整合 Splunk 與適用於 IoT 的 Microsoft Defender
本文說明如何整合 Splunk 與適用於 IoT 的 Microsoft Defender,以在單一位置檢視適用於 IoT 的 Splunk 和 Defender 資訊。
同時檢視適用於 IoT 的 Defender 和 Splunk 資訊,為 SOC 分析師提供多維度可見度,瞭解在產業環境中部署的特殊 OT 通訊協定和 IIoT 裝置,以及 ICS 感知行為分析,以快速偵測可疑或異常行為。
如果您要與 Splunk 整合,建議您使用 Splunk 自己的適用於 Splunk 的 OT 安全性附加元件。 如需詳細資訊,請參閱
適用於 Splunk 的 OT 安全性附加元件同時支援雲端和內部部署整合。
雲端式整合
提示
雲端式安全性整合提供數個內部部署解決方案的優點,例如集中式、更簡單的感應器管理和集中式安全性監視。
其他優點包括即時監視、有效率的資源使用、提高延展性和強固性、改善對安全性威脅的保護、簡化的維護和更新,以及與第三方解決方案的無縫整合。
若要整合雲端連線感應器與 Splunk,建議您使用適用於 Splunk OT 安全性附加元件。
內部部署整合
如果您正在使用空中套用的本機受控感應器,您可能也想要將感應器設定為將 syslog 檔案直接傳送至 Splunk,或使用適用於 IoT 的 Defender 內建 API。
如需詳細資訊,請參閱
內部部署整合 (舊版)
本節說明如何使用舊版的 IoT 和 Splunk 整合 Defender,適用於 Splunk 應用程式的 CyberX ICS 威脅監視。
重要
舊版適用於 Splunk 的 CyberX ICS 威脅監測應用程式能在 2024 年 10 月前使用感應器 23.1.3 版獲得支援,且在未來的主要軟體版本中都不會受到支援。
對於使用舊版適用於 Splunk 的 CyberX ICS 威脅監測應用程式的客戶,建議您改用下列其中一種方法:
- 使用適用於 Splunk 的 OT 安全性附加元件
- 將您的 OT 感應器設定為轉送 syslog 事件
- 使用適用於 IoT API 的 Defender
適用於 IoT 的 Microsoft Defender 正式稱為 CyberX。 CyberX 的參考是指適用於 IoT 的 Defender。
必要條件
開始之前,請先確定您已擁有下列必要條件:
| 必要條件 | 描述 |
|---|---|
| 版本需求 | 執行應用程式需要下列版本: - 適用於 IoT 的 Defender 2.4 版和更新版本。 - Splunkbase 11 版和更新版本。 - Splunk Enterprise 7.2 版和更新版本。 |
| 權限需求 | 請確保您: - 以管理使用者身分存取適用於 IoT 的 Defender OT 感應器。 - 具有管理員層級使用者角色的 Splunk 使用者。 |
注意
Splunk 應用程式可以在本機上安裝 ('Splunk Enterprise') 或在雲端上執行 ('Splunk Cloud')。 Splunk 與適用於 IoT 的 Defender 整合僅支援 'Splunk Enterprise'。
在 Splunk 中下載適用於 IoT 的 Defender 應用程式
若要在 Splunk 內存取適用於 IoT 的 Defender 應用程式,您需要從 Splunkbase 應用程式商店下載應用程式。
若要在 Splunk 中存取適用於 IoT 的 Defender 應用程式:
瀏覽至 Splunkbase 應用程式商店。
搜尋
CyberX ICS Threat Monitoring for Splunk。選取適用於 Splunk 應用程式的 CyberX ICS 威脅監視。
選取 [登入以下載按鈕]。