Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Da immer mehr Unternehmen OT-Systeme auf digitale IT-Infrastrukturen umstellen, sind SOC-Teams (Security Operations Center) und Chief Information Security Officer (CISOs) zunehmend für den Umgang mit Bedrohungen aus OT-Netzwerken verantwortlich.
Es wird empfohlen, Microsoft Defender für den sofort einsatzbereiten Datenconnector und die Lösung von IoT zu verwenden, um in Microsoft Sentinel zu integrieren und die Lücke zwischen der IT- und OT-Sicherheitsaufgabe zu überbrücken.
Wenn Sie jedoch über andere SIEM-Systeme (Security Information and Event Management) verfügen, können Sie auch Microsoft Sentinel verwenden, um Defender für IoT-Cloudwarnungen über Microsoft Sentinel und Azure Event Hubs an diesen Partner-SIEM weiterzuleiten.
Obwohl in diesem Artikel Splunk als Beispiel verwendet wird, können Sie den unten beschriebenen Prozess mit allen SIEM-Methoden verwenden, die die Event Hub-Erfassung unterstützen, z. B. IBM QRadar.
Wichtig
Die Verwendung von Event Hubs und einer Log Analytics-Exportregel kann zusätzliche Gebühren verursachen. Weitere Informationen finden Sie unter Preise für Event Hubs und Preise für den Protokolldatenexport.
Voraussetzungen
Bevor Sie beginnen, müssen Sie den Microsoft Defender für IoT-Datenconnector in Ihrem Microsoft Sentinel instance installiert haben. Weitere Informationen finden Sie unter Tutorial: Verbinden von Microsoft Defender für IoT mit Microsoft Sentinel.
Überprüfen Sie auch alle Voraussetzungen für jedes der in den folgenden Schritten verknüpften Prozeduren.
Registrieren einer Anwendung in Microsoft Entra ID
Sie benötigen Microsoft Entra ID, die als Dienstprinzipal für das Splunk-Add-On für Microsoft Cloud Services definiert sind. Dazu müssen Sie eine Microsoft Entra-Anwendung mit bestimmten Berechtigungen erstellen.
So registrieren Sie eine Microsoft Entra Anwendung und definieren Berechtigungen:
Registrieren Sie Microsoft Entra ID eine neue Anwendung. Fügen Sie auf der Seite Zertifikate & Geheimnisse einen neuen geheimen Clientschlüssel für den Dienstprinzipal hinzu.
Weitere Informationen finden Sie unter Registrieren einer Anwendung beim Microsoft Identity Platform
Erteilen Sie auf der Api-Berechtigungsseite Ihrer App API-Berechtigungen zum Lesen von Daten aus Ihrer App.
Wählen Sie aus, um eine Berechtigung hinzuzufügen, und wählen Sie dann MicrosoftGraph-Anwendungsberechtigungen>>SecurityEvents.ReadWrite.All>Berechtigungen hinzufügen aus.
Stellen Sie sicher, dass die Administratoreinwilligung für Ihre Berechtigung erforderlich ist.
Weitere Informationen finden Sie unter Konfigurieren einer Clientanwendung für den Zugriff auf eine Web-API.
Notieren Sie sich auf der Seite Übersicht Ihrer App die folgenden Werte für Ihre App:
- Anzeigename
- Anwendungs-ID (Client-ID)
- Verzeichnis-ID (Mandant)
Notieren Sie sich auf der Seite Zertifikate & Geheimnisse die Werte ihres geheimen Clientschlüssels Wert und Geheimnis-ID.
Erstellen eines Azure Event Hubs
Erstellen Sie einen Azure Event Hub, der als Brücke zwischen Microsoft Sentinel und Ihrem Partner-SIEM verwendet werden soll. Beginnen Sie mit diesem Schritt, indem Sie einen Azure Event Hub-Namespace erstellen und dann einen Azure Event Hub hinzufügen.
So erstellen Sie Ihren Event Hub-Namespace und Event Hub:
Erstellen Sie Azure Event Hubs einen neuen Event Hub-Namespace. Erstellen Sie in Ihrem neuen Namespace einen neuen Azure Event Hub.
Definieren Sie in Ihrem Event Hub unbedingt die Einstellungen Partitionsanzahl und Nachrichtenaufbewahrung .
Weitere Informationen finden Sie unter Erstellen eines Event Hubs mithilfe des Azure-Portal.
Wählen Sie in Ihrem Event Hub-Namespace die Seite Zugriffssteuerung (IAM) aus, und fügen Sie eine neue Rollenzuweisung hinzu.
Wählen Sie aus, um die Rolle Azure Event Hubs Datenempfänger zu verwenden, und fügen Sie die Microsoft Entra Dienstprinzipal-App hinzu, die Sie zuvor als Mitglied erstellt haben.
Weitere Informationen finden Sie unter Zuweisen Azure Rollen mithilfe des Azure-Portal.
Notieren Sie sich auf der Seite Übersicht Ihres Event Hub-Namespaces den Hostnamenswert des Namespace.
Notieren Sie sich auf der Event Hubs-Seite Ihres Event Hub-Namespaces den Namen Ihres Event Hubs.
Weiterleiten Microsoft Sentinel Incidents an Ihren Event Hub
Um Microsoft Sentinel Incidents oder Warnungen an Ihren Event Hub weiterzuleiten, erstellen Sie eine Datenexportregel aus Azure Log Analytics.
Stellen Sie sicher, dass Sie in Ihrer Regel die folgenden Einstellungen definieren:
Konfigurieren der Quelle als SecurityIncident
Konfigurieren Sie das Ziel als Ereignistyp, indem Sie den Event Hub-Namespace und den Event Hub-Namen verwenden, den Sie zuvor notiert haben.
Weitere Informationen finden Sie unter Datenexport von Log Analytics-Arbeitsbereichen in Azure Monitor.
Konfigurieren von Splunk für die Nutzung Microsoft Sentinel Incidents
Nachdem Sie Ihre Event Hub- und Exportregel konfiguriert haben, konfigurieren Sie Splunk so, dass Microsoft Sentinel Incidents vom Event Hub verwendet werden.
Installieren Sie das Splunk-Add-On für Microsoft Cloud Services App.
Fügen Sie in der App Splunk-Add-On für Microsoft Cloud Services ein Azure-App-Konto hinzu.
- Geben Sie einen aussagekräftigen Namen für das Konto ein.
- Geben Sie die Client-ID, den geheimen Clientschlüssel und die Mandanten-ID ein, die Sie zuvor notiert haben.
- Definieren Sie den Kontoklassentyp als Azure Public Cloud.
Wechseln Sie zum Splunk-Add-On für Microsoft Cloud Services Eingaben, und erstellen Sie eine neue Eingabe für Ihren Azure Event Hub.
- Geben Sie einen aussagekräftigen Namen für Ihre Eingabe ein.
- Wählen Sie das Azure-App-Konto aus, das Sie soeben in der App Splunk-Add-On für Microsoft-Dienste erstellt haben.
- Geben Sie den FQDN ihres Event Hub-Namespace und den Event Hub-Namen ein.
Übernehmen Sie für die anderen Einstellungen die Standardwerte.
Sobald Daten von Ihrem Event Hub in Splunk erfasst werden, fragen Sie die Daten mit dem folgenden Wert in Ihrem Suchfeld ab:
sourcetype="mscs:azure:eventhub"