Splunk integreren met Microsoft Defender for IoT
In dit artikel wordt beschreven hoe u Splunk integreert met Microsoft Defender for IoT om zowel Splunk- als Defender for IoT-gegevens op één plaats weer te geven.
Het weergeven van zowel Defender for IoT- als Splunk-informatie biedt SOC-analisten multidimensionale zichtbaarheid in de gespecialiseerde OT-protocollen en IIoT-apparaten die zijn geïmplementeerd in industriële omgevingen, samen met ICS-bewuste gedragsanalyse om snel verdacht of afwijkend gedrag te detecteren.
Cloudintegraties
Fooi
Cloudgebaseerde beveiligingsintegraties bieden verschillende voordelen ten opzichte van on-premises oplossingen, zoals gecentraliseerd, eenvoudiger sensorbeheer en gecentraliseerde beveiligingsbewaking.
Andere voordelen zijn realtime-bewaking, efficiënt resourcegebruik, verbeterde schaalbaarheid en robuustheid, verbeterde bescherming tegen beveiligingsrisico's, vereenvoudigd onderhoud en updates en naadloze integratie met oplossingen van derden.
Als u een met de cloud verbonden OT-sensor integreert met Splunk, raden we u aan de eigen OT Security-invoegtoepassing van Splunk te gebruiken voor Splunk. Zie voor meer informatie:
- De Splunk-documentatie over het installeren van invoegtoepassingen
- De Splunk-documentatie over de OT Security-invoegtoepassing voor Splunk
On-premises integraties
Als u werkt met een lucht-gapped, lokaal beheerde OT-sensor, hebt u een on-premises oplossing nodig om Defender for IoT- en Splunk-informatie op dezelfde plaats weer te geven.
In dergelijke gevallen raden we u aan uw OT-sensor te configureren om syslog-bestanden rechtstreeks naar Splunk te verzenden of de ingebouwde API van Defender for IoT te gebruiken.
Zie voor meer informatie:
On-premises integratie (verouderd)
In deze sectie wordt beschreven hoe u Defender for IoT en Splunk integreert met behulp van de verouderde on-premises integratie.
Belangrijk
De verouderde Splunk-integratie wordt ondersteund tot en met oktober 2024 met sensorversie 23.1.3 en wordt niet ondersteund in toekomstige primaire softwareversies. Voor klanten die de verouderde integratie gebruiken, raden we u aan om over te stappen op een van de volgende methoden:
- Als u uw beveiligingsoplossing integreert met cloudsystemen, raden we u aan de OT Security-invoegtoepassing voor Splunk te gebruiken.
- Voor on-premises integraties raden we u aan om uw OT-sensor te configureren om syslog-gebeurtenissen door te sturen of Defender for IoT-API's te gebruiken.
Microsoft Defender for IoT werd formeel bekend als CyberX. Verwijzingen naar CyberX verwijzen naar Defender for IoT.
Vereisten
Voordat u begint, moet u ervoor zorgen dat u aan de volgende vereisten voldoet:
| Vereisten | Omschrijving |
|---|---|
| Versievereisten | De volgende versies zijn vereist om de toepassing uit te voeren: - Defender for IoT versie 2.4 en hoger. - Splunkbase versie 11 en hoger. - Splunk Enterprise versie 7.2 en hoger. |
| Machtigingsvereisten | Zorg ervoor dat u het volgende hebt: - Toegang tot een Defender for IoT OT-sensor als Beheer gebruiker. - Splunk-gebruiker met een Beheer gebruikersrol op niveau. |
Notitie
De Splunk-toepassing kan lokaal worden geïnstalleerd ('Splunk Enterprise') of worden uitgevoerd in een cloud ('Splunk Cloud'). De Splunk-integratie samen met Defender for IoT ondersteunt alleen Splunk Enterprise.
De Defender for IoT-toepassing downloaden in Splunk
Als u toegang wilt krijgen tot de Defender for IoT-toepassing in Splunk, moet u de toepassing downloaden uit het Splunkbase-toepassingsarchief.
Ga als volgt te werk om toegang te krijgen tot de Defender for IoT-toepassing in Splunk:
Navigeer naar het Splunkbase-toepassingsarchief .
Zoek naar
CyberX ICS Threat Monitoring for Splunk.Selecteer de CyberX ICS Threat Monitoring for Splunk-toepassing.
Selecteer de KNOP AANMELDEN OM TE DOWNLOADEN.