Intégrer Splunk à Microsoft Defender pour IoT

  • Article

Cet article explique comment intégrer Splunk à Microsoft Defender pour IoT afin d’afficher les informations Splunk et Defender pour IoT dans un seul emplacement.

L’affichage des informations relatives à Defender pour IoT et à Splunk fournit aux analystes du centre des opérations de sécurité une visibilité multidimensionnelle sur les protocoles OT et les appareils IIoT spécialisés déployés dans des environnements industriels, ainsi qu’une analyse comportementale prenant en charge ICS pour détecter rapidement un comportement suspect ou anormal.

Si vous intégrez à Splunk, nous vous recommandons d’utiliser le module complémentaire Sécurité OT pour Splunk. Pour plus d’informations, consultez l’article suivant :

Le module complémentaire Sécurité OT pour Splunk est pris en charge pour les intégrations cloud et locales.

Intégrations basées sur le cloud

Conseil

Les intégrations de sécurité basées sur le cloud offrent plusieurs avantages par rapport aux solutions locales, telles qu’une gestion centralisée et plus simple des capteurs et une surveillance centralisée de la sécurité.

D’autres avantages incluent une surveillance en temps réel, une utilisation efficace des ressources, une scalabilité et une robustesse accrues, une protection améliorée contre les menaces de sécurité, une maintenance et des mises à jour simplifiées et une intégration transparente de solutions tierces.

Pour intégrer un capteur connecté au cloud à Splunk, nous vous recommandons d’utiliser le module complémentaire Sécurité OT pour Splunk.

Intégrations locales

Si vous utilisez un capteur géré localement en air gap, vous pouvez également configurer votre capteur pour envoyer des fichiers syslog directement à Splunk ou utiliser l’API intégrée de Defender pour IoT.

Pour plus d’informations, consultez l’article suivant :

Intégration locale (héritée)

Cette section explique comment intégrer Defender pour IoT et Splunk à l’aide de l’application CyberX ICS Threat Monitoring pour Splunk héritée.

Important

L’application CyberX ICS Threat Monitoring pour Splunk héritée est prise en charge jusqu’en octobre 2024 à l’aide du capteur version 23.1.3 et ne sera pas prise en charge dans les prochaines versions logicielles majeures.

Nous recommandons aux clients qui utilisent l’application CyberX ICS Threat Monitoring pour Splunk héritée d’utiliser l’une des méthodes suivantes à la place :

Microsoft Defender pour IoT était officiellement connu sous le nom de CyberX. Les références à CyberX s’appliquent à Defender pour IoT.

Prérequis

Avant de commencer, vérifiez que les conditions préalables suivantes sont remplies :

Prérequis Description
Versions requises Les versions suivantes sont requises pour que l’application s’exécute :
- Defender pour IoT versions 2.4 et ultérieures.
- Splunkbase versions 11 et ultérieures.
- Splunk Enterprise versions 7.2 et ultérieures.
Autorisations requises Assurez-vous d’avoir effectué ce qui suit :
- Un accès à un capteur OT Defender pour IoT en tant qu’utilisateur administrateur.
- Un utilisateur Splunk avec un rôle utilisateur de niveau Administrateur.

Remarque

L’application Splunk peut être installée localement (« Splunk Enterprise ») ou exécutée sur un cloud (« Splunk Cloud »). L’intégration de Splunk à Defender pour IoT ne prend en charge que « Splunk Enterprise ».

Télécharger l’application Defender pour IoT dans Splunk

Pour accéder à l’application Defender pour IoT dans Splunk, vous devez télécharger l’application à partir du magasin d’applications Splunkbase.

Pour accéder à l’application Defender pour IoT dans Splunk :

  1. Accédez au Magasin d’applications Splunkbase.

  2. Recherchez CyberX ICS Threat Monitoring for Splunk.

  3. Sélectionnez l’application CyberX ICS Threat Monitoring pour Splunk.

  4. Sélectionnez le BOUTON CONNEXION POUR TÉLÉCHARGEMENT.

Étapes suivantes

Intégrations à d’autres services Microsoft et partenaires