你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
将 RSA NetWitness 与 Microsoft Defender for IoT 集成
本文介绍如何将 Microsoft Defender for IoT 警报发送到 RSA NetWitness。 将 Defender for IoT 与 NetWitness 集成,可供了解 OT 网络的安全性和复原能力,并为 IT 和 OT 安全性提供统一方法。
先决条件
在开始之前,请确保满足以下先决条件:
以管理员用户身份访问 Defender for IoT OT 传感器。 有关详细信息,请参阅使用 Defender for IoT 进行 OT 监视的本地用户和角色。
NetWitness 配置,用于从支持通用事件格式 (CEF) 的源收集事件。 有关详细信息,请参阅 CyberX 平台 - RSA NetWitness CEF 分析程序实现指南。
创建 Defender for IoT 转发规则
此过程介绍如何从 OT 传感器创建转发规则,以将 Defender for IoT 警报从该传感器发送到 NetWitness。
转发预警规则仅在创建转发规则后触发的警报上运行。 创建转发规则之前系统中已有的警报不受该规则的影响。
有关详细信息,请参阅转发警报信息。
登录到 OT 传感器控制台,然后选择“转发”。
选择“+ 创建新规则”。
在“添加转发规则”窗格中,定义规则参数:
参数 说明 规则名称 为规则输入一个有意义的名称。 最小警报级别 要转发的最低安全级别的事件。 例如,如果选择“次要”,你会收到所有有关次要事件、主要事件和严重事件的通知。 检测到的任何协议 关闭以选择要包含在规则中的协议。 任何引擎检测到的流量 关闭以选择要包含在规则中的流量。 在“操作”区域中,定义以下值:
参数 说明 Server 选择“NetWitness”。 主机 NetWitness 主机名。 端口 NetWitness 端口。 时区 输入 NetWitness 时区。 选择“保存”以保存转发规则。
