ArcSight を Microsoft Defender for IoT と統合する

この記事では、Microsoft Defender for IoT アラートを ArcSight に送信する方法について説明します。 Defender for IoT と ArcSight の統合により、OT ネットワークのセキュリティと回復性が可視化され、IT および OT セキュリティに対する統合されたアプローチが提供されます。

前提条件

開始する前に、以下の前提条件を満たしていることを確認してください。

ArcSight レシーバーの種類を構成する

Defender for IoT アラート情報を受信できるように ArcSight サーバー設定を構成するには、次の手順を実行します。

  1. ArcSight サーバーにサインインします。
  2. レシーバーの種類を CEF UDP レシーバーとして構成します。

詳細については、ArcSight SmartConnectors ドキュメントを参照してください。

Defender for IoT 転送ルールを作成する

この手順では、OT センサーから転送ルールを作成し、そのセンサーから ArcSight に Defender for IoT アラートを送信する方法について説明します。

転送アラート ルールは、転送ルールの作成後にトリガーされたアラートに対してのみ実行されます。 転送ルールが作成される前にシステムに既に存在していたアラートは、ルールの影響を受けません。

詳細については、「アラート情報を転送する」を参照してください。

  1. OT センサー コンソールにサインインし、[転送] を選択します。

  2. [+ 新しいルールの作成] を選択します。

  3. [転送ルールの追加] ウィンドウで、ルール パラメーターを定義します。

    新しい転送ルールの作成のスクリーンショット。

    パラメーター 説明
    ルール名 ルールのわかりやすい名前を入力します。
    最小アラート レベル 転送するインシデントの最小セキュリティ レベル。 たとえば、[マイナー] を選択すると、すべてのマイナー、メジャー、および重大インシデントが通知されます。
    検出された任意のプロトコル オフに切り替えて、ルールに含めるプロトコルを選択します。
    任意のエンジンによって検出されたトラフィック オフに切り替えて、ルールに含めるトラフィックを選択します。
  4. [アクション] 領域で、次の値を定義します。

    パラメーター 説明
    [サーバー] [ArcSight] を選択します。
    Host ArcSight サーバーのアドレス。
    ポート ArcSight サーバーのポート。
    タイム ゾーン ArcSight サーバーのタイムゾーンを入力します。
  5. [保存] を選択して転送ルールを保存します。

次のステップ