Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
In diesem Artikel wird beschrieben, wie Sie Microsoft Defender für IoT-Warnungen an ArcSight senden. Die Integration von Defender für IoT in ArcSight bietet Einblicke in die Sicherheit und Ausfallsicherheit von OT-Netzwerken und einen einheitlichen Ansatz für IT- und OT-Sicherheit.
Hinweis
Defender für IoT plant, die ArcSight-Integration am 1. Dezember 2025 auszuschalten
Voraussetzungen
Bevor Sie beginnen, stellen Sie sicher, dass Sie die folgenden Voraussetzungen erfüllen:
- Zugriff auf einen Defender for IoT OT-Sensor als Admin-Benutzer. Weitere Informationen finden Sie unter Lokale Benutzer und Rollen für die OT-Überwachung mit Defender for IoT.
Konfigurieren des ArcSight-Empfängertyps
So konfigurieren Sie Ihre ArcSight-Servereinstellungen so, dass sie Defender für IoT-Warnungsinformationen empfangen kann:
- Melden Sie sich bei Ihrem ArcSight-Server an.
- Konfigurieren Sie Ihren Empfängertyp als CEF UDP-Empfänger.
Weitere Informationen finden Sie in der Dokumentation zu ArcSight SmartConnectors.
Erstellen einer Weiterleitungsregel für Defender for IoT
Dieses Verfahren beschreibt, wie Sie eine Weiterleitungsregel von Ihrem OT-Sensor erstellen, um Defender for IoT-Warnungen von diesem Sensor an ArcSight zu senden.
Weiterleitungswarnungsregeln werden nur für Warnungen ausgeführt, die nach dem Erstellen der Weiterleitungsregel ausgelöst werden. Alarme, die sich bereits im System befinden, bevor die Weiterleitungsregel erstellt wurde, sind von der Regel nicht betroffen.
Weitere Informationen finden Sie unter Weiterleiten von Warnungsinformationen.
Melden Sie sich bei Ihrer OT-Sensorkonsole an, und wählen Sie "Weiterleitung" aus.
Wählen Sie + Neue Regel erstellen aus.
Definieren Sie im Bereich Weiterleitungsregel hinzufügen die Regelparameter:
Parameter BESCHREIBUNG Regelname Geben Sie einen aussagekräftigen Namen für Ihre Regel ein. Minimale Warnungsstufe Der Mindestschweregrad für die Weiterleitung von Vorfällen. Wenn Sie beispielsweise "Geringfügig" auswählen, werden Sie über alle geringfügigen, wichtigen und kritischen Vorfälle benachrichtigt. Beliebiges erkanntes Protokoll Deaktivieren Sie die Option, um die Protokolle auszuwählen, die Sie in die Regel aufnehmen möchten. Von einer beliebigen Engine erkannter Datenverkehr Deaktivieren Sie die Option, um den Datenverkehr auszuwählen, den Sie in die Regel aufnehmen möchten. Definieren Sie im Bereich Aktionen die folgenden Werte:
Parameter BESCHREIBUNG Server Wählen Sie ArcSight aus. Gastgeber Die ArcSight-Serveradresse. Hafen Der ArcSight-Serverport. Zeitzone Geben Sie die Zeitzone des ArcSight-Servers ein. Wählen Sie "Speichern" aus, um Ihre Weiterleitungsregel zu speichern.
