Transférer les informations des alertes OT locales
Les alertes de Microsoft Defender pour IoT améliorent la sécurité réseau et les opérations avec des informations en temps réel sur des événements journalisés dans votre réseau. Les alertes OT sont déclenchées quand des capteurs réseau OT détectent des changements ou des activités suspectes dans le trafic réseau qui demandent votre attention.
Cet article explique comment configurer votre capteur OT pour transférer des alertes à des services partenaires, des serveurs Syslog, des adresses e-mail, etc. Les informations des alertes transférées incluent des informations détaillées comme :
- Date et heure de l’alerte
- Moteur ayant détecté l’événement
- Titre de l’alerte et message descriptif
- Gravité de l’alerte
- Nom et adresse IP de la source et de la destination
- Trafic suspect détecté
- les capteurs déconnectés
- les échecs de sauvegarde à distance
Notes
Les règles de transfert d’alerte s’exécutent seulement sur les alertes déclenchées après la création de la règle de transfert. Les alertes déjà présentes dans le système avant la création de la règle de transfert ne sont pas affectées par cette règle.
Prérequis
Selon l’emplacement où vous voulez créer vos règles d’alerte de transfert, vous devez avoir un capteur réseau OT installé avec un accès d’utilisateur Administrateur.
Pour plus d’informations, consultez Installer un logiciel de supervision OT sans agent et Utilisateurs et rôles locaux pour la supervision OT avec Defender pour IoT.
Vous devez également définir les paramètres SMTP sur le capteur OT.
Pour plus d’informations, consultez Configurer les paramètres du serveur de courrier SMTP sur un capteur OT.
Créer des règles de transfert sur un capteur OT
Connectez-vous au capteur OT et sélectionnez Transfert dans le menu de gauche >+ Créer une règle.
Dans le volet Ajouter une règle de transfert, entrez un nom de règle explicite, puis définissez les conditions et les actions de la règle comme suit :
Nom Description Niveau d’alerte minimal Sélectionnez le niveau de gravité d’alerte minimal que vous voulez transférer.
Par exemple, si vous sélectionnez Mineur, les alertes mineures et toute alerte supérieure à ce niveau de gravité sont transférées.Tous les protocoles détectés Activez ce paramètre pour transférer les alertes concernant le trafic de tous les protocoles, ou désactivez-le et sélectionnez les protocoles spécifiques que vous voulez inclure. Trafic détecté par n’importe quel moteur Activez ce paramètre pour transférer les alertes provenant de tous les moteurs d’analytique, ou désactivez-le et sélectionnez les moteurs spécifiques que vous voulez inclure. Actions Sélectionnez le type de serveur auquel vous voulez transférer des alertes, puis définissez toutes les autres informations nécessaires pour ce type de serveur.
Pour ajouter plusieurs serveurs à la même règle, sélectionnez + Ajouter un serveur et ajoutez plus d’informations.
Pour plus d’informations, consultez Configurer des actions de règle de transfert d’alerte.Quand vous avez terminé de configurer la règle, sélectionnez Enregistrer. La règle est listée dans la page Transfert.
Testez la règle que vous avez créée :
- Sélectionnez le menu d’options (...) pour votre règle >Envoyer un message de test.
- Accédez au service cible pour vérifier que les informations envoyées par le capteur ont été reçues.
Modifier ou supprimer des règles de transfert sur un capteur OT
Pour modifier ou supprimer une règle existante :
Connectez-vous à votre capteur OT et sélectionnez Transfert dans le menu de gauche.
Sélectionnez le menu d’options (...) pour votre règle, puis effectuez une des actions suivantes :
Sélectionnez Modifier et mettez à jour les champs selon les besoins. Quand vous avez terminé, sélectionnez Enregistrer.
Sélectionnez Supprimer>Oui pour confirmer la suppression.
Configurer des actions de règle de transfert d’alerte
Cette section explique comment configurer les paramètres pour les actions de règle de transfert prises en charge sur un capteur OT.
Action d’adresse e-mail
Configurez une action E-mail pour transférer les données d’alerte à l’adresse e-mail configurée.
Dans la zone Actions, entrez les informations suivantes :
| Nom | Description |
|---|---|
| Serveur | Sélectionnez E-mail. |
| Entrez l’adresse e-mail à laquelle vous voulez transférer les alertes. Chaque règle prend en charge une seule adresse e-mail. | |
| Fuseau horaire | Sélectionnez le fuseau horaire que vous voulez utiliser pour la détection d’alerte dans le système cible. |
Actions du serveur Syslog
Configurez une action de serveur Syslog pour transférer les données d’alerte au type de serveur Syslog sélectionné.
