Integración de Splunk con Microsoft Defender para IoT
En este artículo se describe cómo integrar Splunk con Microsoft Defender para IoT con el fin de ver la información tanto de Splunk como de Defender para IoT en un solo lugar.
La visualización conjunta de la información de Defender para IoT y Splunk proporciona a los analistas de los centros de operaciones de seguridad no solo visibilidad multidimensional de los protocolos de OT especializados y los dispositivos IoT implementados en entornos industriales, sino también un análisis del comportamiento compatible con ICS, lo que permite detectar rápidamente comportamientos sospechosos o anómalos.
Si va a integrar con Splunk, se recomienda usar el propio complemento de seguridad de OT de Splunk para Splunk. Para más información, vea:
- Documentación de Splunk sobre la instalación de complementos
- Documentación de Splunk sobre el complemento de seguridad de OT para Splunk
El complemento de seguridad de OT para Splunk es compatible con las integraciones locales y en la nube.
Integraciones basadas en la nube
Sugerencia
Las integraciones de seguridad basadas en la nube proporcionan diversas ventajas con respecto a las soluciones locales, como una administración centralizada y más sencilla de los sensores, y la supervisión centralizada de la seguridad.
Entre otras ventajas se incluyen la supervisión en tiempo real, un uso eficiente de los recursos, mayor escalabilidad y solidez, protección mejorada frente a las amenazas de seguridad, mantenimiento y actualizaciones simplificados, así como la integración sin problemas con soluciones de terceros.
Para integrar un sensor conectado a la nube con Splunk, se recomienda usar el complemento de seguridad de OT de para Splunk.
Integraciones locales
Si está trabajando con un sensor administrado localmente y sin conexión física, es posible que también quiera configurar el sensor para enviar archivos syslog directamente a Splunk o usar la API integrada de Defender para IoT.
Para más información, vea:
Integración local (heredada)
En esta sección se describe cómo integrar Defender para IoT y Splunk mediante la aplicación heredada CyberX ICS Threat Monitoring for Splunk.
Importante
La aplicación heredada CyberX ICS Threat Monitoring for Splunk se admitirá hasta octubre de 2024 con el sensor versión 23.1.3, pero no se admitirá en las próximas versiones de software principales.
Para los clientes que usan la aplicación heredada CyberX ICS Threat Monitoring for Splunk, se recomienda usar uno de los métodos siguientes en su lugar:
- Usar el complemento de seguridad de OT de para Splunk
- Configurar el sensor de OT para reenviar eventos de syslog
- Usar las API de Defender para IoT
Microsoft Defender para IoT se conocía formalmente como CyberX. Las referencias a CyberX se refieren a Defender para IoT.
Requisitos previos
Asegúrese de que cumple los siguientes requisitos previos antes de empezar:
Requisitos previos | Descripción |
---|---|
Requisitos de versión | Las siguientes versiones son necesarias para que se ejecute la aplicación: - Defender para IoT, versión 2.4 y posteriores. - Splunkbase, versión 11 y posteriores. - Splunk Enterprise, versión 7.2 y posteriores. |
Requisitos de permisos | Asegúrese de lo siguiente: - Tiene acceso a un sensor de OT de Defender para IoT como usuario administrador. - Es usuario de Splunk con un rol de usuario de nivel de administrador. |
Nota:
La aplicación Splunk se puede instalar de forma local ("Splunk Enterprise") o ejecutarse en una nube ("Splunk Cloud"). La integración de Splunk con Defender para IoT admite solo "Splunk Enterprise".
Descargar la aplicación Defender para IoT en Splunk
Para acceder a la aplicación Defender para IoT en Splunk, debe descargar la aplicación desde la tienda de aplicaciones de Splunkbase.
Para acceder a la aplicación Defender para IoT en Splunk:
Vaya al almacén de aplicaciones de Splunkbase.
Busque
CyberX ICS Threat Monitoring for Splunk
.Seleccione la aplicación de supervisión de amenazas de CyberX para Splunk.
Seleccione el botón INICIAR SESIÓN PARA DESCARGAR.