ArcSight integreren met Microsoft Defender voor IoT

In dit artikel wordt beschreven hoe u Microsoft Defender voor IoT-waarschuwingen naar ArcSight verzendt. De integratie van Defender for IoT met ArcSight biedt inzicht in de beveiliging en tolerantie van OT-netwerken en een uniforme benadering van IT- en OT-beveiliging.

Vereisten

Voordat u begint, moet u ervoor zorgen dat u aan de volgende vereisten voldoet:

• Toegang tot een Defender for IoT OT-sensor als een Beheer gebruiker. Zie On-premises gebruikers en rollen voor OT-bewaking met Defender for IoT voor meer informatie.

Het arcsight-ontvangertype configureren

Ga als volgt te werk om uw ArcSight-serverinstellingen zo te configureren dat deze informatie over Defender for IoT-waarschuwingen kan ontvangen:

1. Meld u aan bij uw ArcSight-server.
2. Configureer het type ontvanger als CEF UDP-ontvanger.

Zie de Documentatie voor ArcSight SmartConnectors voor meer informatie.

Een Defender for IoT-doorstuurregel maken

In deze procedure wordt beschreven hoe u een doorstuurregel maakt op basis van uw OT-sensor om Defender for IoT-waarschuwingen van die sensor naar ArcSight te verzenden.

Waarschuwingsregels voor doorsturen worden alleen uitgevoerd op waarschuwingen die worden geactiveerd nadat de doorstuurregel is gemaakt. Waarschuwingen die al in het systeem aanwezig waren voordat de doorstuurregel werd gemaakt, worden niet beïnvloed door de regel.

Zie Waarschuwingsgegevens doorsturen voor meer informatie.

1. Meld u aan bij de OT-sensorconsole en selecteer Doorsturen.

2. Selecteer + Nieuwe regel maken.

3. Definieer in het deelvenster Doorstuurregel toevoegen de regelparameters:

   

   Parameter	Beschrijving
   Regelnaam	Voer een beschrijvende naam in voor de regel.
   Minimaal waarschuwingsniveau	Het minimale incident op beveiligingsniveau dat moet worden doorgestuurd. Als u bijvoorbeeld Secundair selecteert, wordt u op de hoogte gesteld van alle kleine, belangrijke en kritieke incidenten.
   Elk protocol gedetecteerd	Schakel uit om de protocollen te selecteren die u in de regel wilt opnemen.
   Verkeer gedetecteerd door een engine	Schakel uit om het verkeer te selecteren dat u in de regel wilt opnemen.

4. Definieer in het gebied Acties de volgende waarden:

   Parameter	Beschrijving
   Server	Selecteer ArcSight.
   Host	Het adres van de ArcSight-server.
   Poort	De Poort van de ArcSight-server.
   Uurzonee	Voer de tijdzone van de ArcSight-server in.

5. Selecteer Opslaan om de doorstuurregel op te slaan.

Volgende stappen

• Integraties met Microsoft- en partnerservices
• Waarschuwingsinformatie doorsturen
• Afzonderlijke sensoren beheren