A Splunk integrálása a Microsoft Defender for IoT-vel
Ez a cikk azt ismerteti, hogyan integrálható a Splunk a Microsoft Defender for IoT szolgáltatással annak érdekében, hogy a Splunk és a Defender for IoT-információk egyetlen helyen is megtekinthetők legyen.
Az IoT-alapú Defender és a Splunk-információk együttes megtekintése többdimenziós betekintést biztosít az SOC-elemzők számára az ipari környezetekben üzembe helyezett speciális OT-protokollokba és IIoT-eszközökbe, valamint az ICS-kompatibilis viselkedéselemzést a gyanús vagy rendellenes viselkedés gyors észleléséhez.
Felhőalapú integrációk
Tipp.
A felhőalapú biztonsági integrációk számos előnyt biztosítanak a helyszíni megoldásokkal szemben, például központosított, egyszerűbb érzékelőkezelést és központosított biztonsági monitorozást.
További előnyök a valós idejű monitorozás, a hatékony erőforrás-használat, a nagyobb méretezhetőség és robusztusság, a biztonsági fenyegetések elleni hatékonyabb védelem, az egyszerűsített karbantartás és frissítések, valamint a külső megoldásokkal való zökkenőmentes integráció.
Ha felhőalapú OT-érzékelőt integrál a Splunkkal, javasoljuk, hogy használja a Splunk saját OT security bővítményét a Splunkhoz. For more information, see:
- A bővítmények telepítésének Splunk-dokumentációja
- A Splunk ot security bővítményének Splunk-dokumentációja
Helyszíni integrációk
Ha levegőalapú, helyileg felügyelt OT-érzékelővel dolgozik, helyszíni megoldásra van szüksége az IoT-alapú Defender és a Splunk-információk ugyanazon a helyen való megtekintéséhez.
Ilyen esetekben azt javasoljuk, hogy konfigurálja az OT-érzékelőt, hogy közvetlenül a Splunknak küldjön syslog-fájlokat, vagy használja a Defender for IoT beépített API-ját.
For more information, see:
Helyszíni integráció (örökölt)
Ez a szakasz bemutatja, hogyan integrálható a Defender for IoT és a Splunk az örökölt helyszíni integrációval.
Fontos
Az örökölt Splunk-integráció 2024 októberében támogatott a 23.1.3-s érzékelőverzióval, és a jövőbeli fő szoftververziókban nem támogatott. Az örökölt integrációt használó ügyfelek számára javasoljuk, hogy lépjen az alábbi módszerek egyikére:
- Ha a biztonsági megoldást felhőalapú rendszerekkel integrálja, javasoljuk, hogy használja a Splunk ot security bővítményét.
- Helyszíni integrációk esetén javasoljuk, hogy konfigurálja az OT-érzékelőt a syslog-események továbbítására , vagy használja a Defender for IoT API-kat.
A Microsoft Defender for IoT hivatalosan CyberX néven ismert. A CyberX-re mutató hivatkozások az IoT Defenderre vonatkoznak.
Előfeltételek
Mielőtt hozzákezdene, győződjön meg arról, hogy rendelkezik a következő előfeltételekkel:
Megjegyzés:
A Splunk-alkalmazás helyileg telepíthető (Splunk Enterprise), vagy futtatható egy felhőben (Splunk Cloud). A Splunk-integráció és az IoT Defender csak a Splunk Enterprise-t támogatja.
A Defender for IoT-alkalmazás letöltése a Splunkban
A Defender for IoT-alkalmazás Splunkon belüli eléréséhez le kell töltenie az alkalmazást a Splunkbase alkalmazástárolóból.
A Defender for IoT-alkalmazás elérése a Splunkban:
Lépjen a Splunkbase alkalmazástárolóba.
Search for
CyberX ICS Threat Monitoring for Splunk
.Válassza ki a CyberX ICS Threat Monitoring for Splunk alkalmazást.
Válassza a BEJELENTKEZÉS A LETÖLTÉSHEZ gombot.