Condividi tramite


Integrare Splunk con Microsoft Defender per IoT

Questo articolo descrive come integrare Splunk con Microsoft Defender per IoT, per visualizzare le informazioni su Splunk e Defender per IoT in un'unica posizione.

La visualizzazione delle informazioni sia di Defender per IoT che di Splunk offre agli analisti SOC visibilità multidimensionale sui protocolli OT specializzati e sui dispositivi IIoT distribuiti in ambienti industriali, insieme all'analisi comportamentale compatibile con ICS per rilevare rapidamente comportamenti sospetti o anomali.

Integrazioni basate sul cloud

Suggerimento

Le integrazioni di sicurezza basate sul cloud offrono diversi vantaggi rispetto alle soluzioni locali, ad esempio la gestione centralizzata dei sensori e il monitoraggio centralizzato della sicurezza.

Altri vantaggi includono il monitoraggio in tempo reale, l'uso efficiente delle risorse, una maggiore scalabilità e affidabilità, una maggiore protezione dalle minacce alla sicurezza, manutenzione e aggiornamenti semplificati e una perfetta integrazione con soluzioni di terze parti.

Se si sta integrando un sensore OT connesso al cloud con Splunk, è consigliabile usare il proprio componente aggiuntivo OT Security di Splunk per Splunk. Per altre informazioni, vedere:

Integrazioni locali

Se si usa un sensore OT gestito localmente, è necessaria una soluzione locale per visualizzare le informazioni di Defender per IoT e Splunk nella stessa posizione.

In questi casi, è consigliabile configurare il sensore OT per inviare i file syslog direttamente a Splunk o usare l'API predefinita di Defender per IoT.

Per altre informazioni, vedere:

Integrazione locale (legacy)

Questa sezione descrive come integrare Defender per IoT e Splunk usando l'integrazione legacy locale.

Importante

L'integrazione legacy di Splunk è supportata fino a ottobre 2024 usando la versione del sensore 23.1.3 e non sarà supportata nelle prossime versioni principali del software. Per i clienti che usano l'integrazione legacy, è consigliabile passare a uno dei metodi seguenti:

Microsoft Defender per IoT era formalmente noto come CyberX. I riferimenti a CyberX fanno riferimento a Defender per IoT.

Prerequisiti

Prima di iniziare, assicurarsi di disporre dei prerequisiti seguenti:

Prerequisiti Descrizione
Requisiti della versione Per l'esecuzione dell'applicazione sono necessarie le versioni seguenti:
- Defender per IoT versione 2.4 e successive.
- Splunkbase versione 11 e successive.
- Splunk Enterprise versione 7.2 e successive.
Requisiti di autorizzazione Assicurarsi di disporre di:
- Accesso a un sensore OT di Defender per IoT come utente Amministrazione.
- Utente splunk con un ruolo utente a livello di Amministrazione.

Nota

L'applicazione Splunk può essere installata in locale ('Splunk Enterprise') o eseguita in un cloud ('Splunk Cloud'). L'integrazione di Splunk insieme a Defender per IoT supporta solo "Splunk Enterprise".

Scaricare l'applicazione Defender per IoT in Splunk

Per accedere all'applicazione Defender per IoT all'interno di Splunk, è necessario scaricare l'applicazione dall'archivio applicazioni Splunkbase.

Per accedere all'applicazione Defender per IoT in Splunk:

  1. Passare all'archivio applicazioni Splunkbase .

  2. Cercare CyberX ICS Threat Monitoring for Splunk.

  3. Selezionare l'applicazione CyberX ICS Threat Monitoring per Splunk.

  4. Selezionare il PULSANTE LOGIN TO DOWNLOAD (ACCEDI PER SCARICARE).

Passaggi successivi