Edytuj

Udostępnij za pośrednictwem

Alerty usługi Stream Defender for IoT w chmurze do rozwiązania SIEM partnera

  • Porady

W miarę jak coraz więcej firm konwertuje systemy OT na cyfrowe infrastruktury IT, zespoły centrum operacji zabezpieczeń zabezpieczeń (SOC) i główny oficer bezpieczeństwa informacji (CISO) są coraz bardziej odpowiedzialne za obsługę zagrożeń z sieci OT.

Zalecamy używanie gotowego łącznika danych usługi Microsoft Defender for IoT i rozwiązania do integracji z usługą Microsoft Sentinel i wypełnienia luki między wyzwaniem zabezpieczeń IT i OT.

Jeśli jednak masz inne systemy zarządzania informacjami i zdarzeniami zabezpieczeń (SIEM), możesz również użyć usługi Microsoft Sentinel do przekazywania alertów usługi Defender for IoT w chmurze do tego partnera SIEM za pośrednictwem usług Microsoft Sentinel i Azure Event Hubs.

Chociaż w tym artykule użyto narzędzia Splunk jako przykładu, możesz użyć opisanego poniżej procesu z dowolnym rozwiązaniem SIEM obsługującym pozyskiwanie centrum zdarzeń, takim jak IBM QRadar.

Ważne

Korzystanie z usługi Event Hubs i reguły eksportu usługi Log Analytics może spowodować naliczanie dodatkowych opłat. Aby uzyskać więcej informacji, zobacz Cennik usługi Event Hubs i Cennik eksportu danych dzienników.

Wymagania wstępne

Przed rozpoczęciem będziesz potrzebować łącznika danych usługi Microsoft Defender for IoT zainstalowanego w wystąpieniu usługi Microsoft Sentinel. Aby uzyskać więcej informacji, zobacz Samouczek: łączenie usługi Microsoft Defender dla IoT z usługą Microsoft Sentinel.

Sprawdź również wszelkie wymagania wstępne dotyczące każdej procedury połączonej w poniższych krokach.

Rejestrowanie aplikacji w identyfikatorze Entra firmy Microsoft

Będziesz potrzebować identyfikatora Entra firmy Microsoft zdefiniowanego jako jednostka usługi dla dodatku Splunk dla usług Microsoft Cloud Services. W tym celu należy utworzyć aplikację firmy Microsoft Entra z określonymi uprawnieniami.

Aby zarejestrować aplikację Firmy Microsoft Entra i zdefiniować uprawnienia:

  1. W usłudze Microsoft Entra ID zarejestruj nową aplikację. Na stronie Certyfikaty i wpisy tajne dodaj nowy klucz tajny klienta dla jednostki usługi.

    Aby uzyskać więcej informacji, zobacz Rejestrowanie aplikacji przy użyciu Platforma tożsamości Microsoft

  2. Na stronie uprawnień interfejsu API aplikacji przyznaj uprawnienia interfejsu API do odczytu danych z aplikacji.

    • Wybierz pozycję , aby dodać uprawnienie, a następnie wybierz pozycję Microsoft Graph>Application permissions>SecurityEvents.ReadWrite.All>Dodaj uprawnienia.

    • Upewnij się, że zgoda administratora jest wymagana dla Twojego uprawnienia.

    Aby uzyskać więcej informacji, zobacz Konfigurowanie aplikacji klienckiej w celu uzyskania dostępu do internetowego interfejsu API

  3. Na stronie Przegląd aplikacji zanotuj następujące wartości dla aplikacji:

    • Nazwa wyświetlana
    • Identyfikator aplikacji (klienta)
    • Identyfikator katalogu (dzierżawy)

  4. Na stronie Certyfikaty i wpisy tajne zanotuj wartości klucza tajnego klienta i identyfikator wpisu tajnego.

Tworzenie centrum zdarzeń platformy Azure

Utwórz centrum zdarzeń platformy Azure do użycia jako most między usługą Microsoft Sentinel i partnerem SIEM. Rozpocznij ten krok, tworząc przestrzeń nazw centrum zdarzeń platformy Azure, a następnie dodając centrum zdarzeń platformy Azure.

