Modifica

Condividi tramite

Avvisi cloud di Stream Defender per IoT a un siem dei partner

  • Procedure

Man mano che più aziende convertono i sistemi OT in infrastrutture IT digitali, i team del Centro operazioni di sicurezza (SOC) e i chief information security officer (CISO) sono sempre più responsabili della gestione delle minacce dalle reti OT.

È consigliabile usare il connettore dati predefinito di Microsoft Defender per IoT per l'integrazione con Microsoft Sentinel e colmare il divario tra la sfida di sicurezza IT e OT.

Tuttavia, se si dispone di altri sistemi SIEM (Security Information and Event Management), è anche possibile usare Microsoft Sentinel per inoltrare gli avvisi cloud di Defender per IoT a tale siem partner, tramite Microsoft Sentinel e Hub eventi di Azure.

Anche se questo articolo usa Splunk come esempio, è possibile usare il processo descritto di seguito con qualsiasi siem che supporta l'inserimento di Hub eventi, ad esempio IBM QRadar.

Importante

L'uso di Hub eventi e una regola di esportazione di Log Analytics possono comportare costi aggiuntivi. Per altre informazioni, vedere Prezzi di Hub eventi e Prezzi di Esportazione dei dati di log.

Prerequisiti

Prima di iniziare, è necessario il connettore dati di Microsoft Defender per IoT installato nell'istanza di Microsoft Sentinel. Per altre informazioni, vedere Esercitazione: Connessione Microsoft Defender per IoT con Microsoft Sentinel.

Controllare anche i prerequisiti per ognuna delle procedure collegate nei passaggi seguenti.

Registrare un'applicazione in Microsoft Entra ID

È necessario l'ID Microsoft Entra definito come entità servizio per il componente aggiuntivo Splunk per Microsoft Servizi cloud. A tale scopo, è necessario creare un'applicazione Microsoft Entra con autorizzazioni specifiche.

Per registrare un'applicazione Microsoft Entra e definire le autorizzazioni:

  1. In Microsoft Entra ID registrare una nuova applicazione. Nella pagina Certificati e segreti aggiungere un nuovo segreto client per l'entità servizio.

    Per altre informazioni, vedere Registrare un'applicazione con Microsoft Identity Platform

  2. Nella pagina autorizzazioni API dell'app concedere le autorizzazioni API per leggere i dati dall'app.

    • Selezionare questa opzione per aggiungere un'autorizzazione e quindi selezionare Autorizzazioni>dell'applicazione Microsoft Graph>SecurityEvents.ReadWrite.All>Aggiungi autorizzazioni.

    • Assicurarsi che il consenso dell'amministratore sia necessario per l'autorizzazione.

    Per altre informazioni, vedere Configurare un'applicazione client per accedere a un'API Web

  3. Nella pagina Panoramica dell'app prendere nota dei valori seguenti per l'app:

    • Nome visualizzato
    • ID applicazione (client)
    • ID della directory (tenant)

  4. Nella pagina Certificati e segreti prendere nota dei valori del valore del segreto client e dell'ID segreto.

Creare un hub eventi di Azure

Creare un hub eventi di Azure da usare come ponte tra Microsoft Sentinel e siem del partner. Iniziare questo passaggio creando uno spazio dei nomi dell'hub eventi di Azure e quindi aggiungendo un hub eventi di Azure.

Per creare lo spazio dei nomi dell'hub eventi e l'hub eventi:

  1. In Hub eventi di Azure creare un nuovo spazio dei nomi dell'hub eventi. Nel nuovo spazio dei nomi creare un nuovo hub eventi di Azure.

    Nell'hub eventi assicurarsi di definire le impostazioni Conteggio partizioni e Conservazione messaggi .

    Per altre informazioni, vedere Creare un hub eventi usando il portale di Azure.

  2. Nello spazio dei nomi dell'hub eventi selezionare la pagina Controllo di accesso (IAM) e aggiungere una nuova assegnazione di ruolo.

    Selezionare questa opzione per usare il ruolo ricevitore di dati Hub eventi di Azure e aggiungere l'app entità servizio Microsoft Entra creata in precedenza come membro.

    Per altre informazioni, vedere Assegnare ruoli di Azure usando il portale di Azure.

  3. Nella pagina Panoramica dello spazio dei nomi dell'hub eventi prendere nota del valore del nome host dello spazio dei nomi.

  4. Nella pagina Hub eventi dello spazio dei nomi dell'hub eventi prendere nota del nome dell'hub eventi.

Inoltrare gli eventi imprevisti di Microsoft Sentinel all'hub eventi

Per inoltrare eventi imprevisti o avvisi di Microsoft Sentinel all'hub eventi, creare una regola di esportazione dei dati da Azure Log Analytics.

Nella regola assicurarsi di definire le impostazioni seguenti:

  1. Configurare l'origine come SecurityIncident

  2. Configurare la destinazione come tipo di evento usando lo spazio dei nomi dell'hub eventi e il nome dell'hub eventi registrati in precedenza.

    Per altre informazioni, vedere Esportazione dei dati dell'area di lavoro Log Analytics in Monitoraggio di Azure.

Configurare Splunk per l'utilizzo degli eventi imprevisti di Microsoft Sentinel

Dopo aver configurato l'hub eventi e la regola di esportazione, configurare Splunk per l'utilizzo degli eventi imprevisti di Microsoft Sentinel dall'hub eventi.

  1. Installare il componente aggiuntivo Splunk per l'app Microsoft Servizi cloud.

  2. Nel componente aggiuntivo Splunk per l'app Microsoft Servizi cloud aggiungere un account app Azure.

    1. Immettere un nome significativo per l'account.
    2. Immettere i dettagli dell'ID client, del segreto client e dell'ID tenant registrati in precedenza.
    3. Definire il tipo di classe account come cloud pubblico di Azure.

  3. Passare al componente aggiuntivo Splunk per gli input di Microsoft Servizi cloud e creare un nuovo input per l'hub eventi di Azure.

    1. Immettere un nome significativo per l'input.
    2. Selezionare l'account app Azure appena creato nell'app Componente aggiuntivo Splunk per i servizi Microsoft.
    3. Immettere il nome FQDN dello spazio dei nomi dell'hub eventi e il nome dell'hub eventi.

    Lasciare le altre impostazioni come predefinite.

    Dopo che i dati iniziano a essere inseriti in Splunk dall'hub eventi, eseguire una query sui dati usando il valore seguente nel campo di ricerca: sourcetype="mscs:azure:eventhub"

Contenuto correlato