Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Man mano che sempre più aziende convertono i sistemi OT in infrastrutture IT digitali, i team del Centro operativo di sicurezza (SOC) e i responsabili della sicurezza delle informazioni (CISO) sono sempre più responsabili della gestione delle minacce provenienti dalle reti OT.
È consigliabile usare Microsoft Defender per il connettore dati predefinito di IoT e la soluzione per l'integrazione con Microsoft Sentinel e colmare il divario tra la sfida per la sicurezza IT e OT.
Tuttavia, se si dispone di altri sistemi SIEM (Security Information And Event Management), è anche possibile usare Microsoft Sentinel per inoltrare gli avvisi cloud di Defender per IoT a tale siem partner, tramite Microsoft Sentinel e Hub eventi di Azure.
Anche se questo articolo usa Splunk come esempio, è possibile usare il processo descritto di seguito con qualsiasi SIEM che supporta l'inserimento di Hub eventi, ad esempio IBM QRadar.
Importante
L'uso di Hub eventi e di una regola di esportazione di Log Analytics può comportare addebiti aggiuntivi. Per altre informazioni, vedere Prezzi di Hub eventi e Prezzi dell'esportazione dei dati di log.
Prerequisiti
Prima di iniziare, è necessario che il connettore dati Microsoft Defender per IoT sia installato nell'istanza di Microsoft Sentinel. Per altre informazioni, vedere Esercitazione: Connettere Microsoft Defender per IoT con Microsoft Sentinel.
Controllare anche i prerequisiti per ognuna delle procedure collegate nei passaggi seguenti.
Registrare un'applicazione in Microsoft Entra ID
È necessario Microsoft Entra ID definito come entità servizio per il componente aggiuntivo Splunk per Microsoft Servizi cloud. A tale scopo, è necessario creare un'applicazione Microsoft Entra con autorizzazioni specifiche.
Per registrare un'applicazione Microsoft Entra e definire le autorizzazioni:
In Microsoft Entra ID registrare una nuova applicazione. Nella pagina Certificati & segreti aggiungere un nuovo segreto client per l'entità servizio.
Per altre informazioni, vedere Registrare un'applicazione con il Microsoft Identity Platform
Nella pagina Autorizzazioni API dell'app concedere le autorizzazioni API per leggere i dati dall'app.
Selezionare questa opzione per aggiungere un'autorizzazione e quindi selezionareAutorizzazioni> applicazione Microsoft Graph>SecurityEvents.ReadWrite.All>Aggiungi autorizzazioni.
Assicurarsi che il consenso dell'amministratore sia necessario per l'autorizzazione.
Per altre informazioni, vedere Configurare un'applicazione client per accedere a un'API Web
Nella pagina Panoramica dell'app annotare i valori seguenti per l'app:
- Nome visualizzato
- ID applicazione (client)
- Directory (tenant) ID
Nella pagina Certificati & segreti prendere nota dei valori del valore del segreto client e dell'ID segreto.
Creare un hub eventi Azure
Creare un hub eventi Azure da usare come ponte tra Microsoft Sentinel e il siem del partner. Avviare questo passaggio creando uno spazio dei nomi dell'hub eventi Azure e quindi aggiungendo un hub eventi Azure.
Per creare lo spazio dei nomi e l'hub eventi dell'hub eventi:
In Hub eventi di Azure creare un nuovo spazio dei nomi dell'hub eventi. Nel nuovo spazio dei nomi creare un nuovo hub eventi Azure.
Nell'hub eventi assicurarsi di definire le impostazioni Conteggio partizioni e Conservazione messaggi .
Per altre informazioni, vedere Creare un hub eventi usando il portale di Azure.
Nello spazio dei nomi dell'hub eventi selezionare la pagina Controllo di accesso (IAM) e aggiungere una nuova assegnazione di ruolo.
Selezionare questa opzione per usare il ruolo Hub eventi di Azure Ricevitore dati e aggiungere l'app Microsoft Entra principio di servizio creata in precedenza come membro.
Per altre informazioni, vedere: Assegnare ruoli Azure usando il portale di Azure.
Nella pagina Panoramica dello spazio dei nomi dell'hub eventi prendere nota del valore del nome host dello spazio dei nomi.
Nella pagina Hub eventi dello spazio dei nomi dell'hub eventi prendere nota del nome dell'hub eventi.
Inoltrare Microsoft Sentinel eventi imprevisti all'hub eventi
Per inoltrare Microsoft Sentinel eventi imprevisti o avvisi all'hub eventi, creare una regola di esportazione dei dati da Log Analytics di Azure.
Nella regola assicurarsi di definire le impostazioni seguenti:
Configurare l'origine come SecurityIncident
Configurare La destinazione come tipo di evento usando lo spazio dei nomi dell'hub eventi e il nome dell'hub eventi registrati in precedenza.
Per altre informazioni, vedere Esportazione dei dati dell'area di lavoro Log Analytics in monitoraggio Azure.
Configurare Splunk per l'utilizzo di eventi imprevisti Microsoft Sentinel
Dopo aver configurato l'hub eventi e la regola di esportazione, configurare Splunk per usare Microsoft Sentinel eventi imprevisti dall'hub eventi.
Installare il componente aggiuntivo Splunk per l'app microsoft Servizi cloud.
Nell'app Splunk Add-on for Microsoft Servizi cloud aggiungere un account app Azure.
- Immettere un nome significativo per l'account.
- Immettere i dettagli relativi a ID client, segreto client e ID tenant registrati in precedenza.
- Definire il tipo di classe account come Azure Public Cloud.
Passare al componente aggiuntivo Splunk per gli input di Microsoft Servizi cloud e creare un nuovo input per l'hub eventi Azure.
- Immettere un nome significativo per l'input.
- Selezionare l'account app Azure appena creato nell'app Componente aggiuntivo Splunk per Servizi Microsoft.
- Immettere il nome FQDN dello spazio dei nomi dell'hub eventi e il nome dell'hub eventi.
Lasciare predefinite altre impostazioni.
Quando i dati iniziano a essere inseriti in Splunk dall'hub eventi, eseguire query sui dati usando il valore seguente nel campo di ricerca:
sourcetype="mscs:azure:eventhub"