Freigeben über


Integrieren von Splunk in Microsoft Defender für loT

In diesem Artikel wird beschrieben, wie Splunk mit Microsoft Defender for IoT integriert wird, um Splunk- und Defender for IoT-Informationen an einem zentralen Ort anzuzeigen.

Die gemeinsame Anzeige von Defender for IoT- und Splunk-Informationen bietet SOC-Analyst*innen einen mehrdimensionalen Einblick in die speziellen OT-Protokolle und IIoT-Geräte, die in Industrieumgebungen bereitgestellt werden, sowie ICS-fähige Verhaltensanalysen zur schnellen Erkennung von verdächtigem oder anomalem Verhalten.

Wenn Sie mit Splunk integrieren, wird empfohlen, das OT-Sicherheits-Add-On für Splunk zu verwenden, das von Splunk selbst stammt. Weitere Informationen finden Sie unter:

Das OT-Sicherheits-Add-On für Splunk wird sowohl für Cloud- als auch für lokale Integrationen unterstützt.

Cloudbasierte Integrationen

Tipp

Cloudbasierte Sicherheitsintegrationen bieten mehrere Vorteile gegenüber lokalen Lösungen, z. B. zentrale, einfachere Sensorverwaltung und zentrale Sicherheitsüberwachung.

Weitere Vorteile sind die echtzeitbasierte Überwachung, effizienter Ressourceneinsatz, höhere Skalierbarkeit und Stabilität, verbesserter Schutz vor Sicherheitsbedrohungen, vereinfachte Wartung und Updates sowie nahtlose Integration mit Drittanbieterlösungen.

Um einen in der Cloud verbundenen Sensor in Splunk zu integrieren, empfehlen wir, das OT-Sicherheits-Add-On für Splunkzu verwenden.

Lokale Integrationen

Wenn Sie mit einem luftgespaltenen, lokal verwalteten Sensor arbeiten, möchten Sie möglicherweise auch Ihren Sensor so konfigurieren, dass syslog-Dateien direkt an Splunk gesendet werden, oder die integrierte API von Defender für IoT verwenden.

Weitere Informationen finden Sie unter:

Lokale Integration (veraltet)

In diesem Abschnitt wird beschrieben, wie Sie Defender für IoT und Splunk mithilfe der Legacyanwendung CyberX ICS Threat Monitoring for Splunk integrieren.

Wichtig

Die ältere CyberX ICS Threat Monitoring for Splunk-Anwendung wird bis Oktober 2024 mit Sensorversion 23.1.3 unterstützt und wird in bevorstehenden Hauptsoftwareversionen nicht unterstützt.

Für Kunden, die die ältere CyberX ICS Threat Monitoring for Splunk-Anwendung verwenden, empfehlen wir stattdessen die Verwendung einer der folgenden Methoden:

Microsoft Defender for IoT wurde offiziell als CyberX bezeichnet. Verweise auf CyberX beziehen sich auf Azure Defender for IoT.

Voraussetzungen

Bevor Sie beginnen, stellen Sie sicher, dass Sie die folgenden Voraussetzungen erfüllen:

Voraussetzungen Beschreibung
Versionsanforderungen Die folgenden Versionen sind erforderlich, damit die Anwendung ausgeführt werden kann:
- Defender for IoT ab Version 2.4
- Splunkbase ab Version 11
- Splunk Enterprise ab Version 7.2
Erforderliche Berechtigungen Stellen Sie sicher, dass Folgendes zutrifft:
- Zugriff auf einen Defender for IoT-OT-Sensor als Administratorbenutzer*in
- Splunk-Benutzer*in mit einer Benutzerrolle auf Administratorebene

Hinweis

Die Splunk-Anwendung kann lokal installiert (Splunk Enterprise) oder in einer Cloud (Splunk Cloud) ausgeführt werden. Die Splunk-Integration und Defender für IoT unterstützen nur „Splunk Enterprise“.

Herunterladen der Defender für IoT-Anwendung in Splunk

Für den Zugriff auf die Defender for IoT-Anwendung in Splunk müssen Sie die Anwendung aus dem Splunkbase-App-Store herunterladen.

So greifen Sie in Splunk auf die Defender für IoT-Anwendung zu

  1. Navigieren Sie zum Splunkbase-App-Store.

  2. Suchen Sie nach CyberX ICS Threat Monitoring for Splunk.

  3. Wählen Sie die Anwendung „CyberX ICS Threat Monitoring for Splunk“ aus.

  4. Wählen Sie die Schaltfläche LOGIN TO DOWNLOAD (ANMELDEN ZUM HERUNTERLADEN) aus.

Nächste Schritte