Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
À medida que mais empresas convertem sistemas OT em infraestruturas de TI digitais, as equipas do Centro de Operações de Segurança (SOC) e os principais responsáveis pela segurança da informação (CISOs) são cada vez mais responsáveis por lidar com ameaças de redes OT.
Recomendamos que utilize Microsoft Defender para a solução e o conector de dados de configuração inicial do IoT para integrar com Microsoft Sentinel e colmatar a lacuna entre o desafio de segurança de TI e OT.
No entanto, se tiver outros sistemas de gestão de informações e eventos de segurança (SIEM), também pode utilizar Microsoft Sentinel para reencaminhar alertas da cloud do Defender para IoT para esse parceiro SIEM, através de Microsoft Sentinel e Hubs de Eventos do Azure.
Embora este artigo utilize o Splunk como exemplo, pode utilizar o processo descrito abaixo com qualquer SIEM que suporte a ingestão do Hub de Eventos, como o IBM QRadar.
Importante
A utilização dos Hubs de Eventos e de uma regra de exportação do Log Analytics pode incorrer em custos adicionais. Para obter mais informações, veja Preços dos Hubs de Eventos e Preços de Exportação de Dados de Registo.
Pré-requisitos
Antes de começar, precisará do Microsoft Defender do conector de dados IoT instalado na sua instância de Microsoft Sentinel. Para obter mais informações, veja Tutorial: Connect Microsoft Defender para IoT with Microsoft Sentinel (Tutorial: Ligar Microsoft Defender para IoT com Microsoft Sentinel).
Além disso, marcar quaisquer pré-requisitos para cada um dos procedimentos ligados nos passos abaixo.
Registar uma aplicação no Microsoft Entra ID
Precisará de Microsoft Entra ID definido como principal de serviço para o Suplemento Splunk para Microsoft Serviços de Nuvem. Para tal, terá de criar uma aplicação Microsoft Entra com permissões específicas.
Para registar uma aplicação Microsoft Entra e definir permissões:
No Microsoft Entra ID, registe uma nova aplicação. Na página Certificados & segredos , adicione um novo segredo do cliente para o principal de serviço.
Para obter mais informações, veja Registar uma aplicação com o plataforma de identidade da Microsoft
Na página permissões de API da sua aplicação, conceda permissões de API para ler dados da sua aplicação.
Selecione para adicionar uma permissão e, em seguida, selecionePermissões> da Aplicação do Microsoft Graph>SecurityEvents.ReadWrite.All>Add permissions.
Certifique-se de que o consentimento do administrador é necessário para a sua permissão.
Para obter mais informações, veja Configurar uma aplicação cliente para aceder a uma API Web
Na página Descrição geral da sua aplicação, tenha em atenção os seguintes valores para a sua aplicação:
- Nome de Exibição
- ID do aplicativo (cliente)
- ID do diretório (inquilino)
Na página Certificados & segredos , anote os valores do valor do segredo do cliente e do ID do Segredo.
Criar um hub de eventos Azure
Crie um hub de eventos Azure para utilizar como uma ponte entre Microsoft Sentinel e o seu parceiro SIEM. Inicie este passo ao criar um espaço de nomes do hub de eventos Azure e, em seguida, adicionar um hub de eventos Azure.
Para criar o espaço de nomes do hub de eventos e o hub de eventos:
No Hubs de Eventos do Azure, crie um novo espaço de nomes do hub de eventos. No seu novo espaço de nomes, crie um novo Azure hub de eventos.
No hub de eventos, certifique-se de que define as definições Contagem de Partições e Retenção de Mensagens .
Para obter mais informações, veja Criar um hub de eventos com o portal do Azure.
No espaço de nomes do hub de eventos, selecione a página Controlo de acesso (IAM) e adicione uma nova atribuição de função.
Selecione para utilizar a função Recetor de Dados Hubs de Eventos do Azure e adicione a aplicação Microsoft Entra principal de serviço que criou anteriormente como membro.
Para obter mais informações, veja: Atribuir funções de Azure com o portal do Azure.
Na página Descrição Geral do espaço de nomes do seu hub de eventos, anote o valor do Nome do anfitrião do espaço de nomes.
Na página Hubs de Eventos do seu espaço de nomes do hub de eventos, anote o nome do hub de eventos.
Reencaminhar Microsoft Sentinel incidentes para o hub de eventos
Para reencaminhar Microsoft Sentinel incidentes ou alertas para o seu hub de eventos, crie uma regra de exportação de dados do Azure Log Analytics.
Na regra, certifique-se de que define as seguintes definições:
Configurar a Origem como SecurityIncident
Configure o Destino como Tipo de Evento, com o espaço de nomes do hub de eventos e o nome do hub de eventos que registou anteriormente.
Para obter mais informações, veja Exportação de dados da área de trabalho do Log Analytics no Azure Monitor.
Configurar o Splunk para consumir incidentes Microsoft Sentinel
Depois de configurar o hub de eventos e a regra de exportação, configure o Splunk para consumir Microsoft Sentinel incidentes do hub de eventos.
Instale o Suplemento Splunk para a aplicação Microsoft Serviços de Nuvem.
No Suplemento Splunk para a aplicação Microsoft Serviços de Nuvem, adicione uma conta Azure App.
- Introduza um nome significativo para a conta.
- Introduza o ID de cliente, o segredo do cliente e os detalhes do ID do inquilino que registou anteriormente.
- Defina o tipo de classe de conta como Azure Cloud Pública.
Aceda ao Suplemento Splunk para entradas do Microsoft Serviços de Nuvem e crie uma nova entrada para o seu hub de eventos Azure.
- Introduza um nome significativo para a sua entrada.
- Selecione o Azure App Conta que acabou de criar no Suplemento Splunk para a aplicação Serviços Microsoft.
- Introduza o FQDN do espaço de nomes do hub de eventos e o nome do hub de eventos.
Deixe as outras definições como predefinições.
Assim que os dados começam a ser ingeridos no Splunk a partir do seu hub de eventos, consulte os dados com o seguinte valor no campo de pesquisa:
sourcetype="mscs:azure:eventhub"