Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
A medida que más empresas convierten sistemas OT en infraestructuras de TI digitales, los equipos del Centro de operaciones de seguridad (SOC) y los jefes de seguridad de la información (CISO) son cada vez más responsables de controlar las amenazas de las redes ot.
Se recomienda usar Microsoft Defender para el conector de datos y la solución integrados de IoT para integrarse con Microsoft Sentinel y reducir la brecha entre el desafío de seguridad de TI y OT.
Sin embargo, si tiene otros sistemas de administración de eventos e información de seguridad (SIEM), también puede usar Microsoft Sentinel para reenviar alertas en la nube de Defender para IoT a ese SIEM asociado, a través de Microsoft Sentinel y Azure Event Hubs.
Aunque en este artículo se usa Splunk como ejemplo, puede usar el proceso descrito a continuación con cualquier SIEM que admita la ingesta del centro de eventos, como IBM QRadar.
Importante
El uso de Event Hubs y una regla de exportación de Log Analytics puede incurrir en cargos adicionales. Para obtener más información, vea Precios de Event Hubs y Precios de exportación de datos de registro.
Requisitos previos
Antes de empezar, necesitará el conector de datos de Microsoft Defender para IoT instalado en la instancia de Microsoft Sentinel. Para obtener más información, consulte Tutorial: Conexión de Microsoft Defender para IoT con Microsoft Sentinel.
Compruebe también los requisitos previos para cada uno de los procedimientos vinculados en los pasos siguientes.
Registro de una aplicación en Microsoft Entra ID
Necesitará Microsoft Entra ID definida como entidad de servicio para el complemento Splunk para Microsoft Cloud Services. Para ello, deberá crear una aplicación de Microsoft Entra con permisos específicos.
Para registrar una aplicación Microsoft Entra y definir permisos:
En Microsoft Entra ID, registre una nueva aplicación. En la página Certificados & secretos , agregue un nuevo secreto de cliente para la entidad de servicio.
Para obtener más información, consulte Registro de una aplicación con el Plataforma de identidad de Microsoft
En la página Permisos de API de la aplicación, conceda permisos de API para leer datos de la aplicación.
Seleccione esta opción para agregar un permiso y, a continuación, seleccione Permisos >de aplicaciónde Microsoft Graph>SecurityEvents.ReadWrite.AllAdd permissions (Agregar> permisos).
Asegúrese de que se requiere el consentimiento del administrador para su permiso.
Para obtener más información, consulte Configuración de una aplicación cliente para acceder a una API web.
En la página Información general de la aplicación, tenga en cuenta los siguientes valores para la aplicación:
- Nombre para mostrar
- Identificador de aplicación (cliente)
- Identificador de directorio (inquilino)
En la página Certificados & secretos , anote los valores del valor del secreto de cliente y el identificador de secreto.
Creación de un centro de eventos de Azure
Cree un centro de eventos de Azure para usarlo como puente entre Microsoft Sentinel y siem de asociado. Para iniciar este paso, cree un espacio de nombres Azure centro de eventos y agregue un centro de eventos de Azure.
Para crear el espacio de nombres del centro de eventos y el centro de eventos:
En Azure Event Hubs, cree un nuevo espacio de nombres del centro de eventos. En el nuevo espacio de nombres, cree un nuevo centro de eventos Azure.
En el centro de eventos, asegúrese de definir la configuración Recuento de particiones y Retención de mensajes .
Para obtener más información, consulte Creación de un centro de eventos mediante el Azure Portal.
En el espacio de nombres del centro de eventos, seleccione la página Control de acceso (IAM) y agregue una nueva asignación de roles.
Seleccione esta opción para usar el rol receptor de datos Azure Event Hubs y agregue la aplicación de principio de servicio Microsoft Entra que creó anteriormente como miembro.
Para obtener más información, vea: Asignar roles de Azure mediante el Azure Portal.
En la página Información general del espacio de nombres del centro de eventos, anote el valor de Nombre de host del espacio de nombres.
En la página Event Hubs del espacio de nombres del centro de eventos, anote el nombre del centro de eventos.
Reenvío Microsoft Sentinel incidentes al centro de eventos
Para reenviar Microsoft Sentinel incidentes o alertas al centro de eventos, cree una regla de exportación de datos desde Azure Log Analytics.
En la regla, asegúrese de definir la siguiente configuración:
Configuración del origen como SecurityIncident
Configure el destino como tipo de evento mediante el espacio de nombres del centro de eventos y el nombre del centro de eventos que había registrado anteriormente.
Para obtener más información, consulte Exportación de datos del área de trabajo de Log Analytics en Azure Monitor.
Configuración de Splunk para consumir incidentes Microsoft Sentinel
Una vez configurado el centro de eventos y la regla de exportación, configure Splunk para consumir Microsoft Sentinel incidentes desde el centro de eventos.
Instale el complemento Splunk para la aplicación de Microsoft Cloud Services.
En la aplicación Splunk Add-on for Microsoft Cloud Services, agregue una cuenta de App de Azure.
- Escriba un nombre significativo para la cuenta.
- Escriba el identificador de cliente, el secreto de cliente y los detalles del identificador de inquilino que registró anteriormente.
- Defina el tipo de clase de cuenta como Azure nube pública.
Vaya al complemento Splunk para entradas de Microsoft Cloud Services y cree una nueva entrada para el centro de eventos de Azure.
- Escriba un nombre significativo para la entrada.
- Seleccione la cuenta de App de Azure que acaba de crear en la aplicación Splunk Add-on for Microsoft Services.
- Escriba el FQDN del espacio de nombres del centro de eventos y el nombre del centro de eventos.
Deje las otras opciones en sus valores predeterminados.
Una vez que los datos empiecen a ingerirse en Splunk desde el centro de eventos, consulte los datos mediante el siguiente valor en el campo de búsqueda:
sourcetype="mscs:azure:eventhub"