Edit

Bagikan melalui

Mengalirkan pemberitahuan cloud Defender for IoT ke SIEM mitra

  • Bagaimana

Karena lebih banyak bisnis mengonversi sistem OT ke infrastruktur IT digital, tim pusat operasi keamanan (SOC) dan kepala petugas keamanan informasi (CISO) semakin bertanggung jawab untuk menangani ancaman dari jaringan OT.

Sebaiknya gunakan konektor dan solusi data out-of-the-box Pertahanan Microsoft untuk IoT untuk berintegrasi dengan Microsoft Sentinel dan menjembatani kesenjangan antara tantangan keamanan TI dan OT.

Namun, jika Anda memiliki sistem informasi keamanan dan manajemen peristiwa (SIEM) lainnya, Anda juga dapat menggunakan Microsoft Sentinel untuk meneruskan pemberitahuan cloud Defender for IoT ke SIEM mitra tersebut, melalui Microsoft Sentinel dan Azure Event Hubs.

Meskipun artikel ini menggunakan Splunk sebagai contoh, Anda dapat menggunakan proses yang dijelaskan di bawah ini dengan SIEM apa pun yang mendukung penyerapan Event Hub, seperti IBM QRadar.

Penting

Menggunakan Azure Event Hubs dan aturan ekspor Analitik Log dapat dikenakan biaya tambahan. Untuk informasi selengkapnya, lihat Harga Azure Event Hubs dan Harga Ekspor Data Log.

Prasyarat

Sebelum memulai, Anda memerlukan konektor data Pertahanan Microsoft untuk IoT yang diinstal di instans Microsoft Azure Sentinel Anda. Untuk informasi selengkapnya, lihat Tutorial: Koneksi Pertahanan Microsoft untuk IoT dengan Microsoft Sentinel.

Periksa juga prasyarat untuk setiap prosedur yang ditautkan dalam langkah-langkah di bawah ini.

Mendaftarkan aplikasi di ID Microsoft Entra

Anda akan memerlukan ID Microsoft Entra yang didefinisikan sebagai perwakilan layanan untuk Add-on Splunk untuk Microsoft Cloud Services. Untuk melakukan ini, Anda harus membuat aplikasi Microsoft Entra dengan izin tertentu.

Untuk mendaftarkan aplikasi Microsoft Entra dan menentukan izin:

  1. Di ID Microsoft Entra, daftarkan aplikasi baru. Pada halaman Sertifikat & rahasia , tambahkan rahasia klien baru untuk perwakilan layanan.

    Untuk informasi selengkapnya, lihat Mendaftarkan aplikasi dengan platform identitas Microsoft

  2. Di halaman izin API aplikasi Anda, berikan izin API untuk membaca data dari aplikasi Anda.

    • Pilih untuk menambahkan izin lalu pilih Izin>Aplikasi Microsoft Graph>SecurityEvents.ReadWrite.All>Tambahkan izin.

    • Pastikan bahwa persetujuan admin diperlukan untuk izin Anda.

    Untuk informasi selengkapnya, lihat Mengonfigurasi aplikasi klien untuk mengakses API web

  3. Dari halaman Gambaran Umum aplikasi Anda, perhatikan nilai berikut untuk aplikasi Anda:

    • Nama tampilan
    • ID aplikasi (klien)
    • ID direktori (tenant)

  4. Dari halaman Sertifikat & rahasia, perhatikan nilai Nilai rahasia klien dan ID Rahasia Anda.

Membuat hub peristiwa Azure

Buat hub peristiwa Azure untuk digunakan sebagai jembatan antara Microsoft Sentinel dan SIEM mitra Anda. Mulai langkah ini dengan membuat namespace azure event hub, lalu tambahkan hub peristiwa Azure.

Untuk membuat namespace layanan pusat aktivitas dan pusat aktivitas Anda:

  1. Di Azure Event Hubs, buat namespace pusat aktivitas baru. Di namespace baru Anda, buat hub peristiwa Azure baru.

    Di hub peristiwa Anda, pastikan untuk menentukan pengaturan Jumlah Partisi dan Retensi Pesan.

    Untuk informasi selengkapnya, lihat Membuat pusat aktivitas menggunakan portal Azure.

  2. Di namespace pusat aktivitas Anda, pilih halaman Kontrol akses (IAM) dan tambahkan penetapan peran baru.

    Pilih untuk menggunakan peran Penerima Data Azure Event Hubs, dan tambahkan aplikasi prinsip layanan Microsoft Entra yang telah Anda buat sebelumnya sebagai anggota.

    Untuk informasi selengkapnya, lihat: Menetapkan peran Azure menggunakan portal Azure.

  3. Di halaman Gambaran Umum namespace layanan pusat aktivitas Anda, catat nilai Nama host namespace layanan.

  4. Di halaman Event Hubs namespace pusat aktivitas Anda, catat nama pusat aktivitas Anda.

Meneruskan insiden Microsoft Azure Sentinel ke pusat aktivitas Anda

Untuk meneruskan insiden atau pemberitahuan Microsoft Azure Sentinel ke pusat aktivitas Anda, buat aturan ekspor data dari Azure Log Analytics.

Dalam aturan Anda, pastikan untuk menentukan pengaturan berikut:

  1. Mengonfigurasi Sumber sebagai SecurityIncident

  2. Konfigurasikan Tujuan sebagai Jenis Peristiwa, menggunakan namespace layanan pusat aktivitas dan nama hub peristiwa yang akan Anda rekam sebelumnya.

    Untuk informasi selengkapnya, lihat Ekspor data ruang kerja Log Analytics di Azure Monitor.

Mengonfigurasi Splunk untuk menggunakan insiden Microsoft Azure Sentinel

Setelah Anda mengonfigurasi hub peristiwa dan aturan ekspor, konfigurasikan Splunk untuk menggunakan insiden Microsoft Sentinel dari pusat aktivitas.

  1. Instal Add-on Splunk untuk aplikasi Microsoft Cloud Services.

  2. Di Splunk Add-on untuk aplikasi Microsoft Cloud Services, tambahkan akun Aplikasi Azure.

    1. Masukkan nama yang bermakna untuk akun tersebut.
    2. Masukkan ID klien, rahasia klien, dan detail ID penyewa yang akan Anda rekam sebelumnya.
    3. Tentukan jenis kelas akun sebagai Azure Public Cloud.

  3. Buka Add-on Splunk untuk input Microsoft Cloud Services, dan buat input baru untuk hub peristiwa Azure Anda.

    1. Masukkan nama yang bermakna untuk input Anda.
    2. Pilih Akun Aplikasi Azure yang baru saja Anda buat di aplikasi Splunk Add-on untuk Microsoft Services.
    3. Masukkan namespace layanan pusat aktivitas Anda FQDN dan nama hub peristiwa.

    Biarkan pengaturan lain sebagai defaultnya.

    Setelah data mulai diserap ke Splunk dari hub peristiwa Anda, kueri data dengan menggunakan nilai berikut di bidang pencarian Anda: sourcetype="mscs:azure:eventhub"

Konten terkait