Editar

Compartilhar via


Transmitir alertas de nuvem do Defender para IoT para um SIEM de parceiro

Conforme mais empresas convertem sistemas de OT em infraestruturas de TI digitais, as equipes do SOC (centro de operações de segurança) e os CISOs (diretores de segurança da informação) ficam cada vez mais responsáveis por lidar com ameaças das redes de OT.

É recomendável usar o conector de dados e a solução prontos para uso do Microsoft Defender para IoT para se integrar ao Microsoft Sentinel e preencher a lacuna entre o desafio de segurança de TI e OT.

No entanto, se você tiver outros sistemas de SIEM (gerenciamento de eventos e informações de segurança), também poderá usar o Microsoft Sentinel para encaminhar alertas de nuvem do Defender para IoT para esse SIEM de parceiro por meio do Microsoft Sentinel e dos Hubs de Eventos do Azure.

Embora este artigo use o Splunk como exemplo, você pode usar o processo descrito abaixo com qualquer SIEM com suporte para a ingestão do Hub de Eventos, como o IBM QRadar.

Importante

O uso dos Hubs de Eventos e de uma regra de exportação do Log Analytics pode incorrer em encargos adicionais. Para obter mais informações, consulte Preço dos Hubs de Eventos e Preço da Exportação de Dados de Log.

Pré-requisitos

Antes de começar, você precisará do conector de dados do Microsoft Defender para IoT instalado em sua instância do Microsoft Sentinel. Para obter mais informações, confira Tutorial: Conectar o Microsoft Defender para IoT ao Microsoft Sentinel.

Verifique também os pré-requisitos de cada um dos procedimentos vinculados nas etapas abaixo.

Registrar um aplicativo no Microsoft Entra ID

Você precisará ter o Microsoft Entra ID definido como uma entidade de serviço para o Complemento do Splunk para os Serviços de Nuvem da Microsoft. Para fazer isso, você precisará criar um aplicativo do Microsoft Entra com permissões específicas.

Para registrar um aplicativo do Microsoft Entra e definir as permissões:

  1. No Microsoft Entra ID, registre um novo aplicativo. Na página Certificados e segredos, adicione um novo segredo do cliente para a entidade de serviço.

    Para obter mais informações, confira Registrar um aplicativo na plataforma de identidade da Microsoft

  2. Na página Permissões da API do aplicativo, conceda permissões da API para ler dados de seu aplicativo.

    • Selecione para adicionar uma permissão e, em seguida, selecione Microsoft Graph>Permissões de aplicativo>SecurityEvents.ReadWrite.All>Adicionar permissões.

    • Verifique se o consentimento do administrador é necessário para sua permissão.

    Para obter mais informações, consulte Configurar um aplicativo cliente para acessar uma API Web

  3. Na página de Visão geral do aplicativo, observe os seguintes valores para seu aplicativo:

    • Nome de exibição
    • ID do aplicativo (cliente)
    • ID do Diretório (locatário)
  4. Na página Certificados e segredos, observe os valores do Valor e ID do segredo do segredo do cliente.

Criar um hub de eventos do Azure

Crie um hub de eventos do Azure para usar como uma ponte entre o Microsoft Sentinel e seu SIEM de parceiro. Inicie esta etapa criando um namespace do hub de eventos do Azure e adicionando um hub de eventos do Azure.

Para criar um namespace do hub de eventos e um hub de eventos:

  1. Nos Hubs de Eventos do Azure, crie um namespace do hub de eventos. No novo namespace, crie um hub de eventos do Azure.

    No hub de eventos, defina as configurações de Contagem de Partições e Retenção de Mensagens.

    Para obter mais informações, confira Criar um hub de eventos usando o portal do Azure.

  2. No namespace do hub de eventos, selecione a página Controle de acesso (IAM) e adicione uma nova atribuição de função.

    Selecione o uso da função Receptor de Dados dos Hubs de Eventos do Azure e adicione o aplicativo da entidade de serviço do Microsoft Entra que você criou anteriormente como membro.

    Para obter mais informações, confira: Atribuir funções do Azure usando o portal do Azure.

  3. Na página de Visão geral do namespace do hub de eventos, anote o valor do Nome do host do namespace.

  4. Na página Hubs de Eventos do namespace do hub de eventos, anote o nome do hub de eventos.

Encaminhar incidentes do Microsoft Sentinel para o hub de eventos

Para encaminhar incidentes ou alertas do Microsoft Sentinel para o hub de eventos, crie uma regra de exportação de dados no Azure Log Analytics.

Na regra, defina as seguintes configurações:

  1. Configure a Origem como SecurityIncident

  2. Configure o Destino como Tipo de Evento, usando o namespace do hub de eventos e o nome do hub de eventos gravados anteriormente.

    Para obter mais informações, consulte Exportação de dados do workspace do Log Analytics no Azure Monitor.

Configurar o Splunk para consumir incidentes do Microsoft Sentinel

Depois de configurar o hub de eventos e a regra de exportação, configure o Splunk para consumir incidentes do Microsoft Sentinel do hub de eventos.

  1. Instale o aplicativo do Complemento do Splunk para os Serviços de Nuvem da Microsoft.

  2. No aplicativo do Complemento do Splunk para os Serviços de Nuvem da Microsoft, adicione uma conta de Aplicativo Azure.

    1. Insira um nome significativo para a conta.
    2. Insira os detalhes de ID do cliente, segredo do cliente e ID do locatário que você havia gravado anteriormente.
    3. Defina o tipo de classe de conta como Nuvem Pública do Azure.
  3. Acesse o Complemento do Splunk para entradas dos Serviços de Nuvem da Microsoft e crie uma entrada para o hub de eventos do Azure.

    1. Insira um nome relevante para sua entrada.
    2. Selecione a conta do Aplicativo Azure que você acabou de criar no aplicativo do Complemento do Splunk para os Serviços Microsoft.
    3. Insira o FQDN do namespace do hub de eventos e o nome do hub de eventos.

    Deixe as outras configurações com os valores padrão.

    Depois que os dados começarem a ser ingeridos no Splunk do hub de eventos, consulte os dados usando o seguinte valor no campo de pesquisa: sourcetype="mscs:azure:eventhub"