Integrace Splunku s Microsoft Defenderem pro IoT
Tento článek popisuje, jak integrovat Splunk s Microsoft Defenderem pro IoT, aby se informace Splunk i Defender pro IoT zobrazovaly na jednom místě.
Zobrazení informací o Defenderu pro IoT i Splunk společně poskytuje analytikům SOC multidimenzionální přehled o specializovaných protokolech OT a zařízeních IIoT nasazených v průmyslových prostředích spolu s analýzou chování s podporou ICS za účelem rychlého zjišťování podezřelého nebo neobvyklého chování.
Cloudové integrace
Tip
Cloudové integrace zabezpečení poskytují několik výhod oproti místním řešením, jako jsou centralizovaná, jednodušší správa senzorů a centralizované monitorování zabezpečení.
Mezi další výhody patří monitorování v reálném čase, efektivní využití prostředků, zvýšená škálovatelnost a robustnost, vylepšená ochrana před bezpečnostními hrozbami, zjednodušená údržba a aktualizace a bezproblémová integrace s řešeními třetích stran.
Pokud integrujete senzor OT připojený ke cloudu s splunkem, doporučujeme pro Splunk použít vlastní doplněk OT Security Pro Splunk. Další informace naleznete v tématu:
Místní integrace
Pokud pracujete s místně spravovaným senzorem OT, potřebujete místní řešení k zobrazení informací o Defenderu pro IoT a Splunk na stejném místě.
V takových případech doporučujeme nakonfigurovat senzor OT tak, aby odesílal soubory syslogu přímo do Splunku nebo používal defender pro integrované rozhraní API IoT.
Další informace naleznete v tématu:
- Předávání informací o upozornění místního OT
- Referenční informace k rozhraní API služby Defender for IoT
Místní integrace (starší verze)
Tato část popisuje, jak integrovat Defender for IoT a Splunk pomocí starší místní integrace.
Důležité
Starší integrace Splunku je podporována až do října 2024 pomocí senzoru verze 23.1.3 a nebude podporována v nadcházejících hlavních softwarových verzích. Zákazníkům, kteří používají starší verzi integrace, doporučujeme přejít na jednu z následujících metod:
- Pokud integrujete řešení zabezpečení s cloudovými systémy, doporučujeme použít doplněk zabezpečení OT pro Splunk.
- V případě místních integrací doporučujeme nakonfigurovat senzor OT tak, aby předával události syslogu, nebo použít Defender pro rozhraní API IoT.
Microsoft Defender pro IoT byl formálně označován jako CyberX. Odkazy na CyberX odkazují na Defender for IoT.
Předpoklady
Než začnete, ujistěte se, že máte následující požadavky:
| Předpoklady | Popis |
|---|---|
| Požadavky na verzi | Pro spuštění aplikace jsou vyžadovány následující verze: – Defender pro IoT verze 2.4 a novější. - Splunkbase verze 11 a vyšší. – Splunk Enterprise verze 7.2 a vyšší. |
| Požadavky na oprávnění | Ujistěte se, že máte: – Přístup k senzoru OT Defenderu for IoT jako Správa uživatel. – Uživatel Splunk s rolí uživatele na úrovni Správa. |
Poznámka:
Aplikaci Splunk můžete nainstalovat místně (Splunk Enterprise) nebo spustit v cloudu (Splunk Cloud). Integrace Splunku spolu s Defenderem pro IoT podporuje jenom Splunk Enterprise.
Stažení aplikace Defender for IoT v Splunku
Pokud chcete získat přístup k aplikaci Defender for IoT v splunku, musíte si ji stáhnout z úložiště aplikací Splunkbase.
Přístup k aplikaci Defender for IoT v Splunku:
Přejděte do úložiště aplikací Splunkbase .
Vyhledejte
CyberX ICS Threat Monitoring for Splunk.Vyberte aplikaci CyberX ICS Threat Monitoring for Splunk.
Vyberte TLAČÍTKO PRO STAŽENÍ PŘIHLÁŠENÍ.