Integrowanie rozwiązania Splunk z usługą Microsoft Defender dla IoT
W tym artykule opisano sposób integracji rozwiązania Splunk z usługą Microsoft Defender dla IoT, aby wyświetlić zarówno informacje Splunk, jak i Defender for IoT w jednym miejscu.
Wyświetlanie informacji usługi Defender dla IoT i Splunk razem zapewnia analitykom SOC wielowymiarowy wgląd w wyspecjalizowane protokoły OT i urządzenia IIoT wdrożone w środowiskach przemysłowych wraz z analizą behawioralną z obsługą ICS w celu szybkiego wykrywania podejrzanych lub nietypowych zachowań.
Integracje oparte na chmurze
Napiwek
Integracje zabezpieczeń oparte na chmurze zapewniają kilka korzyści w przypadku rozwiązań lokalnych, takich jak scentralizowane, prostsze zarządzanie czujnikami i scentralizowane monitorowanie zabezpieczeń.
Inne korzyści obejmują monitorowanie w czasie rzeczywistym, efektywne wykorzystanie zasobów, zwiększoną skalowalność i niezawodność, lepszą ochronę przed zagrożeniami bezpieczeństwa, uproszczoną konserwację i aktualizacje oraz bezproblemową integrację z rozwiązaniami innych firm.
Jeśli integrujesz czujnik OT połączony z chmurą z rozwiązaniem Splunk, zalecamy użycie własnego dodatku zabezpieczeń OT splunk dla rozwiązania Splunk. Aby uzyskać więcej informacji, zobacz:
- Dokumentacja splunk dotycząca instalowania dodatków
- Dokumentacja splunk dotycząca dodatku OT Security Dla Splunk
Integracje lokalne
Jeśli pracujesz z czujnikiem OT zarządzanym lokalnie, potrzebujesz rozwiązania lokalnego do wyświetlania informacji usługi Defender for IoT i Splunk w tym samym miejscu.
W takich przypadkach zalecamy skonfigurowanie czujnika OT do wysyłania plików dziennika systemowego bezpośrednio do rozwiązania Splunk lub używania wbudowanego interfejsu API usługi Defender for IoT.
Aby uzyskać więcej informacji, zobacz:
- Przekazywanie lokalnych informacji o alertach OT
- Dokumentacja interfejsu API usługi Defender for IoT
Integracja lokalna (starsza wersja)
W tej sekcji opisano sposób integrowania usługi Defender dla IoT i splunk przy użyciu starszej integracji lokalnej.
Ważne
Starsza integracja rozwiązania Splunk jest obsługiwana do października 2024 r. przy użyciu czujnika w wersji 23.1.3 i nie będzie obsługiwana w nadchodzących głównych wersjach oprogramowania. W przypadku klientów korzystających ze starszej integracji zalecamy przejście do jednej z następujących metod:
- Jeśli integrujesz rozwiązanie zabezpieczeń z systemami opartymi na chmurze, zalecamy użycie dodatku OT Security dla rozwiązania Splunk.
- W przypadku integracji lokalnych zalecamy skonfigurowanie czujnika OT w celu przesyłania dalej zdarzeń dziennika systemowego lub używania interfejsów API usługi Defender dla IoT.
Usługa Microsoft Defender dla IoT została formalnie znana jako CyberX. Odwołania do CyberX odnoszą się do usługi Defender for IoT.
Wymagania wstępne
Przed rozpoczęciem upewnij się, że masz następujące wymagania wstępne:
| Wymagania wstępne | opis |
|---|---|
| Wymagania dotyczące wersji | Do uruchomienia aplikacji wymagane są następujące wersje: — Defender dla IoT w wersji 2.4 lub nowszej. - Splunkbase w wersji 11 lub nowszej. — Splunk Enterprise w wersji 7.2 lub nowszej. |
| Wymagania dotyczące uprawnień | Upewnij się, że masz: — Dostęp do czujnika usługi Defender for IoT OT jako użytkownik Administracja. — Użytkownik splunk z rolą użytkownika na poziomie Administracja. |
Uwaga
Aplikację Splunk można zainstalować lokalnie ('Splunk Enterprise') lub uruchomić w chmurze ('Splunk Cloud'). Integracja rozwiązania Splunk z usługą Defender for IoT obsługuje tylko rozwiązanie "Splunk Enterprise".
Pobieranie aplikacji Defender for IoT w rozwiązaniu Splunk
Aby uzyskać dostęp do aplikacji Defender for IoT w ramach rozwiązania Splunk, musisz pobrać aplikację ze sklepu aplikacji Splunkbase.
Aby uzyskać dostęp do aplikacji Defender for IoT w rozwiązaniu Splunk:
Przejdź do magazynu aplikacji Splunkbase .
Wyszukaj ciąg
CyberX ICS Threat Monitoring for Splunk.Wybierz aplikację CyberX ICS Threat Monitoring for Splunk.
Wybierz PRZYCISK ZALOGUJ SIĘ DO POBRANIA.