Splunk を Microsoft Defender for IoT と統合する

この記事では、Splunk と Defender for IoT の両方の情報を 1 か所で表示するために、Splunk を Microsoft Defender for IoT と統合する方法について説明します。

Defender for IoT と Splunk の両方の情報を一緒に表示すると、SOC アナリストは産業環境にデプロイされた特殊な OT プロトコルと IIoT デバイスを多次元で視覚化できると共に、疑わしい動作や異常な動作を迅速に検出するための ICS 対応の動作分析が可能になります。

Splunk と統合する場合は、Splunk 独自の Splunk 用 OT セキュリティ アドオンを使用することをお勧めします。 詳細については、以下を参照してください:

• アドインのインストールに関する Splunk ドキュメント
• Splunk 用 OT セキュリティ アドオンに関する Splunk ドキュメント

Splunk の OT セキュリティ アドオンは、クラウドとオンプレミスの両方の統合でサポートされています。

クラウドベースの統合

クラウドに接続されたセンサーを Splunk と統合するには、Splunk 用 OT セキュリティ アドオンを使用することをお勧めします。

オンプレミスの統合

エアギャップ ローカル管理センサーを使用している場合は、syslog ファイルを Splunk に直接送信するようにセンサーを構成することもできます。または、Defender for IoT の組み込み API を使用します。

詳細については、以下を参照してください:

• オンプレミスの OT アラート情報を転送する
• Defender for IoT API リファレンス

オンプレミスの統合 (レガシ)

このセクションでは、レガシ CyberX ICS Threat Monitoring for Splunk アプリケーションを使用して Defender for IoT と Splunk を統合する方法について説明します。

Microsoft Defender for IoT は、正式には CyberX と呼ばれるものでした。 CyberX について記載があった場合、これは Defender for IoT を指しています。

前提条件

開始する前に、以下の前提条件を満たしていることを確認してください。

Splunk で Defender for IoT アプリケーションをダウンロードする

Splunk 内で Defender for IoT アプリケーションにアクセスするには、Splunkbase アプリケーション ストアからアプリケーションをダウンロードする必要があります。

Splunk で Defender for IoT アプリケーションにアクセスするには、次の手順を実行します。

1. Splunkbase アプリケーション ストアに移動します。

2. CyberX ICS Threat Monitoring for Splunk を検索します。

3. CyberX ICS Threat Monitoring for Splunk アプリケーションを選択します。

4. [LOGIN TO DOWNLOAD BUTTON](ログインしてダウンロード ボタン) を選択します。

次のステップ