A Splunk integrálása a Microsoft Defender for IoT-vel

Ez a cikk azt ismerteti, hogyan integrálható a Splunk a Microsoft Defender for IoT szolgáltatással annak érdekében, hogy a Splunk és a Defender for IoT-információk egyetlen helyen is megtekinthetők legyen.

Az IoT-alapú Defender és a Splunk-információk együttes megtekintése többdimenziós betekintést biztosít az SOC-elemzők számára az ipari környezetekben üzembe helyezett speciális OT-protokollokba és IIoT-eszközökbe, valamint az ICS-kompatibilis viselkedéselemzést a gyanús vagy rendellenes viselkedés gyors észleléséhez.

Felhőalapú integrációk

Tipp.

A felhőalapú biztonsági integrációk számos előnyt biztosítanak a helyszíni megoldásokkal szemben, például központosított, egyszerűbb érzékelőkezelést és központosított biztonsági monitorozást.

További előnyök a valós idejű monitorozás, a hatékony erőforrás-használat, a nagyobb méretezhetőség és robusztusság, a biztonsági fenyegetések elleni hatékonyabb védelem, az egyszerűsített karbantartás és frissítések, valamint a külső megoldásokkal való zökkenőmentes integráció.

Ha felhőalapú OT-érzékelőt integrál a Splunkkal, javasoljuk, hogy használja a Splunk saját OT security bővítményét a Splunkhoz. For more information, see:

• A bővítmények telepítésének Splunk-dokumentációja
• A Splunk ot security bővítményének Splunk-dokumentációja

Helyszíni integrációk

Ha levegőalapú, helyileg felügyelt OT-érzékelővel dolgozik, helyszíni megoldásra van szüksége az IoT-alapú Defender és a Splunk-információk ugyanazon a helyen való megtekintéséhez.

Ilyen esetekben azt javasoljuk, hogy konfigurálja az OT-érzékelőt, hogy közvetlenül a Splunknak küldjön syslog-fájlokat, vagy használja a Defender for IoT beépített API-ját.

For more information, see:

• Helyszíni OT-riasztási információk továbbítása
• A Defender for IoT API referenciája

Helyszíni integráció (örökölt)

Ez a szakasz bemutatja, hogyan integrálható a Defender for IoT és a Splunk az örökölt helyszíni integrációval.

Fontos

Az örökölt Splunk-integráció 2024 októberében támogatott a 23.1.3-s érzékelőverzióval, és a jövőbeli fő szoftververziókban nem támogatott. Az örökölt integrációt használó ügyfelek számára javasoljuk, hogy lépjen az alábbi módszerek egyikére:

• Ha a biztonsági megoldást felhőalapú rendszerekkel integrálja, javasoljuk, hogy használja a Splunk ot security bővítményét.
• Helyszíni integrációk esetén javasoljuk, hogy konfigurálja az OT-érzékelőt a syslog-események továbbítására , vagy használja a Defender for IoT API-kat.

A Microsoft Defender for IoT hivatalosan CyberX néven ismert. A CyberX-re mutató hivatkozások az IoT Defenderre vonatkoznak.

Előfeltételek

Mielőtt hozzákezdene, győződjön meg arról, hogy rendelkezik a következő előfeltételekkel:

Előfeltételek	Leírás
Verziókövetelmények	Az alkalmazás futtatásához a következő verziók szükségesek: - Defender for IoT version 2.4 vagy újabb. - A Splunkbase 11-es vagy újabb verziója. - A Splunk Enterprise 7.2-es vagy újabb verziója.
Engedélykövetelmények	Győződjön meg arról, hogy: – Hozzáférés a Defender for IoT OT-érzékelőhöz Rendszergazda felhasználóként. - Splunk felhasználó Rendszergazda szintű felhasználói szerepkörrel.

Megjegyzés:

A Splunk-alkalmazás helyileg telepíthető (Splunk Enterprise), vagy futtatható egy felhőben (Splunk Cloud). A Splunk-integráció és az IoT Defender csak a Splunk Enterprise-t támogatja.

A Defender for IoT-alkalmazás letöltése a Splunkban

A Defender for IoT-alkalmazás Splunkon belüli eléréséhez le kell töltenie az alkalmazást a Splunkbase alkalmazástárolóból.

A Defender for IoT-alkalmazás elérése a Splunkban:

1. Lépjen a Splunkbase alkalmazástárolóba.

2. Search for CyberX ICS Threat Monitoring for Splunk.

3. Válassza ki a CyberX ICS Threat Monitoring for Splunk alkalmazást.

4. Válassza a BEJELENTKEZÉS A LETÖLTÉSHEZ gombot.

Következő lépések

Integráció a Microsofttal és a partnerszolgáltatásokkal