Redigera

Dela via

Stream Defender för IoT-molnaviseringar till en siem-partner

  • Så här gör du

I takt med att fler företag konverterar OT-system till digitala IT-infrastrukturer är SOC-team (Security Operations Center) och CISO:er i allt högre grad ansvariga för att hantera hot från OT-nätverk.

Vi rekommenderar att du använder Microsoft Defender för IoT:s färdiga dataanslutning och lösning för att integrera med Microsoft Sentinel och överbrygga klyftan mellan IT- och OT-säkerhetsutmaningen.

Men om du har andra SIEM-system (säkerhetsinformation och händelsehantering) kan du också använda Microsoft Sentinel för att vidarebefordra Defender för IoT-molnaviseringar till den partnern SIEM, via Microsoft Sentinel och Azure Event Hubs.

Även om den här artikeln använder Splunk som exempel kan du använda den process som beskrivs nedan med alla SIEM som stöder Event Hub-inmatning, till exempel IBM QRadar.

Viktigt!

Att använda Event Hubs och en Log Analytics-exportregel kan medföra ytterligare avgifter. Mer information finns i Priser för Event Hubs och Priser för Loggdataexport.

Förutsättningar

Innan du börjar behöver du Microsoft Defender för IoT-dataanslutningsappen installerad i din Microsoft Sentinel-instans. Mer information finns i Självstudie: Ansluta Microsoft Defender för IoT till Microsoft Sentinel.

Kontrollera även eventuella krav för var och en av de procedurer som är länkade i stegen nedan.

Registrera ett program i Microsoft Entra-ID

Du behöver Microsoft Entra-ID definierat som tjänstens huvudnamn för Splunk-tillägget för Microsoft Cloud Services. För att göra detta måste du skapa ett Microsoft Entra-program med specifika behörigheter.

Så här registrerar du ett Microsoft Entra-program och definierar behörigheter:

  1. I Microsoft Entra-ID registrerar du ett nytt program. På sidan Certifikat och hemligheter lägger du till en ny klienthemlighet för tjänstens huvudnamn.

    Mer information finns i Registrera ett program med Microsofts identitetsplattform

  2. På appens API-behörighetssida beviljar du API-behörigheter för att läsa data från din app.

    • Välj för att lägga till en behörighet och välj sedan Microsoft Graph-programbehörigheter>>SecurityEvents.ReadWrite.All Add permissions (Lägg>till behörigheter).

    • Kontrollera att administratörsmedgivande krävs för din behörighet.

    Mer information finns i Konfigurera ett klientprogram för åtkomst till ett webb-API

  3. Observera följande värden för appen på appens översiktssida:

    • Visningsnamn
    • Program-ID (klient)-ID
    • Katalog-ID (klientorganisation)

  4. På sidan Certifikat och hemligheter noterar du värdena för ditt klienthemliga värde och hemliga ID.

Skapa en Azure-händelsehubb

Skapa en Azure-händelsehubb som ska användas som en brygga mellan Microsoft Sentinel och din partner-SIEM. Börja det här steget genom att skapa ett namnområde för Azure-händelsehubben och sedan lägga till en Azure-händelsehubb.

Så här skapar du händelsehubbens namnområde och händelsehubb:

  1. I Azure Event Hubs skapar du ett nytt namnområde för händelsehubben. Skapa en ny Azure-händelsehubb i ditt nya namnområde.

    I händelsehubben måste du definiera inställningar för partitionsantal och kvarhållning av meddelanden.

    Mer information finns i Skapa en händelsehubb med hjälp av Azure Portal.

  2. I händelsehubbens namnområde väljer du sidan Åtkomstkontroll (IAM) och lägger till en ny rolltilldelning.

    Välj att använda rollen Azure Event Hubs-datamottagare och lägg till den principapp för Microsoft Entra-tjänsten som du skapade tidigare som medlem.

    Mer information finns i: Tilldela Azure-roller med hjälp av Azure Portal.

  3. På sidan Översikt för händelsehubbens namnområde antecknar du namnområdets värdnamnsvärde.

  4. Anteckna händelsehubbens namn på händelsehubbens sida för händelsehubben.

Vidarebefordra Microsoft Sentinel-incidenter till din händelsehubb

Om du vill vidarebefordra Microsoft Sentinel-incidenter eller aviseringar till din händelsehubb skapar du en dataexportregel från Azure Log Analytics.

I din regel måste du definiera följande inställningar:

  1. Konfigurera källan som SecurityIncident

  2. Konfigurera målet som händelsetyp med hjälp av händelsehubbens namnområde och händelsehubbnamn som du hade spelat in tidigare.

    Mer information finns i Log Analytics-dataexport för arbetsytor i Azure Monitor.

Konfigurera Splunk för att använda Microsoft Sentinel-incidenter

När du har konfigurerat händelsehubben och exportregeln konfigurerar du Splunk för att använda Microsoft Sentinel-incidenter från händelsehubben.

  1. Installera Splunk-tillägget för Microsoft Cloud Services-appen.

  2. I Splunk-tillägget för Microsoft Cloud Services-appen lägger du till ett Azure App-konto.

    1. Ange ett beskrivande namn för kontot.
    2. Ange information om klient-ID, klienthemlighet och klient-ID som du hade spelat in tidigare.
    3. Definiera kontoklasstypen som Azure Public Cloud.

  3. Gå till Splunk-tillägget för Microsoft Cloud Services-indata och skapa en ny indata för din Azure-händelsehubb.

    1. Ange ett beskrivande namn för dina indata.
    2. Välj det Azure App-konto som du just skapade i Splunk-tillägget för Microsoft Services-appen.
    3. Ange händelsehubbens namnområdes-FQDN och händelsehubbens namn.

    Lämna andra inställningar som standardinställningar.

    När data börjar matas in i Splunk från händelsehubben frågar du efter data med hjälp av följande värde i sökfältet: sourcetype="mscs:azure:eventhub"

Relaterat innehåll