你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
将 LogRhythm 与 Microsoft Defender for IoT 集成
本文介绍如何将 Microsoft Defender for IoT 警报发送到 LogRhythm。 将 Defender for IoT 与 LogRhythm 集成,可供了解 OT 网络的安全性和复原能力,并为 IT 和 OT 安全性提供统一方法。
先决条件
在开始之前,请确保满足以下先决条件:
- 以管理员用户身份访问 Defender for IoT OT 传感器。 有关详细信息,请参阅使用 Defender for IoT 进行 OT 监视的本地用户和角色。
创建 Defender for IoT 转发规则
此过程介绍如何从 OT 传感器创建转发规则,将 Defender for IoT 警报从该传感器发送到 LogRhythm。
转发预警规则仅在创建转发规则后触发的警报上运行。 创建转发规则之前系统中已有的警报不受该规则的影响。
有关详细信息,请参阅转发警报信息。
登录到 OT 传感器控制台,然后选择“转发”。
选择“+ 创建新规则”。
在“添加转发规则”窗格中,定义规则参数:
参数 说明 规则名称 为规则输入一个有意义的名称。 最小警报级别 要转发的最低安全级别的事件。 例如,如果选择“次要”,你会收到所有有关次要事件、主要事件和严重事件的通知。 检测到的任何协议 关闭以选择要包含在规则中的协议。 任何引擎检测到的流量 关闭以选择要包含在规则中的流量。 在“操作”区域中,定义以下值:
参数 说明 Server 选择 SYSLOG 服务器选项,例如 SYSLOG 服务器(LEEF 格式)。 主机 LogRhythm 收集器的 IP 或主机名 端口 输入 514。 时区 输入你的时区。 选择“保存” 。
配置 LogRhythm 以收集日志
从 OT 传感器控制台配置转发规则后,配置 LogRhythm 以收集 Defender for IoT 日志。
有关详细信息,请参阅 LogRhythm 文档。