Bemærk
Adgang til denne side kræver godkendelse. Du kan prøve at logge på eller ændre mapper.
Adgang til denne side kræver godkendelse. Du kan prøve at ændre mapper.
Efterhånden som flere virksomheder konverterer OT-systemer til digitale it-infrastrukturer, er SOC-teams (Security Operations Center) og CISOs (Chief Information Security Officer) i stigende grad ansvarlige for håndtering af trusler fra OT-netværk.
Vi anbefaler, at du bruger Microsoft Defender til IoT's indbyggede dataconnector og -løsning til at integrere med Microsoft Sentinel og bygge bro mellem sikkerhedsudfordringen it og håndkøb.
Men hvis du har andre SIEM-systemer (security information and event management), kan du også bruge Microsoft Sentinel til at videresende Defender for IoT-cloudbeskeder til den pågældende partner SIEM via Microsoft Sentinel og Azure Event Hubs.
Selvom denne artikel bruger Splunk som eksempel, kan du bruge den proces, der er beskrevet nedenfor, sammen med en SIEM, der understøtter hændelseshubindtagelse, f.eks. IBM QRadar.
Vigtigt!
Der kan påløbe yderligere gebyrer ved hjælp af Event Hubs og en Log Analytics-eksportregel. Du kan finde flere oplysninger under Priser på Event Hubs og Log Data Export-priser.
Forudsætninger
Før du starter, skal du have Microsoft Defender til IoT-dataconnector installeret i din Microsoft Sentinel forekomst. Du kan få flere oplysninger under Selvstudium: Opret forbindelse Microsoft Defender til IoT med Microsoft Sentinel.
Kontrollér også eventuelle forudsætninger for hver af de procedurer, der er tilknyttet i nedenstående trin.
Registrer et program i Microsoft Entra ID
Du skal have Microsoft Entra ID defineret som en tjenesteprincipal for Splunk-tilføjelsesprogrammet til Microsoft Cloud Services. Hvis du vil gøre dette, skal du oprette et Microsoft Entra program med bestemte tilladelser.
Sådan registrerer du et Microsoft Entra program og definerer tilladelser:
Registrer et nyt program i Microsoft Entra ID. På siden Certifikater & hemmeligheder skal du tilføje en ny klienthemmelighed for tjenesteprincipalen.
Du kan få flere oplysninger under Registrer et program på Microsoft-identitetsplatform
På siden med API-tilladelser for din app skal du give API-tilladelser til at læse data fra din app.
Vælg for at tilføje en tilladelse, og vælg derefter Microsoft Graph>Application permissions>SecurityEvents.ReadWrite.All>Add permissions.
Sørg for, at der kræves administratorsamtykke for din tilladelse.
Du kan få flere oplysninger under Konfigurer et klientprogram for at få adgang til en web-API
På siden Oversigt for din app skal du bemærke følgende værdier for din app:
- Vist navn
- Program-id (klient)
- Mappe-id (lejer)
På siden Certifikater & hemmeligheder skal du bemærke værdierne for værdien af din klienthemmelighed og dit hemmelige id.
Opret en Azure hændelseshub
Opret en Azure hændelseshub, der skal bruges som bro mellem Microsoft Sentinel og din partner SIEM. Start dette trin ved at oprette et Azure hændelseshub-navneområde, og tilføj derefter en Azure hændelseshub.
Sådan opretter du navneområdet og hændelseshubben for din hændelseshub:
Opret et nyt navneområde for hændelseshubben i Azure Event Hubs. Opret en ny Azure hændelseshub i dit nye navneområde.
I din hændelseshub skal du sørge for at definere indstillingerne partitionsantal og meddelelsesopbevaring .
Du kan få flere oplysninger under Opret en hændelseshub ved hjælp af Azure Portal.
I navneområdet for din hændelseshub skal du vælge siden Adgangskontrol (IAM) og tilføje en ny rolletildeling.
Vælg at bruge rollen Azure Event Hubs Data Receiver, og tilføj den Microsoft Entra tjenesteprincipapp, du tidligere har oprettet som medlem.
Du kan få flere oplysninger under: Tildel Azure roller ved hjælp af Azure Portal.
På siden Oversigt for dit hændelseshub-navneområde skal du notere navneområdets værtsnavnværdi .
På event hub-navneområdets Event Hubs-side skal du notere navnet på din hændelseshub.
Videresend Microsoft Sentinel hændelser til din hændelseshub
Hvis du vil videresende Microsoft Sentinel hændelser eller beskeder til din hændelseshub, skal du oprette en regel for dataeksport fra Azure Log Analytics.
I din regel skal du sørge for at definere følgende indstillinger:
Konfigurer kilden som SecurityIncident
Konfigurer destinationen som hændelsestype ved hjælp af navneområdet for hændelseshubben og det hændelseshubnavn, du tidligere har optaget.
Du kan finde flere oplysninger under Eksport af data i Log Analytics-arbejdsområdet i Azure Monitor.
Konfigurer Splunk til at forbruge Microsoft Sentinel hændelser
Når du har konfigureret din hændelseshub og en eksportregel, skal du konfigurere Splunk til at forbruge Microsoft Sentinel hændelser fra hændelseshubben.
Installér Splunk-tilføjelsesprogrammet til Microsoft Cloud Services-appen.
Tilføj en Azure App-konto i Splunk-tilføjelsesprogrammet til Microsoft Cloud Services-appen.
- Angiv et sigende navn til kontoen.
- Angiv oplysninger om klient-id, klienthemmelighed og lejer-id, som du tidligere har registreret.
- Definer kontoklassetypen som Azure Public Cloud.
Gå til Splunk-tilføjelsesprogrammet til Microsoft Cloud Services input, og opret et nyt input til din Azure hændelseshub.
- Angiv et sigende navn til dit input.
- Vælg den Azure appkonto, du lige har oprettet i Splunk-tilføjelsesprogrammet til Microsoft Services-appen.
- Angiv navnet på dit hændelseshub-navneområde FQDN og navnet på hændelseshubben.
Lad andre indstillinger være deres standardindstillinger.
Når data begynder at blive hentet til Splunk fra din hændelseshub, skal du forespørge dataene ved hjælp af følgende værdi i søgefeltet:
sourcetype="mscs:azure:eventhub"