Splunk'u IoT için Microsoft Defender ile tümleştirme
Bu makalede, hem Splunk hem de IoT için Defender bilgilerini tek bir yerde görüntülemek için Splunk'u IoT için Microsoft Defender ile tümleştirme açıklanmaktadır.
Hem IoT için Defender hem de Splunk bilgilerini birlikte görüntülemek, SOC analistlerine endüstriyel ortamlarda dağıtılan özel OT protokolleri ve IIoT cihazları üzerinde çok boyutlu görünürlük ve şüpheli veya anormal davranışları hızla algılamak için ICS kullanan davranış analizi sağlar.
Bulut tabanlı tümleştirmeler
Bahşiş
Bulut tabanlı güvenlik tümleştirmeleri, merkezi, daha basit sensör yönetimi ve merkezi güvenlik izleme gibi şirket içi çözümlere göre çeşitli avantajlar sağlar.
Diğer avantajlar arasında gerçek zamanlı izleme, verimli kaynak kullanımı, artırılmış ölçeklenebilirlik ve sağlamlık, güvenlik tehditlerine karşı geliştirilmiş koruma, basitleştirilmiş bakım ve güncelleştirmeler ve üçüncü taraf çözümlerle sorunsuz tümleştirme yer alır.
Buluta bağlı bir OT sensörünü Splunk ile tümleştiriyorsanız Splunk için Splunk'un kendi OT Güvenlik Eklentisini kullanmanızı öneririz. Daha fazla bilgi için bkz.
- Eklentileri yüklemeyle ilgili Splunk belgeleri
- Splunk için OT Güvenlik Eklentisi ile ilgili Splunk belgeleri
Şirket içi tümleştirmeler
Havayla kaplı, yerel olarak yönetilen bir OT sensörüyle çalışıyorsanız IoT için Defender ve Splunk bilgilerini aynı yerde görüntülemek için şirket içi bir çözüme ihtiyacınız vardır.
Bu gibi durumlarda, OT algılayıcınızı syslog dosyalarını doğrudan Splunk'a gönderecek şekilde yapılandırmanızı veya IoT'nin yerleşik API'sinde Defender'ı kullanmanızı öneririz.
Daha fazla bilgi için bkz.
Şirket içi tümleştirme (eski)
Bu bölümde, eski, şirket içi tümleştirmeyi kullanarak IoT ve Splunk için Defender'ın nasıl tümleştirilip tümleştirndiği açıklanmaktadır.
Önemli
Eski Splunk tümleştirmesi, algılayıcı sürümü 23.1.3 kullanılarak Ekim 2024'e kadar desteklenir ve gelecek ana yazılım sürümlerinde desteklenmez. Eski tümleştirmeyi kullanan müşteriler için aşağıdaki yöntemlerden birine geçmenizi öneririz:
- Güvenlik çözümünüzü bulut tabanlı sistemlerle tümleştiriyorsanız Splunk için OT Güvenlik Eklentisi'ni kullanmanızı öneririz.
- Şirket içi tümleştirmeler için, OT algılayıcınızı syslog olaylarını iletecek şekilde yapılandırmanızı veya IoT API'leri için Defender'ı kullanmanızı öneririz.
IoT için Microsoft Defender resmi olarak CyberX olarak biliniyordu. CyberX başvuruları IoT için Defender'a başvurur.
Önkoşullar
Başlamadan önce aşağıdaki önkoşullara sahip olduğunuzdan emin olun:
| Önkoşullar | Tanım |
|---|---|
| Sürüm gereksinimleri | Uygulamanın çalışması için aşağıdaki sürümler gereklidir: - IoT sürüm 2.4 ve üzeri için Defender. - Splunkbase sürüm 11 ve üzeri. - Splunk Enterprise sürüm 7.2 ve üzeri. |
| İzin gereksinimleri | Şu durumlara sahip olduğunuzdan emin olun: - IoT için Defender OT algılayıcısına Yönetici kullanıcı olarak erişim. - Yönetici düzeyinde kullanıcı rolüne sahip splunk kullanıcısı. |
Dekont
Splunk uygulaması yerel olarak yüklenebilir ('Splunk Enterprise') veya bir bulutta ('Splunk Cloud') çalıştırılabilir. IoT için Defender ile birlikte Splunk tümleştirmesi yalnızca 'Splunk Enterprise'ı destekler.
Splunk'ta IoT için Defender uygulamasını indirme
Splunk içindeki IoT için Defender uygulamasına erişmek için uygulamayı Splunkbase uygulama deposundan indirmeniz gerekir.
Splunk'ta IoT için Defender uygulamasına erişmek için:
Splunkbase uygulama deposuna gidin.
CyberX ICS Threat Monitoring for Splunkarayın.Splunk için CyberX ICS Tehdit İzleme uygulamasını seçin.
İnDİrMEK IÇIN OTURUM AÇ DÜĞMESINI seçin.
Sonraki adımlar
Geri Bildirim
Çok yakında: 2024 boyunca, içerik için geri bildirim mekanizması olarak GitHub Sorunları’nı kullanımdan kaldıracak ve yeni bir geri bildirim sistemiyle değiştireceğiz. Daha fazla bilgi için bkz. https://aka.ms/ContentUserFeedback.
Gönderin ve geri bildirimi görüntüleyin