Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Este artigo descreve como integrar o Splunk com Microsoft Defender para IoT, de modo a ver as informações do Splunk e do Defender para IoT num único local.
A visualização das informações do Defender para IoT e do Splunk em conjunto fornece aos analistas SOC visibilidade multidimensional sobre os protocolos OT especializados e os dispositivos IIoT implementados em ambientes industriais, juntamente com análises comportamentais com deteção de ICS para detetar rapidamente comportamentos suspeitos ou anómalos.
Se estiver a integrar com o Splunk, recomendamos que utilize o Suplemento de Segurança OT do Splunk para o Splunk. Para saber mais, confira:
- A documentação do Splunk sobre a instalação de suplementos
- A documentação do Splunk sobre o Suplemento de Segurança OT para Splunk
O Suplemento de Segurança OT para Splunk é suportado para integrações na cloud e no local.
Integrações baseadas na cloud
Dica
As integrações de segurança baseadas na cloud proporcionam várias vantagens em termos de soluções no local, como a gestão centralizada, mais simples e centralizada da monitorização de segurança.
Outros benefícios incluem monitorização em tempo real, utilização eficiente de recursos, maior escalabilidade e robustez, proteção melhorada contra ameaças de segurança, manutenção e atualizações simplificadas e integração totalmente integrada com soluções de terceiros.
Para integrar um sensor ligado à cloud com o Splunk, recomendamos que utilize o Suplemento de Segurança OT para Splunk.
Integrações no local
Se estiver a trabalhar com um sensor gerido localmente com ar, poderá também configurar o sensor para enviar ficheiros syslog diretamente para o Splunk ou utilizar a API incorporada do Defender para IoT.
Para saber mais, confira:
Integração no local (legada)
Esta secção descreve como integrar o Defender para IoT e o Splunk com a aplicação ICS Threat Monitoring for Splunk legada.
Importante
A Monitorização de Ameaças do ICS do CyberX legada para a aplicação Splunk é suportada até outubro de 2024 com a versão 23.1.3 do sensor e não será suportada nas próximas versões de software principais.
Para os clientes que utilizam a Monitorização de Ameaças do ICS do CyberX legada para a aplicação Splunk, recomendamos que utilizem um dos seguintes métodos:
- Utilizar o Suplemento de Segurança OT para Splunk
- Configurar o sensor OT para reencaminhar eventos do syslog
- Utilizar as APIs do Defender para IoT
Microsoft Defender para IoT era formalmente conhecido como CyberX. Referências ao CyberX referem-se ao Defender para IoT.
Pré-requisitos
Antes de começar, certifique-se de que tem os seguintes pré-requisitos:
| Pré-requisitos | Descrição |
|---|---|
| Requisitos de versão | São necessárias as seguintes versões para a aplicação ser executada: - Versão 2.4 e superior do Defender para IoT. - Splunkbase versão 11 e superior. - Splunk Enterprise versão 7.2 e superior. |
| Requisitos de permissão | Certifique-se de que tem: - Acesso a um sensor OT do Defender para IoT como utilizador Administração. - Utilizador do Splunk com uma função de utilizador de nível Administração. |
Observação
A aplicação Splunk pode ser instalada localmente ('Splunk Enterprise') ou executada numa cloud ('Splunk Cloud'). A integração do Splunk juntamente com o Defender para IoT suporta apenas "Splunk Enterprise".
Transferir a aplicação Defender para IoT no Splunk
Para aceder à aplicação Defender para IoT no Splunk, tem de transferir a aplicação a partir do arquivo de aplicações do Splunkbase.
Para aceder à aplicação Defender para IoT no Splunk:
Navegue para o arquivo de aplicações do Splunkbase .
Pesquise por
CyberX ICS Threat Monitoring for Splunk.Selecione a aplicação CyberX ICS Threat Monitoring for Splunk (Monitorização de Ameaças do ICS CyberX para a aplicação Splunk).
Selecione o BOTÃO INICIAR SESSÃO PARA TRANSFERIR.