Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
En este artículo se describe cómo enviar Microsoft Defender para alertas de IoT a ArcSight. La integración de Defender para IoT con ArcSight proporciona visibilidad sobre la seguridad y resistencia de las redes OT y un enfoque unificado para la seguridad de TI y OT.
Nota:
Defender para IoT planea retirar la integración de ArcSight el 1 de diciembre de 2025
Requisitos previos
Antes de empezar, asegúrese de que tiene los siguientes requisitos previos:
- Acceso a un sensor ot de Defender para IoT como usuario Administración. Para obtener más información, consulte Usuarios y roles locales para la supervisión de OT con Defender para IoT.
Configuración del tipo de receptor de ArcSight
Para configurar los valores del servidor de ArcSight para que pueda recibir información de alertas de Defender para IoT:
- Inicie sesión en el servidor de ArcSight.
- Configure el tipo de receptor como receptor UDP cef.
Para obtener más información, consulte la documentación de SmartConnectors de ArcSight.
Creación de una regla de reenvío de Defender para IoT
En este procedimiento se describe cómo crear una regla de reenvío desde el sensor OT para enviar alertas de Defender para IoT desde ese sensor a ArcSight.
Las reglas de alertas de reenvío solo se ejecutan en las alertas desencadenadas después de crear la regla de reenvío. Las alertas que ya están en el sistema desde antes de crear la regla de reenvío no se ven afectadas por la regla.
Para obtener más información, consulte Forward alert information (Reenviar información de alertas).
Inicie sesión en la consola del sensor ot y seleccione Reenvío.
Seleccione + Crear nueva regla.
En el panel Agregar regla de reenvío , defina los parámetros de regla:
Parámetro Descripción Nombre de la regla Escriba un nombre significativo para la regla. Nivel mínimo de alerta El incidente de nivel de seguridad mínimo que se va a reenviar. Por ejemplo, si selecciona Menor, se le notificará sobre todos los incidentes menores, principales y críticos. Cualquier protocolo detectado Desactive esta opción para seleccionar los protocolos que desea incluir en la regla. Tráfico detectado por cualquier motor Desactive esta opción para seleccionar el tráfico que desea incluir en la regla. En el área Acciones , defina los siguientes valores:
Parámetro Descripción Servidor Seleccione ArcSight. Host Dirección del servidor de ArcSight. Port Puerto del servidor de ArcSight. Zona horaria Escriba la zona horaria del servidor de ArcSight. Seleccione Guardar para guardar la regla de reenvío.
