查詢資料：sourcetype="mscs:azure:eventhub"

相關內容

• 與 Microsoft 和合作夥伴服務的整合

越來越多企業將 OT 系統轉換為數位 IT 基礎結構，安全性作業中心 (SOC) 小組和主要資訊安全人員 (CISO) 處理 OT 網路威脅的責任也越來越重。

我們建議使用適用於 IoT 的 Microsoft Defender 之現成資料連接器和解決方案，與 Microsoft Sentinel 整合，並且弭平 IT 與 OT 安全難題之間的差距。

不過，如果您有其他安全性資訊和事件管理 (SIEM) 系統，也可以使用 Microsoft Sentinel，透過 Microsoft Sentinel 和 Azure 事件中樞，將適用於 IoT 的 Microsoft Defender 雲端警示轉寄給該合作夥伴 SIEM。

雖然本文使用 Splunk 作為範例，但您可以使用以下所述的流程，搭配任何支援事件中樞擷取的 SIEM，例如 IBM QRadar。

重要

使用事件中樞和 Log Analytics 匯出規則，可能產生額外費用。 如需詳細資訊，請參閱事件中樞定價和記錄資料匯出定價。

開始之前，您必須先在 Microsoft Sentinel 執行個體安裝適用於 IoT 的 Microsoft Defender 資料連接器。 如需詳細資訊，請參閱教學課程：使用 Microsoft Sentinel 連線適用於 IoT 的 Microsoft Defender。

此外，請檢查下列步驟每個連結之程序的任何必要條件。

您必須將 Microsoft Entra ID 定義為 Microsoft 雲端服務之 Splunk 附加元件的服務主體。 若要這麼做，您必須建立有特定權限的 Microsoft Entra 應用程式。

若要註冊 Microsoft Entra 應用程式並定義權限：

1. 在 Microsoft Entra ID 註冊新的應用程式。 在 [憑證和秘密] 頁面，為服務主體新增用戶端密碼。

   如需詳細資訊，請參閱使用 Microsoft 身分識別平台註冊應用程式

2. 在應用程式的 [API 權限] 頁面，授與從應用程式讀取資料的 API 權限。

   • 選取以新增權限，然後選取 [Microsoft Graph] > [應用程式權限]> [SecurityEvents.ReadWrite.All]> [新增權限]。

   • 請確定您的權限需要管理員同意。

   如需詳細資訊，請參閱 設定用戶端應用程式以存取 Web API

3. 從應用程式的 [概觀] 頁面，記下下列應用程式值：

   • 顯示名稱
   • 應用程式 (用戶端) 識別碼
   • 目錄 (租用戶) 識別碼

4. 從 [憑證與秘密] 頁面，記下用戶端秘密值和秘密標識碼的值。

建立 Azure 事件中樞，作為 Microsoft Sentinel 與合作夥伴 SIEM 之間的橋樑。 建立 Azure 事件中樞命名空間，然後新增 Azure 事件中樞，開始這個步驟。

若要建立事件中樞命名空間和事件中樞：

1. 在 Azure 事件中樞，建立新的事件中樞命名空間。 在新命名空間中，建立新的 Azure 事件中樞。

   在事件中樞，請務必定義 [分割區計數] 和 [訊息保留] 設定。

   如需詳細資訊，請參閱使用 Azure 入口網站建立事件中樞。

2. 在事件中樞命名空間，選取 [存取控制 (IAM)] 頁面，然後新增角色指派。

   選取即可使用 Azure 事件中樞資料接收者角色，並新增您稍早建立的 Microsoft Entra 服務主體應用程式作為成員。

   如需詳細資訊，請參閱：使用 Azure 入口網站指派 Azure 角色。

3. 在事件中樞命名空間的 [概觀] 頁面，記下命名空間的 [主機名稱] 值。

4. 在事件中樞命名空間的 [事件中樞] 頁面，記下事件中樞的名稱。

若要將 Microsoft Sentinel 事件或警示轉寄至事件中樞，請從 Azure Log Analytics 建立資料匯出規則。

在規則中，請務必定義下列設定：

1. 將 [來源] 設定為 SecurityIncident

2. 使用您稍早記錄的事件中樞命名空間和事件中樞名稱，將 [目的地] 設定為 [事件類型]。

   如需詳細資訊，請參閱 Azure 監視器中的 Log Analytics 工作區資料匯出。

設定事件中樞與匯出規則之後，請將Splunk 設定為從事件中樞取用 Microsoft Sentinel 事件。

1. 安裝 Microsoft 雲端服務的 Splunk 附加元件應用程式。

2. 在 Microsoft 雲端服務的 Splunk 附加元件應用程式，新增 Azure 應用程式帳戶。

   1. 為帳戶輸入有意義的名稱。
   2. 輸入您稍早記錄的用戶端識別碼、用戶端密碼，以及租用戶識別碼詳細資料。
   3. 將帳戶類別型別定義為 [Azure 公用雲端]。

3. 移至 Microsoft 雲端服務的 Splunk 附加元件輸入，然後為 Azure 事件中樞建立新的輸入。

   1. 為範圍輸入有意義的名稱。
   2. 選取您剛才在 Microsoft 雲端服務的 Splunk 附加元件應用程式建立之 Azure 應用程式帳戶。
   3. 輸入事件中樞命名空間 FQDN 和事件中樞名稱。

   其他設定保留預設值。

   一旦資料開始從事件中樞內嵌至 Splunk，請使用下列搜尋欄位中的值查詢資料：sourcetype="mscs:azure:eventhub"