Dans la zone Actions, entrez les informations suivantes :
| Nom | Description |
|---|---|
| Serveur | Sélectionnez un des types suivants de format Syslog : - Serveur SYSLOG (Format CEF) - Serveur SYSLOG (Format LEEF) - Serveur SYSLOG (Objet) - Serveur SYSLOG (SMS) |
| Hôte / Port | Entrez le nom d’hôte et le port du serveur Syslog |
| Fuseau horaire | Sélectionnez le fuseau horaire que vous voulez utiliser pour la détection d’alerte dans le système cible. |
| Protocole | Pris en charge seulement pour les SMS. Sélectionnez TCP ou UDP. |
| Activer le chiffrement | Pris en charge seulement pour le format CEF. Activez ce paramètre pour configurer un fichier de certificat de chiffrement TLS, un fichier de clé et une phrase secrète. |
Les sections suivantes décrivent la syntaxe de sortie de Syslog pour chaque format.
Champs de sortie des SMS à Syslog
| Nom | Description |
|---|---|
| Priority | User. Alerte |
| Message | Nom de la plateforme CyberX : nom du capteur. Alerte Microsoft Defender pour IoT : titre de l’alerte. Type : type de l’alerte. Peut être Violation de protocole, Violation de stratégie, Programme malveillant, Anomalie ou Opérationnelle. Gravité : gravité de l’alerte. Peut être Avertissement, Mineur, Majeur ou Critique. Source : nom de l’appareil source. IP source : Adresse IP de l’appareil source. Protocole (facultatif) : protocole source détecté. Adresse (facultatif) : adresse du protocole source. Destination : nom de l’appareil de destination. IP de destination : Adresse IP de l’appareil de destination. Protocole (facultatif) : protocole de destination détecté. Adresse (facultatif) : adresse du protocole de destination. Message : message de l’alerte. Groupe d’alertes : Groupe d’alertes associé à l’alerte. UUID (facultatif) : UUID de l’alerte. |
Champs de sortie Objet Syslog
| Nom | Description |
|---|---|
| Priority | User.Alert |
| Date et heure | Date et heure auxquelles le serveur Syslog a reçu les informations. |
| HostName | IP du capteur |
| Message | Nom du capteur : nom de l’appliance. Heure de l’alerte : heure à laquelle l’alerte a été détectée. Peut différer de l’heure de la machine du serveur Syslog et dépend de la configuration du fuseau horaire de la règle de transfert. Titre de l’alerte : Titre de l’alerte. Message d’alerte : Message de l’alerte. Gravité d’alerte : Avertissement, Mineure, Majeure ou Critique. Type d’alerte : Violation de protocole, Violation de stratégie, Programme malveillant, Anomalie ou Opérationnelle. Protocole : protocole de l’alerte. Source_MAC : Adresse IP, nom, fournisseur ou système d’exploitation de l’appareil source. Destination_MAC : Adresse IP, nom, fournisseur ou système d’exploitation de l’appareil de destination. Si des données sont manquantes, la valeur est N/A. alert_group : Groupe d’alertes associé à l’alerte. |
Champs de sortie CEF Syslog
| Nom | Description |
|---|---|
| Priority | User.Alert |
| Date et heure | Date et heure auxquelles le capteur a envoyé les informations, au format UTC |
| Nom d’hôte | Nom d’hôte du capteur |
| Message | CEF:0 Microsoft Defender pour IoT/CyberX Nom du capteur Version du capteur Alerte Microsoft Defender pour IoT Titre de l’alerte Indication sous forme d’entier de la sévérité. 1 = Avertissement, 4 = Mineur, 8 = Majeur ou 10 = Critique. msg : message de l’alerte. protocol : protocole de l’alerte. severity : Avertissement, Mineur, Majeur ou Critique. type : Violation de protocole, Violation de stratégie, Programme malveillant, Anomalie ou Opérationnelle. UUID = UUID de l’alerte (facultatif) start : heure à laquelle l’alerte a été détectée. Peut varier de l’heure du serveur Syslog et dépend de la configuration du fuseau horaire de la règle de transfert. src_ip : Adresse IP de l’appareil source. (facultatif) src_mac : Adresse MAC de l’appareil source. (facultatif) dst_ip : Adresse IP de l’appareil de destination. (facultatif) dst_mac : Adresse MAC de l’appareil de destination. (facultatif) cat : Groupe d’alertes associé à l’alerte. |
Champs de sortie LEEF Syslog
| Nom | Description |
|---|---|
| Priority | User.Alert |
| Date et heure | Date et heure auxquelles le capteur a envoyé les informations, au format UTC |
| HostName | IP du capteur |
| Message | Nom du capteur : nom de l’appliance Microsoft Defender pour IoT. LEEF:1.0 Microsoft Defender pour IoT Capteur Version du capteur Alerte Microsoft Defender pour IoT titre : titre de l’alerte. msg : message de l’alerte. protocole : Protocole de l’alerte. gravité : Avertissement, Mineure, Majeure ou Critique. type : type de l’alerte : Violation de protocole, Violation de stratégie, Programme malveillant, Anomalie ou Opérationnelle. start : Heure de l’alerte. Elle peut être différente de l’heure de la machine du serveur Syslog et dépend de la configuration du fuseau horaire. src_ip : Adresse IP de l’appareil source. dst_ip : Adresse IP de l’appareil de destination. cat : Groupe d’alertes associé à l’alerte. |
Action NetWitness
Configurez une action NetWitness pour envoyer des informations d’alerte à un serveur NetWitness.
