RSA NetWitness を Microsoft Defender for IoT と統合する
この記事では、Microsoft Defender for IoT アラートを RSA NetWitness に送信する方法について説明します。 Defender for IoT と NetWitness の統合により、OT ネットワークのセキュリティと回復性を可視化し、IT および OT セキュリティに統合的にアプローチできます。
前提条件
開始する前に、以下の前提条件を満たしていることを確認してください。
管理者ユーザーとして Defender for IoT OT センサーへアクセスする。 詳細については、Defender for IoT を使用した OT 監視のためのオンプレミスのユーザーとロールに関するページを参照してください。
共通イベント形式 (CEF) をサポートするソースからイベントを収集するための NetWitness 構成。 詳細については、「CyberX Platform - RSA NetWitness CEF Parser Implementation Guide (CyberX プラットフォーム の RSA NetWitness CEF パーサー実装ガイド)」を参照してください。
Defender for IoT 転送ルールを作成する
この手順では、OT センサーから転送ルールを作成して、そのセンサーから NetWitness に Defender for IoT アラートを送信する方法について説明します。
転送アラート ルールは、転送ルールの作成後にトリガーされたアラートに対してのみ実行されます。 転送ルールが作成される前にシステムに既に存在していたアラートは、ルールの影響を受けません。
詳細については、「アラート情報を転送する」を参照してください。
OT センサー コンソールにサインインし、[転送] を選択します。
[+ 新しいルールの作成] を選択します。
[転送ルールの追加] ウィンドウで、ルール パラメーターを定義します。
パラメーター 説明 ルール名 ルールのわかりやすい名前を入力します。 最小アラート レベル 転送するインシデントの最小セキュリティ レベル。 たとえば、[マイナー] を選択すると、すべてのマイナー、メジャー、および重大インシデントが通知されます。 検出された任意のプロトコル オフに切り替えて、ルールに含めるプロトコルを選択します。 任意のエンジンによって検出されたトラフィック オフに切り替えて、ルールに含めるトラフィックを選択します。 [アクション] 領域で、次の値を定義します。
パラメーター 説明 [サーバー] [NetWitness] を選択します。 Host NetWitness のホスト名。 ポート NetWitness のポート。 タイム ゾーン NetWitness のタイムゾーンを入力します。 [保存] を選択して転送ルールを保存します。
