Integrera Splunk med Microsoft Defender för IoT

Den här artikeln beskriver hur du integrerar Splunk med Microsoft Defender för IoT för att visa både Splunk- och Defender for IoT-information på en enda plats.

Genom att visa både Defender för IoT- och Splunk-information tillsammans får SOC-analytiker flerdimensionell insyn i de specialiserade OT-protokoll och IIoT-enheter som distribueras i industriella miljöer, tillsammans med ICS-medveten beteendeanalys för att snabbt upptäcka misstänkt eller avvikande beteende.

Molnbaserade integreringar

Dricks

Molnbaserade säkerhetsintegreringar ger flera fördelar jämfört med lokala lösningar, till exempel centraliserad, enklare sensorhantering och centraliserad säkerhetsövervakning.

Andra fördelar är övervakning i realtid, effektiv resursanvändning, ökad skalbarhet och robusthet, förbättrat skydd mot säkerhetshot, förenklat underhåll och uppdateringar samt sömlös integrering med lösningar från tredje part.

Om du integrerar en molnansluten OT-sensor med Splunk rekommenderar vi att du använder Splunks eget OT Security-tillägg för Splunk. Mer information finns i:

• Splunk-dokumentationen om hur du installerar tillägg
• Splunk-dokumentationen om OT-säkerhetstillägget för Splunk

Lokala integreringar

Om du arbetar med en luftgapad, lokalt hanterad OT-sensor behöver du en lokal lösning för att visa Defender for IoT- och Splunk-information på samma plats.

I sådana fall rekommenderar vi att du konfigurerar OT-sensorn så att den skickar syslog-filer direkt till Splunk eller använder Defender för IoT:s inbyggda API.

Mer information finns i:

• Vidarebefordra information om lokala OT-aviseringar
• Referens för Defender för IoT API

Lokal integrering (äldre)

Det här avsnittet beskriver hur du integrerar Defender för IoT och Splunk med hjälp av den äldre lokala integreringen.

Viktigt!

Den äldre Splunk-integreringen stöds till och med oktober 2024 med sensorversion 23.1.3 och stöds inte i kommande större programvaruversioner. För kunder som använder den äldre integreringen rekommenderar vi att du flyttar till någon av följande metoder:

• Om du integrerar din säkerhetslösning med molnbaserade system rekommenderar vi att du använder OT Security-tillägget för Splunk.
• För lokala integreringar rekommenderar vi att du antingen konfigurerar OT-sensorn för att vidarebefordra syslog-händelser eller använder Defender för IoT-API:er.

Microsoft Defender för IoT kallades formellt CyberX. Referenser till CyberX refererar till Defender för IoT.

Förutsättningar

Kontrollera att du har följande förutsättningar innan du börjar:

Förutsättningar	Description
Versionskrav	Följande versioner krävs för att programmet ska kunna köras: – Defender för IoT version 2.4 och senare. - Splunkbase version 11 och senare. – Splunk Enterprise version 7.2 och senare.
Behörighetskrav	Kontrollera att du har: – Åtkomst till en Defender for IoT OT-sensor som administratörsanvändare. – Splunk-användare med en användarroll på administratörsnivå .

Kommentar

Splunk-programmet kan installeras lokalt ('Splunk Enterprise') eller köras i ett moln ('Splunk Cloud'). Splunk-integreringen tillsammans med Defender för IoT stöder endast "Splunk Enterprise".

Ladda ned Defender for IoT-programmet i Splunk

För att få åtkomst till Defender for IoT-programmet i Splunk måste du ladda ned programmet från Splunkbase-programarkivet.

Så här kommer du åt Defender for IoT-programmet i Splunk:

1. Gå till Splunkbase-programarkivet .

2. Sök efter CyberX ICS Threat Monitoring for Splunk.

3. Välj CyberX ICS Threat Monitoring för Splunk-programmet.

4. Välj KNAPPEN LOGGA IN FÖR ATT LADDA NED.

Nästa steg

Integreringar med Microsoft och partnertjänster