Bearbeiten

Freigeben über


Streamen von Defender for IoT-Cloudwarnungen an eine SIEM-Partnerlösung

Da immer mehr Unternehmen ihre OT-Systeme in digitale IT-Infrastrukturen umwandeln, sind Security Operation Center-Teams (SOC) und Chief Information Security Officer (CISOs) zunehmend für die Behandlung von Bedrohungen aus OT-Netzwerken verantwortlich.

Es wird empfohlen, den standardmäßig verfügbaren Datenconnector von Microsoft Defender for IoT und die Lösung für die Integration in Microsoft Sentinel zu verwenden und die Lücke zwischen der IT- und OT-Sicherheitsaufgabe zu schließen.

Wenn Sie jedoch über andere SIEM-Systeme (Security Information and Event Management) verfügen, können Sie auch Microsoft Sentinel verwenden, um Cloudwarnungen von Defender for IoT über Microsoft Sentinel und Azure Event Hubs an diesen Partner-SIEM weiterzuleiten.

In diesem Artikel wird zwar Splunk als Beispiel verwendet, Sie können den unten beschriebenen Prozess aber mit jeder beliebigen SIEM-Lösung durchführen, die die Event Hub-Erfassung unterstützt, z. B. IBM QRadar.

Wichtig

Bei Verwendung von Event Hubs und einer Log Analytics-Exportregel können zusätzliche Gebühren anfallen. Weitere Informationen finden Sie unter Event Hubs-Preise und Preise für den Protokolldatenexport.

Voraussetzungen

Bevor Sie beginnen, muss der Microsoft Defender for IoT-Datenconnector in Ihrer Microsoft Sentinel-Instanz installiert werden. Weitere Informationen finden Sie unter Tutorial: Verbinden von Microsoft Defender for IoT mit Microsoft Sentinel.

Überprüfen Sie außerdem alle Voraussetzungen für die einzelnen Prozeduren, die in den folgenden Schritten verknüpft sind.

Registrieren Sie eine Anwendung in Microsoft Entra ID

Microsoft Entra ID muss für das Splunk-Add-On für Microsoft Cloud Services als Dienstprinzipal definiert sein. Dazu müssen Sie eine Microsoft Entra-Anwendung mit bestimmten Berechtigungen erstellen.

So registrieren Sie eine Microsoft Entra ID-Anwendung und definieren Berechtigungen:

  1. Registrieren Sie eine neue App in Microsoft Entra ID eine neue App. Fügen Sie auf der Seite Zertifikate und Geheimnisse ein neues Clientgeheimnis für den Dienstprinzipal hinzu.

    Weitere Informationen finden Sie unter Registrieren einer Anwendung bei Microsoft Identity Platform.

  2. Erteilen Sie auf der Seite API-Berechtigungen Ihrer App API-Berechtigungen zum Lesen von Daten aus Ihrer App.

    • Wählen Sie eine Berechtigung aus, um sie hinzuzufügen, und wählen Sie dann Microsoft Graph>Anwendungsberechtigungen>SecurityEvents.ReadWrite.All>Berechtigungen hinzufügen aus.

    • Stellen Sie sicher, dass für Ihre Berechtigung die Administratoreinwilligung erforderlich ist.

    Weitere Informationen finden Sie unter Konfigurieren einer Clientanwendung für den Zugriff auf eine Web-API.

  3. Notieren Sie sich auf der Seite Übersicht Ihrer App die folgenden Werte für Ihre App:

    • Anzeigename
    • Anwendungs-ID (Client)
    • Verzeichnis-ID (Mandant)
  4. Notieren Sie sich auf der Seite Zertifikate und Geheimnisse die Werte Ihres Clientgeheimnisses Wert und Geheimnis-ID.

Erstellen eines Azure-Event Hubs

Erstellen Sie einen Azure Event Hub, der als Brücke zwischen Microsoft Sentinel und Ihrer SIEM-Partnerlösung verwendet werden soll. Beginnen Sie diesen Schritt, indem Sie einen Azure Event Hub-Namespace erstellen und dann einen Azure Event Hub hinzufügen.

