Integrar o ArcSight com Microsoft Defender para IoT

Este artigo descreve como enviar Microsoft Defender para alertas IoT para o ArcSight. A integração do Defender para IoT com o ArcSight fornece visibilidade sobre a segurança e resiliência das redes OT e uma abordagem unificada à segurança de TI e OT.

Pré-requisitos

Antes de começar, certifique-se de que tem os seguintes pré-requisitos:

Configurar o tipo de recetor do ArcSight

Para configurar as definições do servidor do ArcSight para que possa receber informações de alerta do Defender para IoT:

  1. Inicie sessão no servidor do ArcSight.
  2. Configure o tipo de recetor como Recetor UDP ceF.

Para obter mais informações, veja a Documentação do ArcSight SmartConnectors.

Criar uma regra de reencaminhamento do Defender para IoT

Este procedimento descreve como criar uma regra de reencaminhamento a partir do sensor OT para enviar alertas do Defender para IoT desse sensor para o ArcSight.

As regras de reencaminhamento de alertas são executadas apenas em alertas acionados após a criação da regra de reencaminhamento. Os alertas já existentes no sistema antes da criação da regra de reencaminhamento não são afetados pela regra.

Para obter mais informações, veja Reencaminhar informações de alerta.

  1. Inicie sessão na consola do sensor de OT e selecione Reencaminhamento.

  2. Selecione + Criar nova regra.

  3. No painel Adicionar regra de reencaminhamento , defina os parâmetros da regra:

    Captura de ecrã a mostrar a criação de uma nova regra de reencaminhamento.

    Parâmetro Description
    Nome da regra Introduza um nome relevante para a sua regra.
    Nível de alerta mínimo O incidente de nível de segurança mínimo a reencaminhar. Por exemplo, se selecionar Menor, será notificado sobre todos os incidentes menores, principais e críticos.
    Qualquer protocolo detetado Desative para selecionar os protocolos que pretende incluir na regra.
    Tráfego detetado por qualquer motor Desative para selecionar o tráfego que pretende incluir na regra.
  4. Na área Ações , defina os seguintes valores:

    Parâmetro Description
    Servidor Selecione ArcSight.
    Anfitrião O endereço do servidor do ArcSight.
    Porta A porta do servidor do ArcSight.
    Fuso horário Introduza o fuso horário do servidor arcSight.
  5. Selecione Guardar para guardar a regra de reencaminhamento.

Passos seguintes