Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Questo articolo descrive come inviare Microsoft Defender per gli avvisi IoT ad ArcSight. L'integrazione di Defender per IoT con ArcSight offre visibilità sulla sicurezza e la resilienza delle reti OT e un approccio unificato alla sicurezza IT e OT.
Nota
Defender per IoT prevede di ritirare l'integrazione arcsight il 1° dicembre 2025
Prerequisiti
Prima di iniziare, assicurarsi di avere i prerequisiti seguenti:
- Accesso a un sensore OT Defender per IoT come utente Amministrazione. Per altre informazioni, vedere Utenti e ruoli locali per il monitoraggio OT con Defender per IoT.
Configurare il tipo di ricevitore ArcSight
Per configurare le impostazioni del server ArcSight in modo che possa ricevere informazioni sugli avvisi di Defender per IoT:
- Accedere al server ArcSight.
- Configurare il tipo di ricevitore come ricevitore UDP CEF.
Per altre informazioni, vedere la documentazione di ArcSight SmartConnectors.
Creare una regola di inoltro di Defender per IoT
Questa procedura descrive come creare una regola di inoltro dal sensore OT per inviare avvisi di Defender per IoT da tale sensore ad ArcSight.
Le regole di avviso di inoltro vengono eseguite solo sugli avvisi attivati dopo la creazione della regola di inoltro. Gli avvisi già presenti nel sistema prima della creazione della regola di inoltro non sono interessati dalla regola.
Per altre informazioni, vedere Inoltrare informazioni sugli avvisi.
Accedere alla console del sensore OT e selezionare Inoltro.
Selezionare + Crea nuova regola.
Nel riquadro Aggiungi regola di inoltro definire i parametri della regola:
Parametro Descrizione Nome regola Immettere un nome significativo per la regola. Livello di avviso minimo Evento imprevisto a livello di sicurezza minimo da inoltrare. Ad esempio, se si seleziona Minore, si riceve una notifica su tutti gli eventi imprevisti secondari, principali e critici. Qualsiasi protocollo rilevato Disattiva per selezionare i protocolli che vuoi includere nella regola. Traffico rilevato da qualsiasi motore Disattiva per selezionare il traffico che vuoi includere nella regola. Nell'area Azioni definire i valori seguenti:
Parametro Descrizione Server Selezionare ArcSight. Host Indirizzo del server ArcSight. Port Porta del server ArcSight. Fuso orario Immettere il fuso orario del server ArcSight. Selezionare Salva per salvare la regola di inoltro.