So erstellen Sie einen Event Hub-Namespace und einen Event Hub:

  1. Erstellen Sie in Azure Event Hubs einen neuen Event Hub-Namespace. Erstellen Sie in Ihrem neuen Namespace einen neuen Azure Event Hub.

    Definieren Sie in Ihrem Event Hub unbedingt die Einstellungen Partitionsanzahl und Nachrichtenaufbewahrung.

    Weitere Informationen finden Sie unter Erstellen eines Event Hubs über das Azure-Portal.

  2. Wählen Sie in Ihrem Event Hub-Namespace die Seite Zugriffssteuerung (IAM) aus, und fügen Sie eine neue Rollenzuweisung hinzu.

    Wählen Sie die Rolle Azure Event Hubs-Datenempfänger aus, und fügen Sie die Microsoft Entra-Dienstprinzipal-App hinzu, die Sie zuvor als Member erstellt haben.

    Weitere Informationen finden Sie unter Hinzufügen oder Entfernen von Azure-Rollenzuweisungen über das Azure-Portal.

  3. Notieren Sie sich auf der Seite Übersicht Ihres Event Hub-Namespaces den Wert für den Hostnamen des Namespaces.

  4. Notieren Sie sich auf der Event Hubs-Seite Ihres Event Hub-Namespaces den Namen Ihres Event Hubs.

Weiterleiten von Microsoft Sentinel-Incidents an Ihren Event Hub

Um Microsoft Sentinel-Incidents oder -Warnungen an Ihren Event Hub weiterzuleiten, erstellen Sie eine Datenexportregel aus Azure Log Analytics.

Stellen Sie sicher, dass Sie in Ihrer Regel die folgenden Einstellungen definieren:

  1. Konfigurieren der Quelle als SecurityIncident

  2. Konfigurieren Sie das Ziel als Ereignistyp, und verwenden Sie dabei den Event Hub-Namespace und den Event Hub-Namen, den Sie zuvor aufgezeichnet haben.

    Weitere Informationen finden Sie unter Datenexport im Log Analytics-Arbeitsbereich in Azure Monitor.

Konfigurieren von Splunk für die Nutzung von Microsoft Sentinel-Incidents

Nachdem Sie Ihren Event Hub und Ihre Exportregel konfiguriert haben, konfigurieren Sie Splunk so, dass Microsoft Sentinel-Incidents vom Event Hub aus verwendet werden.

  1. Installieren Sie die App Splunk-Add-On für Microsoft Cloud Services.

  2. Fügen Sie in der App „Splunk-Add-On für Microsoft Cloud Services“ ein Azure-App-Konto hinzu.

    1. Geben Sie einen aussagekräftigen Namen für das Konto ein.
    2. Geben Sie die zuvor aufgezeichneten Details zu Client-ID, Clientgeheimnis und Mandanten-ID ein.
    3. Definieren Sie den Kontoklassentyp als Azure Public Cloud.
  3. Wechseln Sie zu den Eingaben des Splunk-Add-Ons für Microsoft Cloud Services, und erstellen Sie eine neue Eingabe für Ihren Azure Event Hub.

    1. Geben Sie einen aussagekräftigen Namen für Ihre Eingabe ein.
    2. Wählen Sie das Azure-App-Konto aus, das Sie soeben in der App „Splunk-Add-On für Microsoft Cloud Services“ erstellt haben.
    3. Geben Sie ihren Event Hub-Namespace-FQDN und den Event Hub-Namen ein.

    Behalten Sie für andere Einstellungen die Standardwerte bei.

    Sobald Daten von Ihrem Event Hub in Splunk erfasst werden, fragen Sie die Daten mithilfe des folgenden Werts in Ihrem Suchfeld ab: sourcetype="mscs:azure:eventhub"