Integrar o Splunk ao Microsoft Defender para IoT
Este artigo descreve como integrar o Splunk ao Microsoft Defender para IoT, para exibir informações do Splunk e do Defender para IoT em um único lugar.
A exibição conjunta das informações do Defender para IoT e do Splunk fornece aos analistas de SOC (centro de operações de segurança) visibilidade multidimensional dos protocolos OT especializados e dos dispositivos de IoT implantados em ambientes industriais, juntamente com a análise comportamental com reconhecimento de ICS para detectar rapidamente comportamento suspeito ou anormal.
Se você estiver se integrando ao Splunk, recomendamos que você use o Complemento de segurança de OT para Splunk próprio do Splunk. Para saber mais, veja:
- A documentação do Splunk sobre a instalação de suplementos
- A documentação do Splunk sobre o complemento de segurança da OT para o Splunk
O Complemento de Segurança de OT para Splunk tem suporte para integrações locais e de nuvem.
Integrações baseadas em nuvem
Dica
As integrações de segurança baseadas em nuvem oferecem vários benefícios em soluções locais, como gerenciamento centralizado e mais simples de sensores e monitoramento centralizado de segurança.
Outros benefícios incluem monitoramento em tempo real, uso eficiente de recursos, maior escalabilidade e robustez, proteção melhorada contra ameaças à segurança, manutenção e atualizações simplificadas e integração perfeita com soluções de terceiros.
Para integrar um sensor conectado à nuvem ao Splunk, recomendamos que você use o Complemento de segurança de OT para Splunk.
Integrações locais
Se você estiver trabalhando com um sensor gerenciado localmente e desconectado, também convém configurar o sensor para enviar arquivos Syslog diretamente para o Splunk ou usar a API interna do Defender para IoT.
Para saber mais, veja:
Integração local (herdada)
Esta seção descreve como integrar o Defender para IoT e o Splunk usando o aplicativo herdado CyberX ICS Threat Monitoring for Splunk.
Importante
O aplicativo herdado CyberX ICS Threat Monitoring for Splunk tem suporte até outubro de 2024 usando o sensor versão 23.1.3 e não terá suporte nas próximas versões principais de software.
Para clientes que usam o aplicativo herdado de Monitoramento de Ameaças do CyberX ICS para Splunk, recomendamos usar um dos seguintes métodos:
- Usar o Complemento de segurança de OT para Splunk
- Configurar o sensor de OT para encaminhar eventos do Syslog
- Usar as APIs do Defender para IoT
O Microsoft Defender para IoT era formalmente conhecido como CyberX. As referências ao CyberX se referem ao Defender para IoT.
Pré-requisitos
Antes de iniciar, verifique se você cumpre os seguintes pré-requisitos:
| Pré-requisitos | Descrição |
|---|---|
| Requisitos da versão | As versões a seguir são necessárias para que o aplicativo seja executado: – Defender para IoT versão 2.4 e posterior. – Splunkbase versão 11 e posterior. – Splunk Enterprise versão 7.2 e posterior. |
| Requisitos de permissão | Certifique-se de ter: – Acesso a um sensor do OT do Defender para IoT como um usuário Administrador. – Usuário do Splunk com uma função de usuário de nível Administrador. |
Observação
O aplicativo Splunk pode ser instalado localmente ('Splunk Enterprise') ou executado em uma nuvem ('Splunk Cloud'). A integração do Splunk ao Defender para IoT só dá suporte ao 'Splunk Enterprise'.
Baixar o aplicativo Defender para IoT no Splunk
Para acessar o aplicativo Defender para IoT no Splunk, você precisa baixar o formulário de aplicativo da loja de aplicativos Splunkbase.
Para acessar o aplicativo Defender para IoT no Splunk:
Navegue para a loja de aplicativos do Splunkbase.
Pesquise por
CyberX ICS Threat Monitoring for Splunk.Selecione o aplicativo Monitoramento de Ameaças CyberX ICS para Splunk.
Selecione FAÇA LOGON PARA ACESSO AO BOTÃO DE DOWNLOAD.