Интеграция Splunk с Microsoft Defender для Интернета вещей
В этой статье описывается, как интегрировать Splunk с Microsoft Defender для Интернета вещей, чтобы просмотреть сведения Splunk и Defender для Интернета вещей в одном месте.
Просмотр сведений Defender для Интернета вещей и Splunk предоставляет аналитикам SOC с многомерной видимостью специализированных протоколов OT и устройств IIoT, развернутых в промышленных средах, а также аналитики поведения с поддержкой ICS для быстрого обнаружения подозрительного или аномального поведения.
Интеграция на основе облака
Совет
Интеграция безопасности на основе облака обеспечивает несколько преимуществ по сравнению с локальными решениями, такими как централизованное, упрощенное управление датчиками и централизованный мониторинг безопасности.
К другим преимуществам относятся мониторинг в режиме реального времени, эффективное использование ресурсов, повышение масштабируемости и надежность, улучшенная защита от угроз безопасности, упрощенное обслуживание и обновления, а также простая интеграция с сторонними решениями.
Если вы интегрируете подключенный к облаку датчик OT с Splunk, рекомендуется использовать собственную надстройку безопасности OT Splunk для Splunk. Дополнительные сведения см. в разделе:
- Документация по Splunk по установке надстроек
- Документация по Splunk для надстройки безопасности OT для Splunk
Локальные интеграции
Если вы работаете с датчиком OT, управляемым в локальном режиме, вам потребуется локальное решение для просмотра сведений Defender для Интернета вещей и Splunk в том же месте.
В таких случаях рекомендуется настроить датчик OT для отправки файлов системного журнала непосредственно в Splunk или использовать встроенный API Defender для Интернета вещей.
Дополнительные сведения см. в разделе:
Локальная интеграция (устаревшая версия)
В этом разделе описывается, как интегрировать Defender для Интернета вещей и Splunk с помощью устаревшей локальной интеграции.
Важно!
Устаревшая интеграция Splunk поддерживается до октября 2024 г. с помощью датчика версии 23.1.3 и не будет поддерживаться в предстоящих основных версиях программного обеспечения. Для клиентов, использующих устаревшую интеграцию, рекомендуется перейти к одному из следующих методов:
- Если вы интегрируете решение безопасности с облачными системами, рекомендуется использовать надстройку безопасности OT для Splunk.
- Для локальной интеграции рекомендуется настроить датчик OT для пересылки событий системного журнала или использовать API Defender для Интернета вещей.
Microsoft Defender для Интернета вещей официально известен как CyberX. Ссылки на CyberX относятся к Defender для Интернета вещей.
Необходимые компоненты
Прежде чем приступить к работе, убедитесь, что у вас есть следующие необходимые компоненты:
| Необходимые компоненты | Description |
|---|---|
| Требования к версии | Для запуска приложения требуются следующие версии: — Defender для Интернета вещей версии 2.4 и выше. — Splunkbase версии 11 и выше. — Splunk Enterprise версии 7.2 и выше. |
| Требования к разрешениям | Убедитесь, что у вас есть: — Доступ к датчику Defender для Интернета вещей OT в качестве Администратор пользователя. — Splunk-пользователь с ролью пользователя уровня Администратор. |
Примечание.
Приложение Splunk можно установить локально (Splunk Enterprise) или запустить в облаке (Splunk Cloud). Интеграция Splunk с Defender для Интернета вещей поддерживает только Splunk Enterprise.
Загрузка приложения Defender для Интернета вещей в Splunk
Чтобы получить доступ к приложению Defender для Интернета вещей в Splunk, необходимо скачать приложение из хранилища приложений Splunkbase.
Чтобы получить доступ к приложению Defender для Интернета вещей в Splunk, выполните следующие действия.
Перейдите в магазин приложений Splunkbase.
Найдите
CyberX ICS Threat Monitoring for Splunk.Выберите средство мониторинга угроз CyberX ICS для приложения Splunk.
Нажмите кнопку ВОЙТИ, ЧТОБЫ ЗАГРУЗИТЬ.