この記事では、Microsoft Defender for IoT アラートを ArcSight に送信する方法について説明します。 Defender for IoT と ArcSight の統合により、OT ネットワークのセキュリティと回復性を可視化し、IT と OT のセキュリティに対する統一されたアプローチを実現できます。
注
Defender for IoT は、2025 年 12 月 1 日に ArcSight 統合を廃止する予定です
[前提条件]
開始する前に、以下の前提条件を満たしていることを確認してください。
- 管理者ユーザーとして Defender for IoT OT センサーへアクセスする。 詳細については、OT 監視に Defender for IoT を使用する際のオンプレミス ユーザーとロールについて、を参照してください。
ArcSight レシーバーの種類を構成する
Defender for IoT アラート情報を受信できるように ArcSight サーバー設定を構成するには:
- ArcSight サーバーにサインインします。
- 受信側の種類を CEF UDP レシーバーとして構成します。
詳細については、 ArcSight SmartConnectors のドキュメントを参照してください。
Defender for IoT 転送規則を作成する
この手順では、OT センサーから転送ルールを作成して、そのセンサーから ArcSight に Defender for IoT アラートを送信する方法について説明します。
転送アラート ルールは、転送ルールの作成後にトリガーされたアラートに対してのみ実行されます。 転送ルールが作成される前にシステムに既に存在していたアラートは、ルールの影響を受けません。
詳細については、「 アラート情報の転送」を参照してください。
OT センサー コンソールにサインインし、[ 転送] を選択します。
[+ 新しいルールの作成] を選択します。
[転送ルールの追加] ウィンドウで、ルール パラメーターを定義します。
パラメーター 説明 ルール名 ルールのわかりやすい名前を入力します。 最小アラート レベル 転送するインシデントの最小セキュリティ レベル。 たとえば、[マイナー] を選択すると、すべてのマイナー インシデント、メジャー インシデント、重大インシデントが通知されます。 検出された任意のプロトコル オフに切り替えて、ルールに含めるプロトコルを選択します。 任意のエンジンによって検出されたトラフィック オフに切り替えて、ルールに含めるトラフィックを選択します。 [アクション] 領域で、次の値を定義します。
パラメーター 説明 サーバー ArcSight を選択します。 ホスト ArcSight サーバー アドレス。 ポート ArcSight サーバー ポート。 タイム ゾーン ArcSight サーバーのタイムゾーンを入力します。 [保存] を選択して転送ルールを保存します。
