Splunk を Microsoft Defender for IoT と統合する

この記事では、Splunk と Defender for IoT の両方の情報を 1 か所で表示するために、Splunk を Microsoft Defender for IoT と統合する方法について説明します。

Defender for IoT と Splunk の両方の情報を一緒に表示すると、SOC アナリストは産業環境にデプロイされた特殊な OT プロトコルと IIoT デバイスを多次元で視覚化できると共に、疑わしい動作や異常な動作を迅速に検出するための ICS 対応の動作分析が可能になります。

Splunk と統合する場合は、Splunk 独自の Splunk 用 OT セキュリティ アドオンを使用することをお勧めします。 詳細については、以下を参照してください:

• アドインのインストールに関する Splunk ドキュメント
• Splunk 用 OT セキュリティ アドオンに関する Splunk ドキュメント

Splunk の OT セキュリティ アドオンは、クラウドとオンプレミスの両方の統合でサポートされています。

クラウドベースの統合

ヒント

クラウドベースのセキュリティの統合は、一元化されたより簡潔なセンサー管理や、一元化されたセキュリティ監視など、オンプレミス ソリューションにいくつもの利点をもたらします。

その他の利点としては、リアルタイム監視、効率的なリソースの使用、スケーラビリティと堅牢性の向上、セキュリティ上の脅威に対する保護の強化、メンテナンスと更新の簡素化、サードパーティ ソリューションとのシームレスな統合などがあります。

クラウドに接続されたセンサーを Splunk と統合するには、Splunk 用 OT セキュリティ アドオンを使用することをお勧めします。

オンプレミスの統合

エアギャップ ローカル管理センサーを使用している場合は、syslog ファイルを Splunk に直接送信するようにセンサーを構成することもできます。または、Defender for IoT の組み込み API を使用します。

詳細については、以下を参照してください:

• オンプレミスの OT アラート情報を転送する
• Defender for IoT API リファレンス

オンプレミスの統合 (レガシ)

このセクションでは、レガシ CyberX ICS Threat Monitoring for Splunk アプリケーションを使用して Defender for IoT と Splunk を統合する方法について説明します。

重要

レガシ CyberX ICS Threat Monitoring for Splunk アプリケーションは、センサー バージョン 23.1.3 を使用して 2024 年 10 月までサポートされますが、ソフトウェアの今後のメジャー バージョンではサポートされなくなります。

レガシ CyberX ICS Threat Monitoring for Splunk アプリケーションを使用しているお客様については、代わりに、次のいずれかの方法を使用することをお勧めします。

• Splunk 用 OT セキュリティ アドオンを使用する
• syslog イベントを転送するようにす OT センサーを構成する
• Defender for IoT の API を使用する

Microsoft Defender for IoT は、正式には CyberX と呼ばれるものでした。 CyberX について記載があった場合、これは Defender for IoT を指しています。

前提条件

開始する前に、以下の前提条件を満たしていることを確認してください。

前提条件	説明
バージョンの要件	このアプリケーションを実行するには、次のバージョンが必要です。 - Defender for IoT バージョン 2.4 以降。 - Splunkbase バージョン 11 以降。 - Splunk Enterprise バージョン 7.2 以降。
アクセス許可の要件	次のことを確認してください。 - 管理者ユーザーとしての Defender for IoT OT センサーへのアクセス権。 - "管理者" レベルのユーザー ロールを持つ Splunk ユーザー。

Note

Splunk アプリケーションは、ローカル環境 ('Splunk Enterprise') にインストールすることも、クラウド ('Splunk Cloud') で実行することもできます。 Splunk を Defender for IoT と統合することにより 'Splunk Enterprise' のみがサポートされます。

Splunk で Defender for IoT アプリケーションをダウンロードする

Splunk 内で Defender for IoT アプリケーションにアクセスするには、Splunkbase アプリケーション ストアからアプリケーションをダウンロードする必要があります。

Splunk で Defender for IoT アプリケーションにアクセスするには、次の手順を実行します。

1. Splunkbase アプリケーション ストアに移動します。

2. CyberX ICS Threat Monitoring for Splunk を検索します。

3. CyberX ICS Threat Monitoring for Splunk アプリケーションを選択します。

4. [LOGIN TO DOWNLOAD BUTTON](ログインしてダウンロード ボタン) を選択します。

次のステップ

Microsoft およびパートナーのサービスと統合する