Dans la zone Actions, entrez les informations suivantes :
| Nom | Description |
|---|---|
| Serveur | Sélectionnez NetWitness. |
| Nom d’hôte / Port | Entrez le nom d’hôte et le port du serveur NetWitness. |
| Fuseau horaire | Entrez le fuseau horaire que vous voulez utiliser dans l’horodatage pour la détection d’alerte au niveau du SIEM. |
Configurer les règles de transfert pour les intégrations de partenaire
Vous pouvez intégrer Defender pour IoT à un service de partenaire pour envoyer des informations d’alerte ou d’inventaire d’appareils à un autre système de sécurité ou de gestion des appareils, ou pour communiquer avec des pare-feu côté partenaire.
Les intégrations de partenaire permettent de faire le pont entre des solutions de sécurité auparavant cloisonnées, d’améliorer la visibilité des appareils et d’accélérer la réponse à l’échelle du système afin d’atténuer plus rapidement les risques.
Dans ce cas, utilisez des Actions prises en charge afin d’entrer les informations d’identification et d’autres informations nécessaires pour communiquer avec les services de partenaire intégrés.
Pour plus d’informations, consultez l’article suivant :
Configurer des groupes d’alertes dans des services partenaires
Quand vous configurez des règles de transfert pour envoyer des données d’alerte à des serveurs Syslog, QRadar et ArcSight, des groupes d’alertes sont appliqués automatiquement et sont disponibles dans ces serveurs partenaires.
Les groupes d’alertes aident les équipes SOC qui utilisent ces solutions partenaires à gérer les alertes en fonction des stratégies de sécurité et des priorités métier des entreprises. Par exemple, les alertes relatives aux nouvelles détections sont organisées dans un groupe découverte qui comprend toutes les alertes concernant les nouveaux appareils, les nouveaux VLAN, les nouveaux comptes d’utilisateur, les nouvelles adresses MAC, etc.
Les groupes d’alertes apparaissent dans les services partenaires avec les préfixes suivants :
| Préfixe | Service partenaire |
|---|---|
cat |
QRadar, ArcSight, CEF Syslog, LEEF Syslog |
Alert Group |
SMS Syslog |
alert_group |
Objets Syslog |
Pour utiliser des groupes d’alertes dans votre intégration, veillez à configurer vos services partenaires pour qu’ils affichent le nom du groupe d’alertes.
Par défaut, les alertes sont regroupées comme suit :
- Comportement de communication anormal
- Alertes personnalisées
- Accès à distance
- Comportement de communication HTTP anormal
- Découverte
- Commandes de redémarrage et d’arrêt
- Authentification
- Modification du microprogramme
- Analyser
- Comportement de communication non autorisé
- Commandes non conformes
- Trafic de capteur
- Anomalies de la bande passante
- Accès à Internet
- Suspicion de programme malveillant
- Dépassement de capacité de la mémoire tampon
- Échecs d’opération
- Suspicion d’activité malveillante
- Échecs de commande
- Problèmes de fonctionnement
- Modifications de configuration
- Programmation
Pour plus d’informations et pour créer des groupes d’alertes personnalisés, contactez le Support Microsoft.
Résoudre les problèmes liés aux règles de transfert
Si vos règles d’alerte de transfert ne fonctionnent pas comme prévu, vérifiez les éléments suivants :
Validation du certificat Les règles de transfert pour CEF Syslog, Microsoft Sentinel et QRadar prennent en charge le chiffrement et la validation de certificat.
Si vos capteurs OT sont configurés pour valider les certificats et que le certificat ne peut pas être vérifié, les alertes ne sont pas transférées.
Dans ce cas, le capteur est le client et l’initiateur de la session. Les certificats sont généralement reçus du serveur ou utilisent le chiffrement asymétrique, où un certificat spécifique est fourni pour configurer l’intégration.