Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
En este artículo se describe cómo integrar Splunk con Microsoft Defender para IoT, con el fin de ver la información de Splunk y Defender para IoT en un solo lugar.
La visualización conjunta de la información de Defender para IoT y Splunk proporciona a los analistas de SOC visibilidad multidimensional sobre los protocolos OT especializados y los dispositivos IIoT implementados en entornos industriales, junto con el análisis de comportamiento compatible con ICS para detectar rápidamente comportamientos sospechosos o anómalos.
Si está integrando con Splunk, se recomienda usar el propio complemento de seguridad de OT de Splunk para Splunk. Para más información, vea:
- La documentación de Splunk sobre la instalación de complementos
- La documentación de Splunk sobre el complemento de seguridad de OT para Splunk
El complemento de seguridad de OT para Splunk es compatible con las integraciones locales y en la nube.
Integraciones basadas en la nube
Sugerencia
Las integraciones de seguridad basadas en la nube proporcionan varias ventajas con respecto a las soluciones locales, como la administración centralizada, más sencilla de los sensores y la supervisión centralizada de la seguridad.
Otras ventajas incluyen la supervisión en tiempo real, el uso eficaz de recursos, el aumento de la escalabilidad y la solidez, la protección mejorada contra amenazas de seguridad, el mantenimiento y las actualizaciones simplificados, y la integración sin problemas con soluciones de terceros.
Para integrar un sensor conectado a la nube con Splunk, se recomienda usar el complemento de seguridad de OT para Splunk.
Integraciones locales
Si está trabajando con un sensor administrado por aire y administrado localmente, es posible que también quiera configurar el sensor para enviar archivos syslog directamente a Splunk o usar la API integrada de Defender para IoT.
Para más información, vea:
Integración local (heredada)
En esta sección se describe cómo integrar Defender para IoT y Splunk mediante la aplicación heredada CyberX ICS Threat Monitoring for Splunk .
Importante
La aplicación heredada CyberX ICS Threat Monitoring for Splunk se admite hasta octubre de 2024 mediante la versión del sensor 23.1.3 y no se admitirá en próximas versiones de software principales.
Para los clientes que usan la aplicación heredada CyberX ICS Threat Monitoring for Splunk, se recomienda usar uno de los métodos siguientes:
- Uso del complemento de seguridad de OT para Splunk
- Configuración del sensor ot para reenviar eventos de Syslog
- Uso de las API de Defender para IoT
Microsoft Defender para IoT se conoce formalmente como CyberX. Las referencias a CyberX hacen referencia a Defender para IoT.
Requisitos previos
Antes de empezar, asegúrese de que tiene los siguientes requisitos previos:
| Requisitos previos | Descripción |
|---|---|
| Requisitos de versión | Las versiones siguientes son necesarias para que la aplicación se ejecute: - Versión 2.4 y posteriores de Defender para IoT. - Splunkbase versión 11 y posteriores. - Splunk Enterprise versión 7.2 y posteriores. |
| Requisitos de permisos | Asegúrese de que tiene: - Acceso a un sensor ot de Defender para IoT como usuario Administración. - Usuario de Splunk con un rol de usuario de nivel Administración. |
Nota:
La aplicación Splunk se puede instalar localmente ('Splunk Enterprise') o ejecutarse en una nube ('Splunk Cloud'). La integración de Splunk junto con Defender para IoT solo admite "Splunk Enterprise".
Descarga de la aplicación Defender para IoT en Splunk
Para acceder a la aplicación Defender para IoT en Splunk, debe descargar la aplicación desde el almacén de aplicaciones de Splunkbase.
Para acceder a la aplicación Defender para IoT en Splunk:
Vaya al almacén de aplicaciones de Splunkbase .
Busque
CyberX ICS Threat Monitoring for Splunk.Seleccione la aplicación CyberX ICS Threat Monitoring for Splunk( Supervisión de amenazas de CyberX ICS para Splunk).
Seleccione el BOTÓN INICIAR SESIÓN PARA DESCARGAR.