Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
In dit artikel wordt beschreven hoe u Splunk integreert met Microsoft Defender voor IoT om zowel Splunk- als Defender for IoT-gegevens op één plaats weer te geven.
Als u gegevens van Defender for IoT en Splunk samen bekijkt, krijgen SOC-analisten multidimensionaal inzicht in de gespecialiseerde OT-protocollen en IIoT-apparaten die zijn geïmplementeerd in industriële omgevingen, samen met ICS-bewuste gedragsanalyses om snel verdacht of afwijkend gedrag te detecteren.
Als u integreert met Splunk, raden we u aan de eigen OT-beveiligingsinvoegtoepassing van Splunk voor Splunk te gebruiken. Zie voor meer informatie:
- De Splunk-documentatie over het installeren van invoegtoepassingen
- De Splunk-documentatie over de OT Security-invoegtoepassing voor Splunk
De OT Security-invoegtoepassing voor Splunk wordt ondersteund voor zowel cloud- als on-premises integraties.
Cloudintegraties
Tip
Cloudgebaseerde beveiligingsintegraties bieden verschillende voordelen ten opzichte van on-premises oplossingen, zoals gecentraliseerd, eenvoudiger sensorbeheer en gecentraliseerde beveiligingsbewaking.
Andere voordelen zijn realtime-bewaking, efficiënt resourcegebruik, verbeterde schaalbaarheid en robuustheid, verbeterde beveiliging tegen beveiligingsrisico's, vereenvoudigd onderhoud en updates en naadloze integratie met oplossingen van derden.
Als u een met de cloud verbonden sensor wilt integreren met Splunk, raden we u aan de invoegtoepassing OT-beveiliging voor Splunk te gebruiken.
On-premises integraties
Als u werkt met een air-gapped, lokaal beheerde sensor, kunt u uw sensor ook configureren om syslog-bestanden rechtstreeks naar Splunk te verzenden of de ingebouwde API van Defender for IoT te gebruiken.
Zie voor meer informatie:
On-premises integratie (verouderd)
In deze sectie wordt beschreven hoe u Defender for IoT en Splunk integreert met behulp van de verouderde CyberX ICS Threat Monitoring for Splunk-toepassing .
Belangrijk
De verouderde CyberX ICS Threat Monitoring for Splunk-toepassing wordt ondersteund tot oktober 2024 met sensorversie 23.1.3 en wordt niet ondersteund in toekomstige grote softwareversies.
Voor klanten die de verouderde CyberX ICS Threat Monitoring for Splunk-toepassing gebruiken, raden we aan in plaats daarvan een van de volgende methoden te gebruiken:
- De invoegtoepassing OT-beveiliging voor Splunk gebruiken
- Uw OT-sensor configureren om Syslog-gebeurtenissen door te sturen
- Defender for IoT-API's gebruiken
Microsoft Defender voor IoT stond formeel bekend als CyberX. Verwijzingen naar CyberX verwijzen naar Defender for IoT.
Vereisten
Voordat u begint, moet u ervoor zorgen dat u aan de volgende vereisten voldoet:
| Vereisten | Beschrijving |
|---|---|
| Versievereisten | De volgende versies zijn vereist om de toepassing uit te voeren: - Defender voor IoT versie 2.4 en hoger. - Splunkbase versie 11 en hoger. - Splunk Enterprise versie 7.2 en hoger. |
| Machtigingsvereisten | Zorg ervoor dat u beschikt over: - Toegang tot een Defender for IoT OT-sensor als een Beheer gebruiker. - Splunk-gebruiker met een gebruikersrol op Beheer niveau. |
Opmerking
De Splunk-toepassing kan lokaal worden geïnstalleerd ('Splunk Enterprise') of worden uitgevoerd in een cloud ('Splunk Cloud'). De Splunk-integratie in combinatie met Defender for IoT ondersteunt alleen 'Splunk Enterprise'.
De Defender for IoT-toepassing downloaden in Splunk
Voor toegang tot de Defender for IoT-toepassing in Splunk moet u de toepassing downloaden uit het Splunkbase-toepassingsarchief.
Toegang krijgen tot de Defender for IoT-toepassing in Splunk:
Navigeer naar het toepassingsarchief Splunkbase .
CyberX ICS Threat Monitoring for SplunkZoek naar .Selecteer de toepassing CyberX ICS Threat Monitoring for Splunk.
Selecteer de KNOP AANMELDEN OM TE DOWNLOADEN.