將 RSA NetWitness 與適用於 IoT 的 Microsoft Defender 整合
本文說明如何將適用於 IoT 警示的 Microsoft Defender 傳送至 RSA NetWitness。 將適用於 IoT 的 Defender 與 NetWitness 整合,可觀察到 OT 網路的安全性及復原能力,以及 IT 與 OT 安全性之整合方法。
必要條件
開始之前,請先確定您已擁有下列必要條件:
以管理使用者身分存取適用於 IoT 的 Defender OT 感應器。 如需詳細資訊,請參閱使用適用於 IoT 的 Defender 進行 OT 監視的內部部署使用者和角色。
從支援「常見事件格式 (CEF)」的來源 NetWitness 組態以收集事件。 如需更多詳細資訊,請參閱 CyberX 平台 -「RSA NetWitness CEF 剖析器實作指南」。
建立適用於 IoT 轉接規則的 Defender
本程序說明如何從 OT 感應器建立轉接規則,將適用於 IoT 警示的 Defender 自該感應器傳送至 NetWitness。
轉送警示規則只會在建立轉送規則之後觸發的警示上執行。 在建立轉送規則之前,系統中已有的警示不會受到規則的影響。
如需更多詳細資訊,請參閱轉接警示資訊。
登入您的 OT 感應器主控台,然後選取 [轉送]。
選取 [+ 建立新規則]。
在 [新增轉送規則] 窗格中,定義規則參數:
參數 描述 規則名稱 為規則輸入有意義的名稱。 最小警示等級 要轉送的最低安全性層級事件。 例如,若您選取 [次要],就會收到所有次要、主要以及危急事件的通知。 任何偵測到的通訊協定 切換為關閉,以選取要包含在規則中的通訊協定。 任何引擎偵測到的流量 切換為關閉,以選取要包含在規則中的流量。 在 [動作] 區域中,定義下列各值:
參數 Description Server 選取 [NetWitness]。 主機 NetWitness 主機名稱。 通訊埠 NetWitness 連接埠。 時區 輸入您的 NetWitness 時區。 選取 [儲存],儲存轉寄規則。
