Bemærk
Adgang til denne side kræver godkendelse. Du kan prøve at logge på eller ændre mapper.
Adgang til denne side kræver godkendelse. Du kan prøve at ændre mapper.
I denne artikel beskrives det, hvordan du sender Microsoft Defender til IoT-beskeder til ArcSight. Integration af Defender for IoT med ArcSight giver indblik i sikkerhed og robusthed i OT-netværk og en samlet tilgang til it- og ot-sikkerhed.
Bemærk!
Defender for IoT planlægger at trække ArcSight-integrationen tilbage den 1. december 2025
Forudsætninger
Før du begynder, skal du sørge for, at du har følgende forudsætninger:
- Adgang til en Defender for IoT OT-sensor som Administration bruger. Du kan få flere oplysninger under Brugere i det lokale miljø og roller til OT-overvågning med Defender for IoT.
Konfigurer ArcSight-modtagertypen
Sådan konfigurerer du dine ArcSight-serverindstillinger, så den kan modtage beskedoplysninger om Defender for IoT:
- Log på din ArcSight-server.
- Konfigurer modtagertypen som en CEF UDP-modtager.
Du kan få flere oplysninger i dokumentationen til ArcSight SmartConnectors.
Opret en defender for IoT-videresendelsesregel
I denne procedure beskrives det, hvordan du opretter en videresendelsesregel fra din OT-sensor for at sende Defender for IoT-beskeder fra den pågældende sensor til ArcSight.
Regler for videresendelse af beskeder køres kun på beskeder, der udløses, når videresendelsesreglen er oprettet. Beskeder, der allerede findes i systemet, før videresendelsesreglen blev oprettet, påvirkes ikke af reglen.
Du kan få flere oplysninger under Videresend beskedoplysninger.
Log på ot-sensorkonsollen, og vælg Videresend.
Vælg + Opret ny regel.
I ruden Tilføj regel for videresendelse skal du definere regelparametrene:
Parameter Beskrivelse Regelnavn Angiv et sigende navn til reglen. Minimalt beskedniveau Den minimale hændelse på sikkerhedsniveau, der skal videresendes. Hvis du f.eks. vælger Underordnet, får du besked om alle mindre, større og kritiske hændelser. Der er registreret en protokol Slå til/fra for at vælge de protokoller, du vil medtage i reglen. Trafik, der registreres af et hvilket som helst program Slå til/fra for at vælge den trafik, du vil medtage i reglen. Definer følgende værdier i området Handlinger :
Parameter Beskrivelse Server Vælg ArcSight. Vært ArcSight-serveradressen. Port ArcSight-serverporten. Tidszone Angiv tidszonen for ArcSight-serveren. Vælg Gem for at gemme videresendelsesreglen.
