Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Поскольку больше предприятий преобразуют системы OT в цифровые ИТ-инфраструктуры, команды центра управления безопасностью (SOC) и основные сотрудники по информационной безопасности (CISOs) все чаще отвечают за обработку угроз из сетей OT.
Мы рекомендуем использовать встроенный соединительданных и решение Microsoft Defender для Интернета вещей, чтобы интегрироваться с Microsoft Sentinel и преодолеть разрыв между проблемой безопасности ИТ и OT.
Однако если у вас есть другие системы управления безопасностью и событиями (SIEM), вы также можете использовать Microsoft Sentinel для пересылки оповещений Defender для облака Интернета вещей в этот партнер SIEM через Microsoft Sentinel и Центры событий Azure.
Хотя в этой статье используется Splunk в качестве примера, можно использовать процесс, описанный ниже, с любым SIEM, поддерживающим прием концентратора событий, например IBM QRadar.
Внимание
Использование Центров событий и правила экспорта Log Analytics может взиматься дополнительная плата. Дополнительные сведения см. в разделе "Цены на центры событий" и цены на экспорт данных журнала.
Необходимые компоненты
Перед началом работы вам потребуется соединитель данных Microsoft Defender для Интернета вещей , установленный в экземпляре Microsoft Sentinel. Дополнительные сведения см. в руководстве по подключению Microsoft Defender для Интернета вещей с помощью Microsoft Sentinel.
Также проверьте все предварительные требования для каждой процедуры, связанной с приведенными ниже инструкциями.
Регистрация приложения в идентификаторе Microsoft Entra
Вам потребуется идентификатор Microsoft Entra, определенный как субъект-служба для надстройки Splunk для Microsoft Облачные службы. Для этого необходимо создать приложение Microsoft Entra с определенными разрешениями.
Чтобы зарегистрировать приложение Microsoft Entra и определить разрешения:
В идентификаторе Microsoft Entra зарегистрируйте новое приложение. На странице "Сертификаты и секреты" добавьте новый секрет клиента для субъекта-службы.
Дополнительные сведения см. в статье "Регистрация приложения с помощью платформа удостоверений Майкрософт
На странице разрешений API приложения предоставьте api разрешения на чтение данных из приложения.
Выберите, чтобы добавить разрешение, а затем выберите >>
Убедитесь, что для вашего разрешения требуется согласие администратора.
Дополнительные сведения см. в статье "Настройка клиентского приложения для доступа к веб-API"
На странице обзора приложения обратите внимание на следующие значения приложения:
- Отображаемое имя
- Application (client) ID (Идентификатор приложения (клиент))
- Идентификатор каталога (клиент)
На странице "Сертификаты и секреты" запишите значения значения секрета клиента и идентификатор секрета.
Создание концентратора событий Azure
Создайте концентратор событий Azure для использования в качестве моста между Microsoft Sentinel и вашим партнером SIEM. Начните этот шаг, создав пространство имен концентратора событий Azure и добавив концентратор событий Azure.
Чтобы создать пространство имен концентратора событий и концентратор событий, выполните приведенные ниже действия.
В Центры событий Azure создайте новое пространство имен концентратора событий. В новом пространстве имен создайте новый концентратор событий Azure.
В концентраторе событий обязательно определите параметры счетчика секций и хранения сообщений.
Дополнительные сведения см. в разделе "Создание концентратора событий" с помощью портал Azure.
В пространстве имен концентратора событий выберите страницу управления доступом (IAM) и добавьте новое назначение роли.
Выберите для использования роли приемника данных Центры событий Azure и добавьте приложение принципа службы Microsoft Entra, созданное ранее в качестве члена.
Дополнительные сведения см. в статье "Назначение ролей Azure с помощью портал Azure".
На странице обзора пространства имен концентратора событий запишите значение имени узла пространства имен.
На странице центров событий концентратора событий запишите имя концентратора событий.
Пересылка инцидентов Microsoft Sentinel в концентратор событий
Чтобы пересылать инциденты или оповещения Microsoft Sentinel в концентратор событий, создайте правило экспорта данных из Azure Log Analytics.
В правиле обязательно определите следующие параметры:
Настройка источника в качестве securityIncident
Настройте назначение в качестве типа события, используя пространство имен концентратора событий и имя концентратора событий, записанное ранее.
Дополнительные сведения см. в разделе Экспорт данных из рабочей области Log Analytics в Azure Monitor.
Настройка Splunk для использования инцидентов Microsoft Sentinel
После настройки концентратора событий и правила экспорта настройте Splunk для использования инцидентов Microsoft Sentinel из концентратора событий.
Установите надстройку Splunk для приложения Microsoft Облачные службы.
В приложении Splunk для Microsoft Облачные службы добавьте учетную запись приложение Azure.
- Введите понятное имя учетной записи.
- Введите идентификатор клиента, секрет клиента и сведения об идентификаторе клиента, записанные ранее.
- Определите тип класса учетной записи в качестве общедоступного облака Azure.
Перейдите к надстройке Splunk для Microsoft Облачные службы входных данных и создайте новые входные данные для концентратора событий Azure.
- Введите понятное имя для входных данных.
- Выберите учетную запись приложение Azure, которую вы только что создали в надстройке Splunk для microsoft Services.
- Введите полное доменное имя пространства имен концентратора событий и имя концентратора событий.
Оставьте другие параметры в качестве значений по умолчанию.
После начала приема данных в Splunk из концентратора событий запросите данные с помощью следующего значения в поле поиска:
sourcetype="mscs:azure:eventhub"