Microsoft Defender for IoT와 Splunk 통합
이 문서에서는 Splunk와 Microsoft Defender for IoT를 통합하여 Splunk와 Defender for IoT 정보를 한 곳에서 모두 보는 방법을 설명합니다.
Defender for IoT와 Splunk 정보를 함께 보면 SOC 분석가에게 산업 환경에 배포된 특수한 OT 프로토콜 및 IoT 디바이스에 대한 다차원 가시성을 제공하며 ICS 인식 동작 분석으로 의심스러운 동작 또는 변칙적인 동작을 신속하게 검색합니다.
Splunk와 통합하는 경우 Splunk용 Splunk의 자체 OT 보안 추가 기능을 사용하는 것이 좋습니다. 자세한 내용은 다음을 참조하세요.
Splunk용 OT 보안 추가 기능은 클라우드 및 온-프레미스 통합 모두에서 지원됩니다.
클라우드 기반 통합
팁
클라우드 기반 보안 통합은 중앙 집중식, 간단한 센서 관리, 중앙 집중식 보안 모니터링과 같은 온-프레미스 솔루션에 비해 몇 가지 이점을 제공합니다.
다른 이점으로는 실시간 모니터링, 효율적인 리소스 사용, 확장성 및 견고성 향상, 보안 위협 방지 개선, 간소화된 유지 관리 및 업데이트, 타사 솔루션과의 원활한 통합 등이 있습니다.
클라우드 연결 센서를 Splunk와 통합하려면 Splunk용 OT 보안 추가 기능을 사용하는 것이 좋습니다.
온-프레미스 통합
로컬에서 관리되는 에어 갭 센서로 작업하는 경우 syslog 파일을 Splunk에 직접 보내거나 Defender for IoT의 기본 제공 API를 사용하도록 센서를 구성할 수도 있습니다.
자세한 내용은 다음을 참조하세요.
온-프레미스 통합(레거시)
이 섹션에서는 레거시 Splunk 애플리케이션용 CyberX ICS 위협 모니터링을 사용하여 Defender for IoT 및 Splunk를 통합하는 방법을 설명합니다.
Important
레거시 Splunk 애플리케이션용 CyberX ICS 위협 모니터링은 센서 버전 23.1.3을 사용하여 2024년 10월까지 지원되며 향후 주요 소프트웨어 버전에서는 지원되지 않습니다.
레거시 Splunk 애플리케이션용 CyberX ICS 위협 모니터링을 사용하는 고객의 경우 다음 방법 중 하나를 대신 사용하는 것이 좋습니다.
- Splunk용 OT 보안 추가 기능 사용
- syslog 이벤트를 전달하도록 OT 센서 구성
- Defender for IoT API 사용
Microsoft Defender for IoT는 공식적으로 CyberX로 알려져 있습니다. CyberX에 대한 참조는 Defender for IoT를 확인하세요.
필수 조건
시작하기 전에 다음 필수 조건을 갖추고 있는지 확인합니다.
| 필수 조건 | 설명 |
|---|---|
| 버전 요구 사항 | 애플리케이션을 실행하려면 다음 버전이 필요합니다. - Defender for IoT 버전 2.4 이상 - Splunkbase 버전 11 이상 - Splunk Enterprise 버전 7.2 이상 |
| 사용 권한 요구 사항 | 다음 사항이 있는지 확인합니다. - Defender for IoT OT 센서에 관리 사용자로 액세스합니다. - 관리자 수준 사용자 역할이 있는 사용자 |
참고 항목
Splunk 애플리케이션은 로컬로 설치하거나('Splunk Enterprise') 클라우드에서 실행할 수 있습니다('Splunk Cloud'). Defender for IoT와 함께 Splunk 통합은 'Splunk Enterprise'만 지원합니다.
Splunk에서 Defender for IoT 애플리케이션 다운로드
Splunk 내에서 Defender for IoT 애플리케이션에 액세스하려면 Splunk 애플리케이션 스토어에서 애플리케이션을 다운로드해야 합니다.
Splunk에서 Defender for IoT 애플리케이션에 액세스하려면 다음을 수행합니다.
Splunkbase 애플리케이션 스토어로 이동합니다.
CyberX ICS Threat Monitoring for Splunk를 검색합니다.Splunk 애플리케이션용 CyberX ICS 위협 모니터링을 선택합니다.
다운로드하려면 로그인 단추를 선택합니다.