Kommentar
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
Den här artikeln beskriver hur du integrerar Splunk med Microsoft Defender för IoT för att visa både Splunk- och Defender for IoT-information på en enda plats.
Genom att visa både Defender för IoT- och Splunk-information tillsammans får SOC-analytiker flerdimensionell insyn i de specialiserade OT-protokollen och IIoT-enheter som distribueras i industriella miljöer, tillsammans med ICS-medveten beteendeanalys för att snabbt upptäcka misstänkt eller avvikande beteende.
Om du integrerar med Splunk rekommenderar vi att du använder Splunks eget OT-säkerhetstillägg för Splunk. Mer information finns i:
- Splunk-dokumentationen om installation av tillägg
- Splunk-dokumentationen om OT-säkerhetstillägget för Splunk
Ot Security-tillägget för Splunk stöds för både molnbaserade och lokala integreringar.
Molnbaserade integreringar
Tips
Molnbaserade säkerhetsintegreringar ger flera fördelar jämfört med lokala lösningar, till exempel centraliserad, enklare sensorhantering och centraliserad säkerhetsövervakning.
Andra fördelar är övervakning i realtid, effektiv resursanvändning, ökad skalbarhet och robusthet, förbättrat skydd mot säkerhetshot, förenklat underhåll och uppdateringar samt sömlös integrering med lösningar från tredje part.
Om du vill integrera en molnansluten sensor med Splunk rekommenderar vi att du använder OT-säkerhetstillägget för Splunk.
Lokala integreringar
Om du arbetar med en luftgapad, lokalt hanterad sensor kanske du också vill konfigurera sensorn för att skicka syslog-filer direkt till Splunk eller använda Defender for IoT:s inbyggda API.
Mer information finns i:
Lokal integrering (äldre)
I det här avsnittet beskrivs hur du integrerar Defender för IoT och Splunk med hjälp av det äldre CyberX ICS-hotövervakningen för Splunk-programmet .
Viktigt
Det äldre CyberX ICS Threat Monitoring for Splunk-programmet stöds till och med oktober 2024 med sensorversion 23.1.3 och kommer inte att stödjas i kommande större programvaruversioner.
För kunder som använder det äldre CyberX ICS-hotövervakningen för Splunk-programmet rekommenderar vi att du använder någon av följande metoder i stället:
- Använda OT-säkerhetstillägget för Splunk
- Konfigurera ot-sensorn för att vidarebefordra syslog-händelser
- Använda Defender för IoT-API:er
Microsoft Defender för IoT kallades formellt CyberX. Referenser till CyberX refererar till Defender för IoT.
Förhandskrav
Innan du börjar kontrollerar du att du har följande krav:
| Förhandskrav | Beskrivning |
|---|---|
| Versionskrav | Följande versioner krävs för att programmet ska kunna köras: – Defender för IoT version 2.4 och senare. – Splunkbase version 11 och senare. – Splunk Enterprise version 7.2 och senare. |
| Behörighetskrav | Kontrollera att du har: – Åtkomst till en Defender for IoT OT-sensor som en Admin användare. – Splunk-användare med en användarroll på Admin nivå. |
Obs!
Splunk-programmet kan installeras lokalt ("Splunk Enterprise") eller köras i ett moln (Splunk Cloud). Splunk-integreringen tillsammans med Defender för IoT stöder endast "Splunk Enterprise".
Ladda ned Defender for IoT-programmet i Splunk
För att få åtkomst till Defender för IoT-programmet i Splunk måste du ladda ned programmet från Splunkbase-programarkivet.
Så här kommer du åt Defender for IoT-programmet i Splunk:
Gå till Splunkbase-programarkivet .
Sök
CyberX ICS Threat Monitoring for Splunkefter .Välj CyberX ICS-hotövervakning för Splunk-programmet.
Välj KNAPPEN LOGGA IN FÖR ATT LADDA NED.