Integrar o ArcSight ao Microsoft Defender para IoT
Este artigo descreve como enviar alertas do Microsoft Defender para IoT para ArcSight. A integração do Defender para IoT ao LogRhythm fornece visibilidade sobre a ArcSight e resiliência das redes de OT e uma abordagem unificada para segurança de TI e OT.
Pré-requisitos
Antes de iniciar, verifique se você cumpre os seguintes pré-requisitos:
- Acesso a um sensor do Defender para IoT OT como um usuário administrador. Para obter mais informações, confira Usuários locais e funções para monitoramento de OT com o Defender para IoT.
Configurar o tipo de receptor do ArcSight
Para definir as configurações do servidor ArcSight de modo que ele possa receber informações de alerta do Defender para IoT:
- Entre no servidor ArcSight.
- Configure o tipo de receptor como receptor CEF UDP.
Para obter mais informações, confira a documentação do ArcSight SmartConnectors.
Como criar uma regra de encaminhamento do Defender para IoT
Este procedimento descreve como criar uma regra de encaminhamento do sensor OT para enviar alertas do Defender para IoT desse sensor para ArcSight.
As regras de alerta de encaminhamento são executadas somente em alertas disparados após a criação da regra de encaminhamento. Os alertas já existentes no sistema antes da criação da regra de encaminhamento não são afetados pela regra.
Para obter mais informações, confira Encaminhar informações de alerta.
Entre no console do sensor OT e selecione Encaminhar.
Selecione + Criar regra.
No painel Adicionar regra de encaminhamento , defina os parâmetros da regra:
Parâmetro Descrição Nome da regra Insira um nome relevante para sua regra. Nível mínimo de alerta O incidente de nível de segurança mínimo a ser encaminhado. Por exemplo, se você selecionar Menor, você será notificado sobre todos os incidentes menores, maiores e críticos. Qualquer protocolo detectado Desative a opção para selecionar os protocolos que você deseja incluir na regra. Tráfego detectado por qualquer mecanismo Desative a opção para selecionar o tráfego que você deseja incluir na regra. Na área Ações, defina os seguintes valores:
Parâmetro Descrição Servidor Selecione ArcSight. Host O endereço do servidor ArcSight. Porta A porta do servidor ArcSight. TimeZone Insira o fuso horário do servidor ArcSight. Selecione Salvar para salvar sua regra de encaminhamento.