Aby utworzyć przestrzeń nazw centrum zdarzeń i centrum zdarzeń:

  1. W usłudze Azure Event Hubs utwórz nową przestrzeń nazw centrum zdarzeń. W nowej przestrzeni nazw utwórz nowe centrum zdarzeń platformy Azure.

    W centrum zdarzeń upewnij się, że zdefiniowano ustawienia Liczba partycji i Przechowywanie komunikatów.

    Aby uzyskać więcej informacji, zobacz Tworzenie centrum zdarzeń przy użyciu witryny Azure Portal.

  2. W przestrzeni nazw centrum zdarzeń wybierz stronę Kontrola dostępu (IAM) i dodaj nowe przypisanie roli.

    Wybierz, aby użyć roli odbiornika danych usługi Azure Event Hubs, a następnie dodaj aplikację jednostki usługi Microsoft Entra, która została utworzona wcześniej jako członek.

    Aby uzyskać więcej informacji, zobacz Przypisywanie ról platformy Azure przy użyciu witryny Azure Portal.

  3. Na stronie Przegląd przestrzeni nazw centrum zdarzeń zanotuj wartość nazwy hosta przestrzeni nazw.

  4. Na stronie usługi Event Hubs przestrzeni nazw centrum zdarzeń zanotuj nazwę centrum zdarzeń.

Przekazywanie zdarzeń usługi Microsoft Sentinel do centrum zdarzeń

Aby przekazać zdarzenia lub alerty usługi Microsoft Sentinel do centrum zdarzeń, utwórz regułę eksportu danych z usługi Azure Log Analytics.

W regule upewnij się, że zdefiniowano następujące ustawienia:

  1. Konfigurowanie źródła jako securityIncident

  2. Skonfiguruj lokalizację docelową jako typ zdarzenia przy użyciu przestrzeni nazw centrum zdarzeń i zarejestrowanej wcześniej nazwy centrum zdarzeń.

    Aby uzyskać więcej informacji, zobacz Eksportowanie danych obszaru roboczego usługi Log Analytics w usłudze Azure Monitor.

Konfigurowanie rozwiązania Splunk do korzystania ze zdarzeń usługi Microsoft Sentinel

Po skonfigurowaniu centrum zdarzeń i reguły eksportu skonfiguruj rozwiązanie Splunk w celu korzystania ze zdarzeń usługi Microsoft Sentinel z centrum zdarzeń.

  1. Zainstaluj dodatek Splunk dla aplikacji Microsoft Cloud Services.

  2. W aplikacji Splunk dla usług Microsoft Cloud Services dodaj konto aplikacja systemu Azure.

    1. Wprowadź zrozumiałą nazwę konta.
    2. Wprowadź identyfikator klienta, wpis tajny klienta i identyfikator dzierżawy, które zostały zarejestrowane wcześniej.
    3. Zdefiniuj typ klasy konta jako chmurę publiczną platformy Azure.

  3. Przejdź do dodatku Splunk dla danych wejściowych usług Microsoft Cloud Services i utwórz nowe dane wejściowe dla centrum zdarzeń platformy Azure.

    1. Wprowadź zrozumiałą nazwę danych wejściowych.
    2. Wybierz konto aplikacja systemu Azure, które zostało właśnie utworzone w aplikacji Splunk dla usług firmy Microsoft.
    3. Wprowadź nazwę FQDN przestrzeni nazw centrum zdarzeń i nazwę centrum zdarzeń.

    Pozostaw inne ustawienia jako wartości domyślne.

    Po rozpoczęciu pozyskiwania danych do rozwiązania Splunk z centrum zdarzeń wykonaj zapytanie o dane przy użyciu następującej wartości w polu wyszukiwania: sourcetype="mscs:azure:eventhub"

Powiązana zawartość