Udostępnij za pośrednictwem


Integrowanie rozwiązania Splunk z usługą Microsoft Defender dla IoT

W tym artykule opisano sposób integracji rozwiązania Splunk z usługą Microsoft Defender dla IoT, aby wyświetlić zarówno informacje Splunk, jak i Defender for IoT w jednym miejscu.

Wyświetlanie informacji usługi Defender dla IoT i Splunk razem zapewnia analitykom SOC wielowymiarowy wgląd w wyspecjalizowane protokoły OT i urządzenia IIoT wdrożone w środowiskach przemysłowych wraz z analizą behawioralną z obsługą ICS w celu szybkiego wykrywania podejrzanych lub nietypowych zachowań.

Integracje oparte na chmurze

Napiwek

Integracje zabezpieczeń oparte na chmurze zapewniają kilka korzyści w przypadku rozwiązań lokalnych, takich jak scentralizowane, prostsze zarządzanie czujnikami i scentralizowane monitorowanie zabezpieczeń.

Inne korzyści obejmują monitorowanie w czasie rzeczywistym, efektywne wykorzystanie zasobów, zwiększoną skalowalność i niezawodność, lepszą ochronę przed zagrożeniami bezpieczeństwa, uproszczoną konserwację i aktualizacje oraz bezproblemową integrację z rozwiązaniami innych firm.

Jeśli integrujesz czujnik OT połączony z chmurą z rozwiązaniem Splunk, zalecamy użycie własnego dodatku zabezpieczeń OT splunk dla rozwiązania Splunk. Aby uzyskać więcej informacji, zobacz:

Integracje lokalne

Jeśli pracujesz z czujnikiem OT zarządzanym lokalnie, potrzebujesz rozwiązania lokalnego do wyświetlania informacji usługi Defender for IoT i Splunk w tym samym miejscu.

W takich przypadkach zalecamy skonfigurowanie czujnika OT do wysyłania plików dziennika systemowego bezpośrednio do rozwiązania Splunk lub używania wbudowanego interfejsu API usługi Defender for IoT.

Aby uzyskać więcej informacji, zobacz:

Integracja lokalna (starsza wersja)

W tej sekcji opisano sposób integrowania usługi Defender dla IoT i splunk przy użyciu starszej integracji lokalnej.

Ważne

Starsza integracja rozwiązania Splunk jest obsługiwana do października 2024 r. przy użyciu czujnika w wersji 23.1.3 i nie będzie obsługiwana w nadchodzących głównych wersjach oprogramowania. W przypadku klientów korzystających ze starszej integracji zalecamy przejście do jednej z następujących metod:

Usługa Microsoft Defender dla IoT została formalnie znana jako CyberX. Odwołania do CyberX odnoszą się do usługi Defender for IoT.

Wymagania wstępne

Przed rozpoczęciem upewnij się, że masz następujące wymagania wstępne:

Wymagania wstępne opis
Wymagania dotyczące wersji Do uruchomienia aplikacji wymagane są następujące wersje:
— Defender dla IoT w wersji 2.4 lub nowszej.
- Splunkbase w wersji 11 lub nowszej.
— Splunk Enterprise w wersji 7.2 lub nowszej.
Wymagania dotyczące uprawnień Upewnij się, że masz:
— Dostęp do czujnika usługi Defender for IoT OT jako użytkownik Administracja.
— Użytkownik splunk z rolą użytkownika na poziomie Administracja.

Uwaga

Aplikację Splunk można zainstalować lokalnie ('Splunk Enterprise') lub uruchomić w chmurze ('Splunk Cloud'). Integracja rozwiązania Splunk z usługą Defender for IoT obsługuje tylko rozwiązanie "Splunk Enterprise".

Pobieranie aplikacji Defender for IoT w rozwiązaniu Splunk

Aby uzyskać dostęp do aplikacji Defender for IoT w ramach rozwiązania Splunk, musisz pobrać aplikację ze sklepu aplikacji Splunkbase.

Aby uzyskać dostęp do aplikacji Defender for IoT w rozwiązaniu Splunk:

  1. Przejdź do magazynu aplikacji Splunkbase .

  2. Wyszukaj ciąg CyberX ICS Threat Monitoring for Splunk.

  3. Wybierz aplikację CyberX ICS Threat Monitoring for Splunk.

  4. Wybierz PRZYCISK ZALOGUJ SIĘ DO POBRANIA.

Następne kroki