この記事では、IoT アラートのMicrosoft Defenderを LogRhythm に送信する方法について説明します。 Defender for IoT と LogRhythm の統合により、OT ネットワークのセキュリティと回復性を可視化し、IT と OT のセキュリティに対する統合されたアプローチを実現できます。
前提条件
開始する前に、次の前提条件があることを確認してください。
- 管理 ユーザーとしての Defender for IoT OT センサーへのアクセス。 詳細については、「 Defender for IoT を使用した OT 監視のオンプレミス ユーザーとロール」を参照してください。
Defender for IoT 転送ルールを作成する
この手順では、OT センサーから転送ルールを作成して、そのセンサーから LogRhythm に Defender for IoT アラートを送信する方法について説明します。
転送アラート ルールは、転送ルールの作成後にトリガーされたアラートに対してのみ実行されます。 転送ルールが作成される前のシステムに既に存在するアラートは、ルールの影響を受けません。
詳細については、「 転送アラート情報」を参照してください。
OT センサー コンソールにサインインし、[転送] を選択 します。
[ + 新しいルールの作成] を選択します。
[ 転送ルールの追加] ウィンドウで、ルール パラメーターを定義します。
パラメーター 説明 ルール名 ルールのわかりやすい名前を入力します。 最小限のアラート レベル 転送する最小限のセキュリティ レベルのインシデント。 たとえば、[マイナー] を選択すると、すべてのマイナー インシデント、メジャー インシデント、重大インシデントが通知されます。 検出されたプロトコル オフに切り替えて、ルールに含めるプロトコルを選択します。 任意のエンジンによって検出されたトラフィック オフに切り替えて、ルールに含めるトラフィックを選択します。 [ アクション] 領域で、次の値を定義します。
パラメーター 説明 サーバー SYSLOG サーバー (LEEF 形式) などの SYSLOG サーバー オプションを選択します。 Host LogRhythm コレクターの IP またはホスト名 ポート 「514」と入力します。 タイムゾーン タイムゾーンを入力します。 [保存] を選択します。
ログを収集するように LogRhythm を構成する
OT センサー コンソールから転送ルールを構成した後、Defender for IoT ログを収集するように LogRhythm を構成します。
詳細については、 LogRhythm のドキュメントを参照してください。