Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Cet article explique comment intégrer Splunk à Microsoft Defender pour IoT, afin d’afficher les informations Splunk et Defender pour IoT dans un emplacement unique.
L’affichage conjoint des informations defender pour IoT et Splunk offre aux analystes SOC une visibilité multidimensionnelle sur les protocoles OT spécialisés et les appareils IIoT déployés dans des environnements industriels, ainsi que des analyses comportementales prenant en charge ICS pour détecter rapidement les comportements suspects ou anormaux.
Si vous intégrez Splunk, nous vous recommandons d’utiliser le propre module complémentaire de sécurité OT de Splunk pour Splunk. Pour plus d’informations, reportez-vous aux rubriques suivantes :
- La documentation splunk sur l’installation des compléments
- La documentation Splunk sur le module complémentaire de sécurité OT pour Splunk
Le module complémentaire de sécurité OT pour Splunk est pris en charge pour les intégrations cloud et locales.
Intégrations basées sur le cloud
Conseil
Les intégrations de sécurité basées sur le cloud offrent plusieurs avantages par rapport aux solutions locales, telles que la gestion centralisée et plus simple des capteurs et la surveillance centralisée de la sécurité.
Parmi les autres avantages, citons la surveillance en temps réel, l’utilisation efficace des ressources, l’évolutivité et la robustesse accrues, l’amélioration de la protection contre les menaces de sécurité, la maintenance et les mises à jour simplifiées et l’intégration transparente avec des solutions tierces.
Pour intégrer un capteur connecté au cloud à Splunk, nous vous recommandons d’utiliser le module complémentaire de sécurité OT pour Splunk.
Intégrations locales
Si vous utilisez un capteur géré localement par air-gapped, vous pouvez également configurer votre capteur pour envoyer des fichiers syslog directement à Splunk, ou utiliser l’API intégrée de Defender pour IoT.
Pour plus d’informations, reportez-vous aux rubriques suivantes :
- Transférer les informations d’alerte OT locale
- Informations de référence sur l’API Defender pour IoT
Intégration locale (héritée)
Cette section explique comment intégrer Defender pour IoT et Splunk à l’aide de l’application cyberX ICS Threat Monitoring for Splunk héritée.
Importante
L’application CyberX ICS Threat Monitoring for Splunk héritée est prise en charge jusqu’en octobre 2024 à l’aide de la version 23.1.3 du capteur et ne sera pas prise en charge dans les prochaines versions logicielles majeures.
Pour les clients qui utilisent l’application CyberX ICS Threat Monitoring pour Splunk héritée, nous vous recommandons d’utiliser l’une des méthodes suivantes à la place :
- Utiliser le module complémentaire de sécurité OT pour Splunk
- Configurer votre capteur OT pour transférer les événements syslog
- Utiliser les API Defender pour IoT
Microsoft Defender pour IoT était officiellement connu sous le nom de CyberX. Les références à CyberX font référence à Defender pour IoT.
Configuration requise
Avant de commencer, vérifiez que vous disposez des prérequis suivants :
| Configuration requise | Description |
|---|---|
| Configuration requise pour la version | Les versions suivantes sont requises pour que l’application s’exécute : - Defender pour IoT version 2.4 et ultérieures. - Splunkbase version 11 et versions ultérieures. - Splunk Enterprise version 7.2 et ultérieures. |
| Conditions requises pour les autorisations | Vérifiez que vous disposez des points suivants : - Accès à un capteur OT Defender pour IoT en tant qu’utilisateur Administration. - Utilisateur Splunk avec un rôle d’utilisateur de niveau Administration. |
Remarque
L’application Splunk peut être installée localement (« Splunk Enterprise ») ou exécutée sur un cloud (« Splunk Cloud »). L’intégration de Splunk avec Defender pour IoT prend uniquement en charge « Splunk Enterprise ».
Télécharger l’application Defender pour IoT dans Splunk
Pour accéder à l’application Defender pour IoT dans Splunk, vous devez télécharger l’application à partir du magasin d’applications Splunkbase.
Pour accéder à l’application Defender pour IoT dans Splunk :
Accédez au magasin d’applications Splunkbase .
Recherchez
CyberX ICS Threat Monitoring for Splunk.Sélectionnez l’application CyberX ICS Threat Monitoring for Splunk.
Sélectionnez le BOUTON CONNEXION À TÉLÉCHARGER.