Integre o Splunk ao Microsoft Defender para IoT

Este artigo descreve como integrar o Splunk ao Microsoft Defender for IoT para exibir informações do Splunk e do Defender for IoT em um único lugar.

A visualização conjunta das informações do Defender for IoT e do Splunk fornece aos analistas SOC visibilidade multidimensional dos protocolos OT especializados e dispositivos IIoT implantados em ambientes industriais, juntamente com análises comportamentais com reconhecimento de ICS para detetar rapidamente comportamentos suspeitos ou anômalos.

Integrações baseadas na nuvem

Gorjeta

As integrações de segurança baseadas na nuvem oferecem vários benefícios em relação às soluções locais, como gerenciamento centralizado e mais simples de sensores e monitoramento de segurança centralizado.

Outros benefícios incluem monitoramento em tempo real, uso eficiente de recursos, maior escalabilidade e robustez, proteção aprimorada contra ameaças à segurança, manutenção e atualizações simplificadas e integração perfeita com soluções de terceiros.

Se você estiver integrando um sensor OT conectado à nuvem com o Splunk, recomendamos que você use o complemento de segurança OT do próprio Splunk para o Splunk. Para obter mais informações, consulte:

Integrações locais

Se você estiver trabalhando com um sensor OT air-gapped, gerenciado localmente, precisará de uma solução local para visualizar as informações do Defender for IoT e do Splunk no mesmo local.

Nesses casos, recomendamos que você configure seu sensor OT para enviar arquivos syslog diretamente para o Splunk ou use a API integrada do Defender for IoT.

Para obter mais informações, consulte:

Integração local (legado)

Esta seção descreve como integrar o Defender for IoT e o Splunk usando a integração local legada.

Importante

A integração legada do Splunk é suportada até outubro de 2024 usando a versão 23.1.3 do sensor e não será suportada nas próximas versões principais de software. Para clientes que usam a integração herdada, recomendamos mudar para um dos seguintes métodos:

O Microsoft Defender para IoT era formalmente conhecido como CyberX. As referências ao CyberX referem-se ao Defender for IoT.

Pré-requisitos

Antes de começar, certifique-se de que tem os seguintes pré-requisitos:

Pré-requisitos Description
Requisitos de versão As seguintes versões são necessárias para que o aplicativo seja executado:
- Defender para IoT versão 2.4 e superior.
- Splunkbase versão 11 e superior.
- Splunk Enterprise versão 7.2 e superior.
Requisitos de permissão Certifique-se de que tem:
- Acesso a um sensor OT do Defender for IoT como usuário Admin.
- Usuário Splunk com uma função de usuário de nível Admin .

Nota

O aplicativo Splunk pode ser instalado localmente ('Splunk Enterprise') ou executado em uma nuvem ('Splunk Cloud'). A integração do Splunk, juntamente com o Defender for IoT, suporta apenas o 'Splunk Enterprise'.

Baixe o aplicativo Defender for IoT no Splunk

Para acessar o aplicativo Defender for IoT no Splunk, você precisa baixar o aplicativo da loja de aplicativos Splunkbase.

Para acessar o aplicativo Defender for IoT no Splunk:

  1. Navegue até o repositório de aplicativos Splunkbase .

  2. Procurar CyberX ICS Threat Monitoring for Splunk.

  3. Selecione o aplicativo CyberX ICS Threat Monitoring for Splunk.

  4. Selecione o BOTÃO LOGIN TO DOWNLOAD.

Próximos passos