Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
In diesem Artikel wird beschrieben, wie Sie Microsoft Defender für IoT-Warnungen an LogRhythm senden. Die Integration von Defender für IoT in LogRhythm bietet Einblick in die Sicherheit und Resilienz von OT-Netzwerken sowie einen einheitlichen Ansatz für IT- und OT-Sicherheit.
Voraussetzungen
Stellen Sie zunächst sicher, dass die folgenden Voraussetzungen erfüllt sind:
- Zugriff auf einen Defender für IoT OT-Sensor als Admin Benutzer. Weitere Informationen finden Sie unter Lokale Benutzer und Rollen für die OT-Überwachung mit Defender für IoT.
Erstellen einer Defender für IoT-Weiterleitungsregel
In diesem Verfahren wird beschrieben, wie Sie eine Weiterleitungsregel von Ihrem OT-Sensor erstellen, um Defender für IoT-Warnungen von diesem Sensor an LogRhythm zu senden.
Weiterleitungswarnungsregeln werden nur bei Warnungen ausgeführt, die ausgelöst werden, nachdem die Weiterleitungsregel erstellt wurde. Warnungen, die sich bereits im System befinden, bevor die Weiterleitungsregel erstellt wurde, sind von der Regel nicht betroffen.
Weitere Informationen finden Sie unter Weiterleiten von Warnungsinformationen.
Melden Sie sich bei Ihrer OT-Sensorkonsole an, und wählen Sie Weiterleitung aus.
Wählen Sie + Neue Regel erstellen aus.
Definieren Sie im Bereich Weiterleitungsregel hinzufügen die Regelparameter:
Parameter Beschreibung Regelname Geben Sie einen aussagekräftigen Namen für Ihre Regel ein. Minimale Warnungsstufe Der incident der minimalen Sicherheitsstufe, der weitergeleitet werden soll. Wenn Sie z. B. "Nebenwert" auswählen, werden Sie über alle minderjährigen, größeren und kritischen Vorfälle benachrichtigt. Ein beliebiges Protokoll erkannt Deaktivieren Sie die Option, um die Protokolle auszuwählen, die Sie in die Regel einschließen möchten. Datenverkehr, der von einer beliebigen Engine erkannt wird Deaktivieren Sie , um den Datenverkehr auszuwählen, den Sie in die Regel einschließen möchten. Definieren Sie im Bereich Aktionen die folgenden Werte:
Parameter Beschreibung Server Wählen Sie eine SYSLOG-Serveroption aus, z. B. SYSLOG Server (LEEF-Format). Host Die IP-Adresse oder der Hostname Ihres LogRhythm-Collectors Port Geben Sie 514 ein. Zeitzone Geben Sie Ihre Zeitzone ein. Klicken Sie auf Speichern.
Konfigurieren von LogRhythm zum Sammeln von Protokollen
Nachdem Sie eine Weiterleitungsregel über Ihre OT-Sensorkonsole konfiguriert haben, konfigurieren Sie LogRhythm, um Ihre Defender für IoT-Protokolle zu erfassen.
Weitere Informationen finden Sie in der LogRhythm-Dokumentation.