Integrare Splunk con Microsoft Defender per IoT

Questo articolo descrive come integrare Splunk con Microsoft Defender per IoT, per visualizzare le informazioni su Splunk e Defender per IoT in un'unica posizione.

La visualizzazione delle informazioni sia di Defender per IoT che di Splunk offre agli analisti SOC visibilità multidimensionale sui protocolli OT specializzati e sui dispositivi IIoT distribuiti in ambienti industriali, insieme all'analisi comportamentale compatibile con ICS per rilevare rapidamente comportamenti sospetti o anomali.

Integrazioni basate sul cloud

Suggerimento

Le integrazioni di sicurezza basate sul cloud offrono diversi vantaggi rispetto alle soluzioni locali, ad esempio la gestione centralizzata dei sensori e il monitoraggio centralizzato della sicurezza.

Altri vantaggi includono il monitoraggio in tempo reale, l'uso efficiente delle risorse, una maggiore scalabilità e affidabilità, una maggiore protezione dalle minacce alla sicurezza, manutenzione e aggiornamenti semplificati e una perfetta integrazione con soluzioni di terze parti.

Se si sta integrando un sensore OT connesso al cloud con Splunk, è consigliabile usare il proprio componente aggiuntivo OT Security di Splunk per Splunk. Per altre informazioni, vedere:

• Documentazione di Splunk sull'installazione dei componenti aggiuntivi
• Documentazione di Splunk sul componente aggiuntivo per la sicurezza OT per Splunk

Integrazioni locali

Se si usa un sensore OT gestito localmente, è necessaria una soluzione locale per visualizzare le informazioni di Defender per IoT e Splunk nella stessa posizione.

In questi casi, è consigliabile configurare il sensore OT per inviare i file syslog direttamente a Splunk o usare l'API predefinita di Defender per IoT.

Per altre informazioni, vedere:

• Inoltrare informazioni sull'avviso OT locale
• Informazioni di riferimento sulle API defender per IoT

Integrazione locale (legacy)

Questa sezione descrive come integrare Defender per IoT e Splunk usando l'integrazione legacy locale.

Importante

L'integrazione legacy di Splunk è supportata fino a ottobre 2024 usando la versione del sensore 23.1.3 e non sarà supportata nelle prossime versioni principali del software. Per i clienti che usano l'integrazione legacy, è consigliabile passare a uno dei metodi seguenti:

• Se si sta integrando la soluzione di sicurezza con sistemi basati sul cloud, è consigliabile usare il componente aggiuntivo OT Security per Splunk.
• Per le integrazioni locali, è consigliabile configurare il sensore OT per inoltrare gli eventi syslog o usare le API defender per IoT.

Microsoft Defender per IoT era formalmente noto come CyberX. I riferimenti a CyberX fanno riferimento a Defender per IoT.

Prerequisiti

Prima di iniziare, assicurarsi di disporre dei prerequisiti seguenti:

Prerequisiti	Descrizione
Requisiti della versione	Per l'esecuzione dell'applicazione sono necessarie le versioni seguenti: - Defender per IoT versione 2.4 e successive. - Splunkbase versione 11 e successive. - Splunk Enterprise versione 7.2 e successive.
Requisiti di autorizzazione	Assicurarsi di disporre di: - Accesso a un sensore OT di Defender per IoT come utente Amministrazione. - Utente splunk con un ruolo utente a livello di Amministrazione.

Nota

L'applicazione Splunk può essere installata in locale ('Splunk Enterprise') o eseguita in un cloud ('Splunk Cloud'). L'integrazione di Splunk insieme a Defender per IoT supporta solo "Splunk Enterprise".

Scaricare l'applicazione Defender per IoT in Splunk

Per accedere all'applicazione Defender per IoT all'interno di Splunk, è necessario scaricare l'applicazione dall'archivio applicazioni Splunkbase.

Per accedere all'applicazione Defender per IoT in Splunk:

1. Passare all'archivio applicazioni Splunkbase .

2. Cercare CyberX ICS Threat Monitoring for Splunk.

3. Selezionare l'applicazione CyberX ICS Threat Monitoring per Splunk.

4. Selezionare il PULSANTE LOGIN TO DOWNLOAD (ACCEDI PER SCARICARE).

Passaggi successivi

Integrazioni con Microsoft e servizi partner