Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować się zalogować lub zmienić katalog.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
W tym artykule opisano sposób wysyłania alertów usługi Microsoft Defender dla IoT do usługi ArcSight. Integracja usługi Defender for IoT z usługą ArcSight zapewnia wgląd w zabezpieczenia i odporność sieci OT oraz ujednolicone podejście do zabezpieczeń IT i OT.
Uwaga / Notatka
Usługa Defender for IoT planuje wycofać integrację usługi ArcSight 1 grudnia 2025 r.
Wymagania wstępne
Przed rozpoczęciem upewnij się, że masz następujące wymagania wstępne:
- Dostęp do czujnika usługi Defender for IoT OT jako administrator. Aby uzyskać więcej informacji, zobacz Użytkownicy lokalni i role na potrzeby monitorowania OT za pomocą usługi Defender for IoT.
Konfigurowanie typu odbiornika usługi ArcSight
Aby skonfigurować ustawienia serwera ArcSight, aby mogły odbierać informacje o alertach usługi Defender for IoT:
- Zaloguj się do serwera ArcSight.
- Skonfiguruj typ odbiornika jako odbiornik UDP CEF.
Aby uzyskać więcej informacji, zobacz dokumentację usługi ArcSight SmartConnectors.
Tworzenie reguły przekazywania usługi Defender dla IoT
W tej procedurze opisano sposób tworzenia reguły przekazywania z czujnika OT w celu wysyłania alertów usługi Defender dla IoT z tego czujnika do usługi ArcSight.
Przekazywanie reguł alertów jest uruchamiane tylko dla alertów wyzwalanych po utworzeniu reguły przekazywania. Alerty już w systemie przed utworzeniem reguły przekazywania nie mają wpływu na regułę.
Aby uzyskać więcej informacji, zobacz Przekazywanie informacji o alertach.
Zaloguj się do konsoli czujnika OT i wybierz pozycję Przekazywanie.
Wybierz pozycję + Utwórz nową regułę.
W okienku Dodawanie reguły przesyłania dalej zdefiniuj parametry reguły:
Parametr Opis Nazwa reguły Wprowadź zrozumiałą nazwę reguły. Minimalny poziom alertu Minimalny poziom zdarzeń na poziomie zabezpieczeń do przekazania. Jeśli na przykład wybierzesz pozycję Drobne, będziesz powiadamiany o wszystkich drobnych, dużych i krytycznych zdarzeniach. Wykryto dowolny protokół Przełącz się, aby wybrać protokoły, które chcesz uwzględnić w regule. Ruch wykryty przez dowolny aparat Przełącz się, aby wybrać ruch, który chcesz uwzględnić w regule. W obszarze Akcje zdefiniuj następujące wartości:
Parametr Opis Serwer Wybierz pozycję ArcSight. Gospodarz Adres serwera ArcSight. Port Port serwera ArcSight. Strefa czasowa Wprowadź strefę czasową serwera ArcSight. Wybierz pozycję Zapisz , aby zapisać regułę przesyłania dalej.
