Подключение сетевых датчиков OT к Microsoft Sentinel (устаревшая версия)

В этой статье описывается устаревший метод подключения датчика OT к Microsoft Sentinel. Передавайте данные в Microsoft Sentinel, когда вы хотите воспользоваться его расширенными возможностями поиска угроз, аналитики безопасности и автоматизации для реагирования на инциденты безопасности и угрозы в вашей сети.

Внимание

Эта функция будет снята с использования в январе 2025 года.

Если вы используете облачный подключенный датчик, рекомендуется подключить данные Defender для Интернета вещей с помощью решения Microsoft Sentinel вместо устаревшего метода интеграции. Дополнительные сведения см. в разделе:

• Мониторинг угроз OT в корпоративных SOCs
• Руководство. Подключение Microsoft Defender для Интернета вещей с помощью Microsoft Sentinel
• Руководство. Изучение и обнаружение угроз для устройств Интернета вещей

Предварительные требования

Прежде чем начать, убедитесь, что у вас есть следующие предварительные требования по мере необходимости:

• Доступ к сетевому датчику OT в качестве администратора. Дополнительные сведения см. в разделе локальные пользователи и роли для мониторинга OT с помощью Defender для IoT.

• Прокси-компьютер, подготовленный для отправки данных в Microsoft Sentinel. Дополнительные сведения см. в статье Получение логов в формате CEF с вашего устройства или агрегата в Microsoft Sentinel.

• Если вы хотите зашифровать данные, отправленные в Microsoft Sentinel с помощью TLS, обязательно создайте действительный TLS-сертификат с прокси-сервера для использования в правиле оповещения пересылки.

Настройка правил пересылки оповещений

1. Войдите в сетевой датчик OT и создайте правило пересылки. Дополнительные сведения см. в разделе «Переадресация информации об оповещениях OT в локальных системах».

2. При создании правила пересылки обязательно выберите Microsoft Sentinel как значение сервера. Например, на датчике OT:

   

3. Если вы используете шифрование TLS, установите флажок "Включить шифрование " и отправьте файлы сертификатов и ключей.

Выберите Сохранить, когда вы закончите. Обязательно протестируйте правило, чтобы убедиться, что он работает должным образом.

Внимание

Чтобы пересылать сведения об оповещении нескольким экземплярам Microsoft Sentinel, обязательно создайте отдельное правило пересылки для каждого экземпляра. Не используйте параметр "Добавить сервер " в одном правиле пересылки для отправки данных нескольким экземплярам Microsoft Sentinel.

Следующие шаги

Потоковая передача данных из подключенных к облаку датчиков

Исследование в Microsoft Sentinel

Дополнительные сведения см. в разделе:

Интеграция с microsoft и партнерскими службами