Editar

Compartir a través de

Transmisión de alertas en la nube de Defender para IoT a un SIEM asociado

  • Instrucciones

A medida que más empresas convierten sus sistemas OT en infraestructuras de TI digitales, los equipos del centro de operaciones de seguridad (SOC) y los oficiales principales de seguridad de la información (CISO) tienen cada vez más responsabilidades a la hora de hacer frente a las amenazas de las redes de OT.

Se recomienda usar el conector de datos y la solución de serie de Microsoft Defender para IoT para integrarlos con Microsoft Sentinel y salvar la brecha entre los desafíos de seguridad de TI y OT.

Sin embargo, si tiene otros sistemas de administración de eventos e información de seguridad (SIEM), también puede usar Microsoft Sentinel para reenviar alertas en la nube de Defender para IoT a ese SIEM asociado, usando para ello Microsoft Sentinel y Azure Event Hubs.

Aunque en este artículo se usa Splunk como ejemplo, el proceso descrito aquí se puede usar con cualquier SIEM que admita la ingesta de Event Hubs, como QRadar de IBM.

Importante

El uso de Event Hubs y de una regla de exportación de Log Analytics pueden suponer un cargo extra. Para obtener más información, vea Precios de Event Hubs y Precios de exportación de datos de registro.

Requisitos previos

Antes de empezar, necesitará el conector de datos de Microsoft Defender para IoT instalado en la instancia de Microsoft Sentinel. Para obtener más información, vea Tutorial: Conexión de Microsoft Defender para IoT con Microsoft Sentinel.

Compruebe también los requisitos previos de cada uno de los procedimientos vinculados en los siguientes pasos.

Registre una aplicación en Microsoft Entra ID

Necesitará tener Microsoft Entra ID definido como una entidad de servicio en el complemento de Splunk para Microsoft Cloud Services. Para ello, deberá crear una aplicación de Microsoft Entra con permisos específicos.

Para registrar una aplicación de Microsoft y definir permisos:

  1. En Microsoft Entra ID, registre una nueva aplicación. En la página Certificados y secretos, agregue un nuevo secreto de cliente para la entidad de servicio.

    Para obtener más información, vea Registro de una aplicación con la plataforma de identidad de Microsoft.

  2. En la página Permisos de API de la aplicación, conceda permisos de API para leer datos desde la aplicación.

    • Seleccione esta opción para agregar un permiso y, luego, seleccione Microsoft Graph>Permisos de la aplicación>SecurityEvents.ReadWrite.All>Agregar permisos.

    • Asegúrese de que el consentimiento del administrador sea obligatorio en el permiso.

    Para obtener más información, vea Configuración de una aplicación cliente para acceder a las API web.

  3. En la página Información general de la aplicación, anote los siguientes valores de la aplicación:

    • Nombre para mostrar
    • Id. de la aplicación (cliente)
    • Id. de directorio (inquilino)

  4. En la página Certificados y secretos, anote los valores de Valor e ID de secreto del secreto de cliente.

Creación de un centro de eventos de Azure

Cree un centro de eventos de Azure para usarlo como puente entre Microsoft Sentinel y el SIEM asociado. Comience creando un espacio de nombres de centro de eventos de Azure y, a continuación, agregue un centro de eventos de Azure.

Para crear el espacio de nombres del centro de eventos y el centro de eventos:

  1. En Azure Event Hubs, cree un espacio de nombres del centro de eventos. En el nuevo espacio de nombres, cree un centro de eventos de Azure.

    En el centro de eventos, asegúrese de definir valores en Recuento de particiones y Retención de mensajes.

    Para obtener más información, vea Creación de un centro de eventos mediante Azure Portal.

  2. En el espacio de nombres del centro de eventos, seleccione la página Control de acceso (IAM) y agregue una nueva asignación de roles.

    Opte por usar el rol Receptor de los datos de Azure Event Hubs y agregue como miembro la aplicación principal del servicio de Microsoft Entra que creó anteriormente.

    Para obtener más información, vea Asignación de roles de Azure mediante Azure Portal.

  3. En la página Información general del espacio de nombres del centro de eventos, anote el valor de Nombre de host del espacio de nombres.

  4. En la página Centro de eventos del espacio de nombres del centro de eventos, anote el nombre del centro de eventos.

Reenvío de incidentes de Microsoft Sentinel al centro de eventos

Para reenviar incidentes o alertas de Microsoft Sentinel al centro de eventos, cree una regla de exportación de datos desde Azure Log Analytics.

En la regla, asegúrese de definir la siguiente configuración:

  1. Establezca Origen en SecurityIncident.

  2. Establezca Destino en Tipo de evento, usando el espacio de nombres del centro de eventos y el nombre del centro de eventos que anotó antes.

    Para obtener más información, consulte Exportación de datos del área de trabajo de Log Analytics en Azure Monitor.

Configuración de Splunk para consumir incidentes de Microsoft Sentinel

Una vez configurado el centro de eventos y la regla de exportación, configure Splunk para consumir incidentes de Microsoft Sentinel desde el centro de eventos.

  1. Instale el complemento de Splunk para Microsoft Cloud Services.

  2. En el complemento de Splunk para Microsoft Cloud Services, agregue una cuenta de App de Azure.

    1. Escriba un nombre descriptivo para la cuenta.
    2. Escriba los detalles de identificador de cliente, secreto de cliente e identificador de inquilino que anotó anteriormente.
    3. Defina el tipo de clase de cuenta como Nube pública de Azure.

  3. Vaya a las entradas del complemento de Splunk para Microsoft Cloud Services y cree una entrada para el centro de eventos de Azure.

    1. Escriba un nombre con sentido para la entrada.
    2. Seleccione la cuenta de App de Azure que acaba de crear en el complemento de Splunk para Microsoft Services.
    3. Escriba el FQDN del espacio de nombres del centro de eventos y el nombre del centro de eventos.

    Deje los demás valores de configuración en sus valores predeterminados.

    Una vez que empiecen a ingerirse datos en Splunk desde el centro de eventos, realice una consulta de los datos usando el siguiente valor en el campo de búsqueda: sourcetype="mscs:azure:eventhub".

Contenido relacionado