Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Questo articolo descrive come integrare Splunk con Microsoft Defender per IoT, per visualizzare le informazioni su Splunk e Defender per IoT in un'unica posizione.
La visualizzazione di entrambe le informazioni di Defender per IoT e Splunk offre agli analisti soc una visibilità multidimensionale sui protocolli OT specializzati e sui dispositivi IIoT distribuiti in ambienti industriali, insieme all'analisi comportamentale compatibile con ICS per rilevare rapidamente comportamenti sospetti o anomali.
Se si esegue l'integrazione con Splunk, è consigliabile usare il componente aggiuntivo per la sicurezza OT di Splunk per Splunk. Per altre informazioni, vedere:
- Documentazione di Splunk sull'installazione di componenti aggiuntivi
- Documentazione di Splunk sul componente aggiuntivo per la sicurezza OT per Splunk
Il componente aggiuntivo per la sicurezza OT per Splunk è supportato sia per le integrazioni cloud che locali.
Integrazioni basate sul cloud
Consiglio
Le integrazioni di sicurezza basate sul cloud offrono diversi vantaggi rispetto alle soluzioni locali, ad esempio la gestione centralizzata e più semplice dei sensori e il monitoraggio centralizzato della sicurezza.
Altri vantaggi includono il monitoraggio in tempo reale, l'uso efficiente delle risorse, una maggiore scalabilità e robustezza, una migliore protezione dalle minacce alla sicurezza, una manutenzione e aggiornamenti semplificati e un'integrazione senza problemi con soluzioni di terze parti.
Per integrare un sensore connesso al cloud con Splunk, è consigliabile usare il componente aggiuntivo di sicurezza OT per Splunk.
Integrazioni locali
Se si usa un sensore gestito in locale con air-gapped, è anche possibile configurare il sensore per inviare i file syslog direttamente a Splunk o usare l'API predefinita di Defender per IoT.
Per altre informazioni, vedere:
Integrazione locale (legacy)
Questa sezione descrive come integrare Defender per IoT e Splunk usando l'applicazione legacy CyberX ICS Threat Monitoring for Splunk .
Importante
L'applicazione CyberX ICS Threat Monitoring per Splunk legacy è supportata fino a ottobre 2024 con sensore versione 23.1.3 e non sarà supportata nelle prossime versioni principali del software.
Per i clienti che usano l'applicazione CyberX ICS Threat Monitoring per Splunk legacy, è consigliabile usare invece uno dei metodi seguenti:
- Usare il componente aggiuntivo per la sicurezza OT per Splunk
- Configurare il sensore OT per inoltrare gli eventi syslog
- Usare le API di Defender per IoT
Microsoft Defender per IoT era formalmente noto come CyberX. I riferimenti a CyberX fanno riferimento a Defender per IoT.
Prerequisiti
Prima di iniziare, assicurarsi di avere i prerequisiti seguenti:
| Prerequisiti | Descrizione |
|---|---|
| Requisiti di versione | Per l'esecuzione dell'applicazione sono necessarie le versioni seguenti: - Defender per IoT versione 2.4 e successive. - Splunkbase versione 11 e successive. - Splunk Enterprise versione 7.2 e successive. |
| Requisiti di autorizzazione | Assicurarsi di avere: - Accesso a un sensore OT Defender per IoT come utente Amministrazione. - Utente splunk con un ruolo utente a livello di Amministrazione. |
Nota
L'applicazione Splunk può essere installata in locale ('Splunk Enterprise') o eseguita in un cloud ('Splunk Cloud'). L'integrazione di Splunk insieme a Defender per IoT supporta solo "Splunk Enterprise".
Scaricare l'applicazione Defender per IoT in Splunk
Per accedere all'applicazione Defender per IoT all'interno di Splunk, è necessario scaricare l'applicazione dall'archivio applicazioni Splunkbase.
Per accedere all'applicazione Defender per IoT in Splunk:
Passare all'archivio applicazioni Splunkbase .
Cercare
CyberX ICS Threat Monitoring for Splunk.Selezionare l'applicazione CyberX ICS Threat Monitoring for Splunk.
Selezionare il PULSANTE LOGIN TO DOWNLOAD (ACCEDI AL DOWNLOAD).