Bemærk
Adgang til denne side kræver godkendelse. Du kan prøve at logge på eller ændre mapper.
Adgang til denne side kræver godkendelse. Du kan prøve at ændre mapper.
I denne artikel beskrives det, hvordan du integrerer Splunk med Microsoft Defender til IoT for at få vist både Splunk- og Defender for IoT-oplysninger på et enkelt sted.
Visning af både Defender for IoT- og Splunk-oplysninger giver SOC-analytikere flerdimensionel synlighed i de specialiserede OT-protokoller og IIoT-enheder, der er installeret i industrielle miljøer, sammen med ICS-orienterede adfærdsanalyser, så de hurtigt kan registrere mistænkelig eller unormal adfærd.
Hvis du integrerer med Splunk, anbefaler vi, at du bruger Splunks eget OT Security-tilføjelsesprogram til Splunk. Du kan finde flere oplysninger under:
- Dokumentationen til Splunk om installation af tilføjelsesprogrammer
- Dokumentationen til Splunk om OT Security-tilføjelsesprogrammet til Splunk
Tilføjelsesprogrammet OT Security til Splunk understøttes for integrationer i både cloudmiljøet og det lokale miljø.
Cloudbaserede integrationer
Tip
Cloudbaserede sikkerhedsintegrationer giver flere fordele i forhold til løsninger i det lokale miljø, f.eks. centraliseret, enklere sensoradministration og centraliseret sikkerhedsovervågning.
Andre fordele omfatter overvågning i realtid, effektiv ressourceanvendelse, øget skalerbarhed og robusthed, forbedret beskyttelse mod sikkerhedstrusler, forenklet vedligeholdelse og opdateringer og problemfri integration med tredjepartsløsninger.
Hvis du vil integrere en cloudforbundet sensor med Splunk, anbefaler vi, at du bruger tilføjelsesprogrammet OT Security til Splunk.
Integrationer i det lokale miljø
Hvis du arbejder med en lokalt administreret sensor, der er luftforsænket, kan det også være en god idé at konfigurere din sensor til at sende syslog-filer direkte til Splunk eller bruge Defender til IoT's indbyggede API.
Du kan finde flere oplysninger under:
Integration i det lokale miljø (ældre)
I dette afsnit beskrives det, hvordan du integrerer Defender for IoT og Splunk ved hjælp af den ældre , CyberX ICS Threat Monitoring for Splunk-applikationen .
Vigtigt!
Den ældre CyberX ICS Threat Monitoring for Splunk-applikation understøttes indtil oktober 2024 ved hjælp af sensorversion 23.1.3 og understøttes ikke i kommende større softwareversioner.
For kunder, der bruger den ældre CyberX ICS Threat Monitoring for Splunk-applikation, anbefaler vi, at du i stedet bruger en af følgende metoder:
- Brug OT Security-tilføjelsesprogrammet til Splunk
- Konfigurer ot-sensoren for at videresende syslog-hændelser
- Brug Defender til IoT-API'er
Microsoft Defender for IoT blev formelt kendt som CyberX. Henvisninger til CyberX henviser til Defender for IoT.
Forudsætninger
Før du begynder, skal du sørge for, at du har følgende forudsætninger:
| Forudsætninger | Beskrivelse |
|---|---|
| Versionskrav | Følgende versioner er påkrævet, for at programmet kan køre: – Defender for IoT version 2.4 og nyere. - Splunkbase version 11 og nyere. - Splunk Enterprise version 7.2 og nyere. |
| Tilladelseskrav | Sørg for, at du har: – Adgang til en Defender for IoT OT-sensor som Administration bruger. – Splunk bruger med en brugerrolle på Administration niveau. |
Bemærk!
Splunk-programmet kan installeres lokalt ('Splunk Enterprise') eller køre på en cloud ('Splunk Cloud'). Splunk-integrationen sammen med Defender for IoT understøtter kun 'Splunk Enterprise'.
Download Defender for IoT-programmet i Splunk
Hvis du vil have adgang til Defender for IoT-programmet i Splunk, skal du downloade programmet fra Splunkbase-programlageret.
Sådan får du adgang til Defender for IoT-programmet i Splunk:
Naviger til Splunkbase-programlageret .
CyberX ICS Threat Monitoring for SplunkSøg efter .Vælg CyberX ICS Threat Monitoring for Splunk-programmet.
Vælg KNAPPEN LOG PÅ FOR AT DOWNLOADE.