Подключение сетевых датчиков OT к Microsoft Sentinel (устаревшая версия)

В этой статье описывается устаревший метод подключения датчика OT к Microsoft Sentinel. Потоковая передача данных в Microsoft Sentinel всякий раз, когда вы хотите использовать расширенный поиск угроз Microsoft Sentinel, аналитику безопасности и функции автоматизации при реагировании на инциденты безопасности и угрозы в вашей сети.

Внимание

Эта функция будет устарела в январе 2025 года.

Если вы используете облачный подключенный датчик, рекомендуется подключить данные Defender для Интернета вещей с помощью решения Microsoft Sentinel вместо устаревшего метода интеграции. Дополнительные сведения см. в разделе:

• Мониторинг угроз OT в корпоративных SOCs
• Руководство. Подключение Microsoft Defender для Интернета вещей с помощью Microsoft Sentinel
• Руководство. Изучение и обнаружение угроз для устройств Интернета вещей

Необходимые компоненты

Прежде чем начать, убедитесь, что у вас есть следующие предварительные требования по мере необходимости:

• Доступ к сетевому датчику OT в качестве пользователя администратора . Дополнительные сведения см. в разделе локальных пользователей и ролей для мониторинга OT с помощью Defender для Интернета вещей.

• Прокси-компьютер, подготовленный для отправки данных в Microsoft Sentinel. Дополнительные сведения см. в статье Get CEF-formatted logs from your device or device into Microsoft Sentinel.

• Если вы хотите зашифровать данные, отправленные в Microsoft Sentinel с помощью TLS, обязательно создайте действительный TLS-сертификат с прокси-сервера для использования в правиле оповещения пересылки.

Настройка правил пересылки оповещений

1. Войдите в сетевой датчик OT и создайте правило пересылки. Дополнительные сведения см. в разделе "Переадресация локальных оповещений OT".

2. При создании правила пересылки обязательно выберите Microsoft Sentinel в качестве значения сервера . Например, на датчике OT:

   

3. Если вы используете шифрование TLS, установите флажок "Включить шифрование " и отправьте файлы сертификатов и ключей.

Выберите Сохранить, когда вы закончите. Обязательно протестируйте правило, чтобы убедиться, что он работает должным образом.

Внимание

Чтобы пересылать сведения об оповещении нескольким экземплярам Microsoft Sentinel, обязательно создайте отдельное правило пересылки для каждого экземпляра. Не используйте параметр "Добавить сервер " в одном правиле пересылки для отправки данных нескольким экземплярам Microsoft Sentinel.

Следующие шаги

Потоковая передача данных из подключенных к облаку датчиков

Исследование в Microsoft Sentinel

Дополнительные сведения см. в разделе:

Интеграция с microsoft и партнерскими службами