この記事では、IoT アラートのMicrosoft Defenderを ArcSight に送信する方法について説明します。 Defender for IoT と ArcSight の統合により、OT ネットワークのセキュリティと回復性が可視化され、IT と OT のセキュリティに対する統合されたアプローチが提供されます。
注:
Defender for IoT は、2025 年 12 月 1 日に ArcSight 統合を廃止する予定です
前提条件
開始する前に、次の前提条件があることを確認してください。
- 管理 ユーザーとしての Defender for IoT OT センサーへのアクセス。 詳細については、「 Defender for IoT を使用した OT 監視のオンプレミス ユーザーとロール」を参照してください。
ArcSight レシーバーの種類を構成する
Defender for IoT アラート情報を受信できるように ArcSight サーバーの設定を構成するには、次の手順を実行します。
- ArcSight サーバーにサインインします。
- 受信側の種類を CEF UDP レシーバーとして構成します。
詳細については、 ArcSight SmartConnectors のドキュメントを参照してください。
Defender for IoT 転送ルールを作成する
この手順では、OT センサーから転送ルールを作成して、そのセンサーから ArcSight に Defender for IoT アラートを送信する方法について説明します。
転送アラート ルールは、転送ルールの作成後にトリガーされたアラートに対してのみ実行されます。 転送ルールが作成される前のシステムに既に存在するアラートは、ルールの影響を受けません。
詳細については、「 転送アラート情報」を参照してください。
OT センサー コンソールにサインインし、[転送] を選択 します。
[ + 新しいルールの作成] を選択します。
[ 転送ルールの追加] ウィンドウで、ルール パラメーターを定義します。
パラメーター 説明 ルール名 ルールのわかりやすい名前を入力します。 最小限のアラート レベル 転送する最小限のセキュリティ レベルのインシデント。 たとえば、[マイナー] を選択すると、すべてのマイナー インシデント、メジャー インシデント、重大インシデントが通知されます。 検出されたプロトコル オフに切り替えて、ルールに含めるプロトコルを選択します。 任意のエンジンによって検出されたトラフィック オフに切り替えて、ルールに含めるトラフィックを選択します。 [ アクション] 領域で、次の値を定義します。
パラメーター 説明 サーバー [ArcSight] を選択します。 Host ArcSight サーバー アドレス。 ポート ArcSight サーバー ポート。 タイムゾーン ArcSight サーバーのタイムゾーンを入力します。 [ 保存] を 選択して転送ルールを保存します。
