Compartilhar via


Integrar o Splunk ao Microsoft Defender para IoT

Este artigo descreve como integrar o Splunk ao Microsoft Defender para IoT, para exibir informações do Splunk e do Defender para IoT em um único lugar.

A exibição conjunta das informações do Defender para IoT e do Splunk fornece aos analistas de SOC (centro de operações de segurança) visibilidade multidimensional dos protocolos OT especializados e dos dispositivos de IoT implantados em ambientes industriais, juntamente com a análise comportamental com reconhecimento de ICS para detectar rapidamente comportamento suspeito ou anormal.

Se você estiver se integrando ao Splunk, recomendamos que você use o Complemento de segurança de OT para Splunk próprio do Splunk. Para saber mais, veja:

O Complemento de Segurança de OT para Splunk tem suporte para integrações locais e de nuvem.

Integrações baseadas em nuvem

Dica

As integrações de segurança baseadas em nuvem oferecem vários benefícios em soluções locais, como gerenciamento centralizado e mais simples de sensores e monitoramento centralizado de segurança.

Outros benefícios incluem monitoramento em tempo real, uso eficiente de recursos, maior escalabilidade e robustez, proteção melhorada contra ameaças à segurança, manutenção e atualizações simplificadas e integração perfeita com soluções de terceiros.

Para integrar um sensor conectado à nuvem ao Splunk, recomendamos que você use o Complemento de segurança de OT para Splunk.

Integrações locais

Se você estiver trabalhando com um sensor gerenciado localmente e desconectado, também convém configurar o sensor para enviar arquivos Syslog diretamente para o Splunk ou usar a API interna do Defender para IoT.

Para saber mais, veja:

Integração local (herdada)

Esta seção descreve como integrar o Defender para IoT e o Splunk usando o aplicativo herdado CyberX ICS Threat Monitoring for Splunk.

Importante

O aplicativo herdado CyberX ICS Threat Monitoring for Splunk tem suporte até outubro de 2024 usando o sensor versão 23.1.3 e não terá suporte nas próximas versões principais de software.

Para clientes que usam o aplicativo herdado de Monitoramento de Ameaças do CyberX ICS para Splunk, recomendamos usar um dos seguintes métodos:

O Microsoft Defender para IoT era formalmente conhecido como CyberX. As referências ao CyberX se referem ao Defender para IoT.

Pré-requisitos

Antes de iniciar, verifique se você cumpre os seguintes pré-requisitos:

Pré-requisitos Descrição
Requisitos da versão As versões a seguir são necessárias para que o aplicativo seja executado:
– Defender para IoT versão 2.4 e posterior.
– Splunkbase versão 11 e posterior.
– Splunk Enterprise versão 7.2 e posterior.
Requisitos de permissão Certifique-se de ter:
– Acesso a um sensor do OT do Defender para IoT como um usuário Administrador.
– Usuário do Splunk com uma função de usuário de nível Administrador.

Observação

O aplicativo Splunk pode ser instalado localmente ('Splunk Enterprise') ou executado em uma nuvem ('Splunk Cloud'). A integração do Splunk ao Defender para IoT só dá suporte ao 'Splunk Enterprise'.

Baixar o aplicativo Defender para IoT no Splunk

Para acessar o aplicativo Defender para IoT no Splunk, você precisa baixar o formulário de aplicativo da loja de aplicativos Splunkbase.

Para acessar o aplicativo Defender para IoT no Splunk:

  1. Navegue para a loja de aplicativos do Splunkbase.

  2. Pesquise por CyberX ICS Threat Monitoring for Splunk.

  3. Selecione o aplicativo Monitoramento de Ameaças CyberX ICS para Splunk.

  4. Selecione FAÇA LOGON PARA ACESSO AO BOTÃO DE DOWNLOAD.

Próximas etapas