ArcSight を Microsoft Defender for IoT と統合する
この記事では、Microsoft Defender for IoT アラートを ArcSight に送信する方法について説明します。 Defender for IoT と ArcSight の統合により、OT ネットワークのセキュリティと回復性が可視化され、IT および OT セキュリティに対する統合されたアプローチが提供されます。
前提条件
開始する前に、以下の前提条件を満たしていることを確認してください。
- 管理者ユーザーとして Defender for IoT OT センサーへアクセスする。 詳細については、Defender for IoT を使用した OT 監視のためのオンプレミスのユーザーとロールに関するページを参照してください。
ArcSight レシーバーの種類を構成する
Defender for IoT アラート情報を受信できるように ArcSight サーバー設定を構成するには、次の手順を実行します。
- ArcSight サーバーにサインインします。
- レシーバーの種類を CEF UDP レシーバーとして構成します。
詳細については、ArcSight SmartConnectors ドキュメントを参照してください。
Defender for IoT 転送ルールを作成する
この手順では、OT センサーから転送ルールを作成し、そのセンサーから ArcSight に Defender for IoT アラートを送信する方法について説明します。
転送アラート ルールは、転送ルールの作成後にトリガーされたアラートに対してのみ実行されます。 転送ルールが作成される前にシステムに既に存在していたアラートは、ルールの影響を受けません。
詳細については、「アラート情報を転送する」を参照してください。
OT センサー コンソールにサインインし、[転送] を選択します。
[+ 新しいルールの作成] を選択します。
[転送ルールの追加] ウィンドウで、ルール パラメーターを定義します。
パラメーター 説明 ルール名 ルールのわかりやすい名前を入力します。 最小アラート レベル 転送するインシデントの最小セキュリティ レベル。 たとえば、[マイナー] を選択すると、すべてのマイナー、メジャー、および重大インシデントが通知されます。 検出された任意のプロトコル オフに切り替えて、ルールに含めるプロトコルを選択します。 任意のエンジンによって検出されたトラフィック オフに切り替えて、ルールに含めるトラフィックを選択します。 [アクション] 領域で、次の値を定義します。
パラメーター 説明 [サーバー] [ArcSight] を選択します。 Host ArcSight サーバーのアドレス。 ポート ArcSight サーバーのポート。 タイム ゾーン ArcSight サーバーのタイムゾーンを入力します。 [保存] を選択して転送ルールを保存します。
