Integrieren von Splunk in Microsoft Defender für loT
In diesem Artikel wird beschrieben, wie Splunk mit Microsoft Defender for IoT integriert wird, um Splunk- und Defender for IoT-Informationen an einem zentralen Ort anzuzeigen.
Die gemeinsame Anzeige von Defender for IoT- und Splunk-Informationen bietet SOC-Analyst*innen einen mehrdimensionalen Einblick in die speziellen OT-Protokolle und IIoT-Geräte, die in Industrieumgebungen bereitgestellt werden, sowie ICS-fähige Verhaltensanalysen zur schnellen Erkennung von verdächtigem oder anomalem Verhalten.
Wenn Sie mit Splunk integrieren, wird empfohlen, das OT-Sicherheits-Add-On für Splunk zu verwenden, das von Splunk selbst stammt. Weitere Informationen finden Sie unter:
- Die Splunk-Dokumentation zum Installieren von Add-Ins
- Die Splunk-Dokumentation zum OT-Sicherheits-Add-On für Splunk
Das OT-Sicherheits-Add-On für Splunk wird sowohl für Cloud- als auch für lokale Integrationen unterstützt.
Cloudbasierte Integrationen
Tipp
Cloudbasierte Sicherheitsintegrationen bieten mehrere Vorteile gegenüber lokalen Lösungen, z. B. zentrale, einfachere Sensorverwaltung und zentrale Sicherheitsüberwachung.
Weitere Vorteile sind die echtzeitbasierte Überwachung, effizienter Ressourceneinsatz, höhere Skalierbarkeit und Stabilität, verbesserter Schutz vor Sicherheitsbedrohungen, vereinfachte Wartung und Updates sowie nahtlose Integration mit Drittanbieterlösungen.
Um einen in der Cloud verbundenen Sensor in Splunk zu integrieren, empfehlen wir, das OT-Sicherheits-Add-On für Splunkzu verwenden.
Lokale Integrationen
Wenn Sie mit einem luftgespaltenen, lokal verwalteten Sensor arbeiten, möchten Sie möglicherweise auch Ihren Sensor so konfigurieren, dass syslog-Dateien direkt an Splunk gesendet werden, oder die integrierte API von Defender für IoT verwenden.
Weitere Informationen finden Sie unter:
Lokale Integration (veraltet)
In diesem Abschnitt wird beschrieben, wie Sie Defender für IoT und Splunk mithilfe der Legacyanwendung CyberX ICS Threat Monitoring for Splunk integrieren.
Wichtig
Die ältere CyberX ICS Threat Monitoring for Splunk-Anwendung wird bis Oktober 2024 mit Sensorversion 23.1.3 unterstützt und wird in bevorstehenden Hauptsoftwareversionen nicht unterstützt.
Für Kunden, die die ältere CyberX ICS Threat Monitoring for Splunk-Anwendung verwenden, empfehlen wir stattdessen die Verwendung einer der folgenden Methoden:
- Verwenden des OT-Sicherheits-Add-Ons für Splunk
- Konfigurieren Des OT-Sensors zum Weiterleiten von Syslog-Ereignissen
- Defender für IoT-APIs
Microsoft Defender for IoT wurde offiziell als CyberX bezeichnet. Verweise auf CyberX beziehen sich auf Azure Defender for IoT.
Voraussetzungen
Bevor Sie beginnen, stellen Sie sicher, dass Sie die folgenden Voraussetzungen erfüllen:
| Voraussetzungen | Beschreibung |
|---|---|
| Versionsanforderungen | Die folgenden Versionen sind erforderlich, damit die Anwendung ausgeführt werden kann: - Defender for IoT ab Version 2.4 - Splunkbase ab Version 11 - Splunk Enterprise ab Version 7.2 |
| Erforderliche Berechtigungen | Stellen Sie sicher, dass Folgendes zutrifft: - Zugriff auf einen Defender for IoT-OT-Sensor als Administratorbenutzer*in - Splunk-Benutzer*in mit einer Benutzerrolle auf Administratorebene |
Hinweis
Die Splunk-Anwendung kann lokal installiert (Splunk Enterprise) oder in einer Cloud (Splunk Cloud) ausgeführt werden. Die Splunk-Integration und Defender für IoT unterstützen nur „Splunk Enterprise“.
Herunterladen der Defender für IoT-Anwendung in Splunk
Für den Zugriff auf die Defender for IoT-Anwendung in Splunk müssen Sie die Anwendung aus dem Splunkbase-App-Store herunterladen.
So greifen Sie in Splunk auf die Defender für IoT-Anwendung zu
Navigieren Sie zum Splunkbase-App-Store.
Suchen Sie nach
CyberX ICS Threat Monitoring for Splunk.Wählen Sie die Anwendung „CyberX ICS Threat Monitoring for Splunk“ aus.
Wählen Sie die Schaltfläche LOGIN TO DOWNLOAD (ANMELDEN ZUM HERUNTERLADEN) aus.