你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
将 Splunk 与 Microsoft Defender for IoT 集成
本文介绍如何将 Splunk 与 Microsoft Defender for IoT 集成,从而在单个位置查看 Splunk 和 Defender for IoT 信息。
通过一起查看 Defender for IoT 和 Splunk 信息,SOC 分析人员可多维度了解工业环境中部署的专用 OT 协议和 IIoT 设备,还能进行 ICS 感知行为分析来快速检测可疑或异常行为。
如果要与 Splunk 集成,建议使用 Splunk 自己的 OT Security Add-on for Splunk。 有关详细信息,请参阅:
云和本地集成都支持 OT Security Add-on for Splunk。
基于云的集成
提示
基于云的安全集成与本地解决方案相比具有诸多优势,例如更简单的集中传感器管理和集中式安全监视。
其他优势包括实时监视、高效的资源使用、增强的可伸缩性和稳定性、对安全威胁的更卓越保护、简化的维护和更新,以及与第三方解决方案的无缝集成。
若要将云连接的传感器与 Splunk 集成,建议使用 OT Security Add-on for Splunk。
本地集成
如果你使用的是气隙、本地管理的传感器,你可能还需要将传感器配置为直接向 Splunk 发送 syslog 文件,或者使用 Defender for IoT 的内置 API。
有关详细信息,请参阅:
本地集成(旧版)
本部分介绍了如何使用旧版 CyberX ICS Threat Monitoring for Splunk 应用程序将 Defender for IoT 和 Splunk 进行集成。
重要
到 2024 年 10 月之前,使用传感器版本 23.1.3 可支持旧版 CyberX ICS Threat Monitoring for Splunk,但即将推出的主要软件版本将不再支持它。
对于使用旧版 CyberX ICS Threat Monitoring for Splunk 应用程序的客户,建议改用以下方法之一:
- 使用 OT Security Add-on for Splunk
- 配置 OT 传感器以转发 syslog 事件
- 使用 Defender for IoT API
Microsoft Defender for IoT 以前称为 CyberX。 有关 CyberX 的参考资料,请参阅 Defender for IoT。
先决条件
在开始之前,请确保满足以下先决条件:
| 先决条件 | 说明 |
|---|---|
| 版本要求 | 运行应用程序需要以下版本: - Defender for IoT version 2.4 及更高版本。 - Splunkbase 11 及更高版本。 - Splunk Enterprise 7.2 及更高版本。 |
| 权限要求 | 确保已完成以下操作: - 以管理员用户身份访问 Defender for IoT OT 传感器。 - 具有管理员级别用户角色的 Splunk 用户。 |
注意
Splunk 应用程序可以在本地安装(“Splunk Enterprise”)或在云上运行(“Splunk Cloud”)。 Splunk 与 Defender for IoT 的集成仅支持“Splunk Enterprise”。
在 Splunk 中下载 Defender for IoT 应用程序
要在 Splunk 中访问 Defender for IoT 应用程序,需要从 Splunkbase 应用商店下载该应用程序。
若要在 Splunk 中访问 Defender for IoT 应用程序,请执行以下操作:
导航到 Splunkbase 应用商店。
搜索
CyberX ICS Threat Monitoring for Splunk。选择适用于 Splunk 的 CyberX ICS 威胁监视应用程序。
选择“登录以下载”按钮。