Szerkesztés

Share via

Stream Defender for IoT cloud alerts to a partner SIEM

  • Használati útmutató

Ahogy egyre több vállalkozás konvertálja az OT-rendszereket digitális informatikai infrastruktúrákká, a Security Operations Center (SOC) csapatai és a vezető információbiztonsági tisztviselők egyre inkább felelősek az OT-hálózatok fenyegetéseinek kezeléséért.

Javasoljuk, hogy a Microsoft Defender for IoT beépített adatösszekötőjével és megoldásával integrálható legyen a Microsoft Sentinellel, és áthidalja az informatikai és az OT biztonsági kihívás közötti szakadékot.

Ha azonban más biztonsági információkkal és eseménykezelési (SIEM) rendszerekkel rendelkezik, a Microsoft Sentinel segítségével a Microsoft Sentinelés az Azure Event Hubs segítségével is továbbíthatja a Defender for IoT cloud riasztásait az adott partner SIEM-jére.

Bár ez a cikk a Splunkot használja példaként, az alábbiakban ismertetett folyamatot bármely olyan SIEM-mel használhatja, amely támogatja az Event Hub betöltését, például az IBM QRadart.

Fontos

Az Event Hubs és a Log Analytics exportálási szabály használata további díjakat vonhat maga után. További információkért tekintse meg az Event Hubs díjszabását és a Log Data Export díjszabását.

Előfeltételek

A kezdés előtt telepítenie kell a Microsoft Defender for IoT-adatösszekötőt a Microsoft Sentinel-példányban. További információ: Oktatóanyag: Csatlakozás Microsoft Defender for IoT és a Microsoft Sentinel.

Ellenőrizze az alábbi lépésekben hivatkozott összes eljárás előfeltételeit is.

Alkalmazás regisztrálása a Microsoft Entra-azonosítóban

A Microsoft Cloud Services Splunk bővítményéhez szolgáltatásnévként definiált Microsoft Entra-azonosítóra lesz szüksége. Ehhez létre kell hoznia egy Meghatározott engedélyekkel rendelkező Microsoft Entra-alkalmazást.

Microsoft Entra-alkalmazás regisztrálása és engedélyek definiálása:

  1. A Microsoft Entra ID-ban regisztráljon egy új alkalmazást. A Tanúsítványok > titkos kódok lapon adjon hozzá egy új ügyfélkulcsot a szolgáltatásnévhez.

    További információ: Alkalmazás regisztrálása a Microsoft Identitásplatform

  2. Az alkalmazás API-engedélyek lapján adjon meg API-engedélyeket az alkalmazásból származó adatok olvasásához.

    • Válassza ki az engedély hozzáadásához, majd válassza a Microsoft Graph-alkalmazás>engedélyeit>SecurityEvents.ReadWrite.All>Add engedélyeket.

    • Győződjön meg arról, hogy rendszergazdai hozzájárulásra van szükség az ön engedélyéhez.

    További információ: Ügyfélalkalmazás konfigurálása webes API-hoz való hozzáféréshez

  3. Az alkalmazás Áttekintés lapján jegyezze fel az alkalmazás alábbi értékeit:

    • Megjelenített név
    • Alkalmazás (ügyfél) azonosítója
    • Címtár (bérlő) azonosítója

  4. A Tanúsítványok > titkos kódok lapon jegyezze fel az ügyfél titkos kulcsának értékét és titkos azonosítóját.

Azure-eseményközpont létrehozása

Hozzon létre egy Azure-eseményközpontot, amely hidként használható a Microsoft Sentinel és a partner SIEM között. Ehhez hozzon létre egy Azure-eseményközpont-névteret, majd adjon hozzá egy Azure-eseményközpontot.

Az eseményközpont névterének és az eseményközpontnak a létrehozása:

  1. Az Azure Event Hubsban hozzon létre egy új eseményközpont-névteret. Az új névtérben hozzon létre egy új Azure-eseményközpontot.

    Az eseményközpontban adja meg a partíciószám és az üzenetmegőrzés beállításait.

    További információ: Eseményközpont létrehozása az Azure Portal használatával.

  2. Az eseményközpont névterében válassza a Hozzáférés-vezérlés (IAM) lapot, és adjon hozzá egy új szerepkör-hozzárendelést.

    Válassza ki az Azure Event Hubs Data Receiver szerepkör használatát, és adja hozzá a Korábban tagként létrehozott Microsoft Entra szolgáltatáselvű alkalmazást.

    További információ: Azure-szerepkörök hozzárendelése az Azure Portalon.

  3. Az eseményközpont névterének Áttekintés lapján jegyezze fel a névtér állomásnévértékét.

  4. Az eseményközpont névterének Event Hubs oldalán jegyezze fel az eseményközpont nevét.

Microsoft Sentinel-incidensek továbbítása az eseményközpontba

A Microsoft Sentinel-incidensek vagy riasztások eseményközpontba való továbbításához hozzon létre egy adatexportálási szabályt az Azure Log Analyticsből.

A szabályban mindenképpen adja meg a következő beállításokat:

  1. A forrás konfigurálása SecurityIncidentként

  2. Konfigurálja a célhelyet eseménytípusként a korábban rögzített eseményközpont-névtér és eseményközpontnév használatával.

    További információ: Log Analytics-munkaterület adatexportálása az Azure Monitorban.

A Splunk konfigurálása Microsoft Sentinel-incidensek felhasználására

Miután konfigurálta az eseményközpontot és az exportálási szabályt, konfigurálja a Splunkot a Microsoft Sentinel-incidensek eseményközpontból való felhasználására.

  1. Telepítse a Splunk bővítményt a Microsoft Cloud Services alkalmazáshoz.

  2. A Microsoft Cloud Services Splunk bővítményében adjon hozzá egy Azure-alkalmazás fiókot.

    1. Adjon meg egy értelmes nevet a fióknak.
    2. Adja meg a korábban rögzített ügyfélazonosítót, ügyfélkulcsot és bérlőazonosítót.
    3. Adja meg a fiókosztály típusát Azure Public Cloudként.

  3. Nyissa meg a Microsoft Cloud Services-bemenetek Splunk bővítményét, és hozzon létre egy új bemenetet az Azure-eseményközponthoz.

    1. Adjon meg egy értelmes nevet a bemenetnek.
    2. Válassza ki az imént létrehozott Azure-alkalmazás fiókot a Microsoft Services Splunk bővítményében.
    3. Adja meg az eseményközpont teljes tartománynevét és az eseményközpont nevét.

    Hagyja meg az egyéb beállításokat alapértelmezettként.

    Ha az adatok az eseményközpontból elkezdenek betöltést a Splunkba, a keresési mezőben az alábbi érték használatával kérdezheti le az adatokat: sourcetype="mscs:azure:eventhub"

Kapcsolódó tartalom