Integre o Splunk ao Microsoft Defender para IoT
Este artigo descreve como integrar o Splunk ao Microsoft Defender for IoT para exibir informações do Splunk e do Defender for IoT em um único lugar.
A visualização conjunta das informações do Defender for IoT e do Splunk fornece aos analistas SOC visibilidade multidimensional dos protocolos OT especializados e dispositivos IIoT implantados em ambientes industriais, juntamente com análises comportamentais com reconhecimento de ICS para detetar rapidamente comportamentos suspeitos ou anômalos.
Integrações baseadas na nuvem
Gorjeta
As integrações de segurança baseadas na nuvem oferecem vários benefícios em relação às soluções locais, como gerenciamento centralizado e mais simples de sensores e monitoramento de segurança centralizado.
Outros benefícios incluem monitoramento em tempo real, uso eficiente de recursos, maior escalabilidade e robustez, proteção aprimorada contra ameaças à segurança, manutenção e atualizações simplificadas e integração perfeita com soluções de terceiros.
Se você estiver integrando um sensor OT conectado à nuvem com o Splunk, recomendamos que você use o complemento de segurança OT do próprio Splunk para o Splunk. Para obter mais informações, consulte:
- A documentação do Splunk sobre a instalação de suplementos
- A documentação do Splunk sobre o Complemento de Segurança OT para Splunk
Integrações locais
Se você estiver trabalhando com um sensor OT air-gapped, gerenciado localmente, precisará de uma solução local para visualizar as informações do Defender for IoT e do Splunk no mesmo local.
Nesses casos, recomendamos que você configure seu sensor OT para enviar arquivos syslog diretamente para o Splunk ou use a API integrada do Defender for IoT.
Para obter mais informações, consulte:
Integração local (legado)
Esta seção descreve como integrar o Defender for IoT e o Splunk usando a integração local legada.
Importante
A integração legada do Splunk é suportada até outubro de 2024 usando a versão 23.1.3 do sensor e não será suportada nas próximas versões principais de software. Para clientes que usam a integração herdada, recomendamos mudar para um dos seguintes métodos:
- Se estiver a integrar a sua solução de segurança com sistemas baseados na nuvem, recomendamos que utilize o Suplemento de Segurança OT para Splunk.
- Para integrações locais, recomendamos que você configure seu sensor OT para encaminhar eventos syslog ou use APIs do Defender for IoT.
O Microsoft Defender para IoT era formalmente conhecido como CyberX. As referências ao CyberX referem-se ao Defender for IoT.
Pré-requisitos
Antes de começar, certifique-se de que tem os seguintes pré-requisitos:
| Pré-requisitos | Description |
|---|---|
| Requisitos de versão | As seguintes versões são necessárias para que o aplicativo seja executado: - Defender para IoT versão 2.4 e superior. - Splunkbase versão 11 e superior. - Splunk Enterprise versão 7.2 e superior. |
| Requisitos de permissão | Certifique-se de que tem: - Acesso a um sensor OT do Defender for IoT como usuário Admin. - Usuário Splunk com uma função de usuário de nível Admin . |
Nota
O aplicativo Splunk pode ser instalado localmente ('Splunk Enterprise') ou executado em uma nuvem ('Splunk Cloud'). A integração do Splunk, juntamente com o Defender for IoT, suporta apenas o 'Splunk Enterprise'.
Baixe o aplicativo Defender for IoT no Splunk
Para acessar o aplicativo Defender for IoT no Splunk, você precisa baixar o aplicativo da loja de aplicativos Splunkbase.
Para acessar o aplicativo Defender for IoT no Splunk:
Navegue até o repositório de aplicativos Splunkbase .
Procurar
CyberX ICS Threat Monitoring for Splunk.Selecione o aplicativo CyberX ICS Threat Monitoring for Splunk.
Selecione o BOTÃO LOGIN TO DOWNLOAD.
Próximos passos
Comentários
Brevemente: Ao longo de 2024, vamos descontinuar progressivamente o GitHub Issues como mecanismo de feedback para conteúdos e substituí-lo por um novo sistema de feedback. Para obter mais informações, veja: https://aka.ms/ContentUserFeedback.
Submeter e ver comentários