你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
将 ArcSight 与 Microsoft Defender for IoT 集成
本文介绍如何将 Microsoft Defender for IoT 警报发送到 ArcSight。 将 Defender for IoT 与 ArcSight 集成,可供了解 OT 网络的安全性和复原能力,并为 IT 和 OT 安全性提供统一方法。
先决条件
在开始之前,请确保满足以下先决条件:
- 以管理员用户身份访问 Defender for IoT OT 传感器。 有关详细信息,请参阅使用 Defender for IoT 进行 OT 监视的本地用户和角色。
配置 ArcSight 接收器类型
配置 ArcSight 服务器设置,以便可以接收 Defender for IoT 警报信息:
- 登录到 ArcSight 服务器。
- 将接收器类型配置为 CEF UDP 接收器。
有关详细信息,请参阅 ArcSight SmartConnectors 文档。
创建 Defender for IoT 转发规则
此过程介绍如何从 OT 传感器创建转发规则,将 Defender for IoT 警报从该传感器发送到 ArcSight。
转发预警规则仅在创建转发规则后触发的警报上运行。 创建转发规则之前系统中已有的警报不受该规则的影响。
有关详细信息,请参阅转发警报信息。
登录到 OT 传感器控制台,然后选择“转发”。
选择“+ 创建新规则”。
在“添加转发规则”窗格中,定义规则参数:
参数 说明 规则名称 为规则输入一个有意义的名称。 最小警报级别 要转发的最低安全级别的事件。 例如,如果选择“次要”,你会收到所有有关次要事件、主要事件和严重事件的通知。 检测到的任何协议 关闭以选择要包含在规则中的协议。 任何引擎检测到的流量 关闭以选择要包含在规则中的流量。 在“操作”区域中,定义以下值:
参数 说明 Server 选择 “ArcSight”。 主机 ArcSight 服务器地址。 端口 ArcSight 服务器端口。 时区 输入 ArcSight 服务器的时区。 选择“保存”以保存转发规则。
