Integración de ArcSight con Microsoft Defender para IoT
En este artículo se describe cómo enviar alertas de Microsoft Defender para IoT a ArcSight. La integración de Defender para IoT con ArcSight proporciona visibilidad sobre la seguridad y resistencia de las redes de OT y un enfoque unificado para la seguridad de TI y OT.
Prerrequisitos
Asegúrese de que cumple los siguientes requisitos previos antes de empezar:
- Acceso a un sensor de OT de Defender para IoT como usuario de Administración. Para obtener más información, consulte Usuarios y roles locales para la supervisión de OT con Defender para IoT.
Configuración del tipo de receptor de ArcSight
Para configurar el servidor de ArcSight y que pueda recibir información de alertas de Defender para IoT:
- Inicie sesión en el servidor de ArcSight.
- Configure el tipo de receptor como receptor CEF UDP.
Para obtener más información, vea la documentación de ArcSight SmartConnectors.
Creación de una regla de reenvío de Defender para IoT
En este procedimiento se describe cómo crear una regla de reenvío desde el sensor de OT para enviar alertas de Defender para IoT desde ese sensor a ArcSight.
Las reglas de alertas de reenvío solo se ejecutan en las alertas desencadenadas después de crear la regla de reenvío. Las alertas que ya están en el sistema desde antes de que se cree la regla de reenvío no se ven afectadas por la regla.
Para obtener más información, consulte Reenvío de información de alertas.
Inicia sesión en la consola del sensor de OT y selecciona Reenvío.
Selecciona + Crear regla nueva.
En el panel Agregar regla de reenvío, define los parámetros de la regla:
Parámetro Descripción Nombre de regla Escriba un nombre significativo para la regla. Minimal alert level (Nivel de alerta mínimo) El incidente de nivel de seguridad mínimo que se va a reenviar. Por ejemplo, si seleccionas Menor, recibirás una notificación sobre todos los incidentes menores, principales y críticos. Any protocol detected (Cualquier protocolo detectado) Desactivar para seleccionar los protocolos que deseas incluir en la regla. Traffic detected by any engine (Tráfico detectado por cualquier motor) Desactivar para seleccionar el tráfico que deseas incluir en la regla. En el área Acciones, defina los siguientes valores:
Parámetro Descripción Server Selecciona ArcSight. Host La dirección del servidor de ArcSight. Puerto El puerto del servidor de ArcSight. Zona horaria Introduce la zona horaria del servidor de ArcSight. Seleccione Guardar para guardar la regla de reenvío.