共用方式為


整合 Splunk 與適用於 IoT 的 Microsoft Defender

本文說明如何整合 Splunk 與適用於 IoT 的 Microsoft Defender,以在單一位置檢視適用於 IoT 的 Splunk 和 Defender 資訊。

同時檢視適用於 IoT 的 Defender 和 Splunk 資訊,為 SOC 分析師提供多維度可見度,瞭解在產業環境中部署的特殊 OT 通訊協定和 IIoT 裝置,以及 ICS 感知行為分析,以快速偵測可疑或異常行為。

如果您要與 Splunk 整合,建議您使用 Splunk 自己的適用於 Splunk 的 OT 安全性附加元件。 如需詳細資訊,請參閱

適用於 Splunk 的 OT 安全性附加元件同時支援雲端和內部部署整合。

雲端式整合

提示

雲端式安全性整合提供數個內部部署解決方案的優點,例如集中式、更簡單的感應器管理和集中式安全性監視。

其他優點包括即時監視、有效率的資源使用、提高延展性和強固性、改善對安全性威脅的保護、簡化的維護和更新,以及與第三方解決方案的無縫整合。

若要整合雲端連線感應器與 Splunk,建議您使用適用於 Splunk OT 安全性附加元件

內部部署整合

如果您正在使用空中套用的本機受控感應器,您可能也想要將感應器設定為將 syslog 檔案直接傳送至 Splunk,或使用適用於 IoT 的 Defender 內建 API。

如需詳細資訊,請參閱

內部部署整合 (舊版)

本節說明如何使用舊版的 IoT 和 Splunk 整合 Defender,適用於 Splunk 應用程式的 CyberX ICS 威脅監視

重要

舊版適用於 Splunk 的 CyberX ICS 威脅監測應用程式能在 2024 年 10 月前使用感應器 23.1.3 版獲得支援,且在未來的主要軟體版本中都不會受到支援。

對於使用舊版適用於 Splunk 的 CyberX ICS 威脅監測應用程式的客戶,建議您改用下列其中一種方法:

適用於 IoT 的 Microsoft Defender 正式稱為 CyberX。 CyberX 的參考是指適用於 IoT 的 Defender。

必要條件

開始之前,請先確定您已擁有下列必要條件:

必要條件 描述
版本需求 執行應用程式需要下列版本:
- 適用於 IoT 的 Defender 2.4 版和更新版本。
- Splunkbase 11 版和更新版本。
- Splunk Enterprise 7.2 版和更新版本。
權限需求 請確保您:
- 以管理使用者身分存取適用於 IoT 的 Defender OT 感應器。
- 具有管理員層級使用者角色的 Splunk 使用者。

注意

Splunk 應用程式可以在本機上安裝 ('Splunk Enterprise') 或在雲端上執行 ('Splunk Cloud')。 Splunk 與適用於 IoT 的 Defender 整合僅支援 'Splunk Enterprise'。

在 Splunk 中下載適用於 IoT 的 Defender 應用程式

若要在 Splunk 內存取適用於 IoT 的 Defender 應用程式,您需要從 Splunkbase 應用程式商店下載應用程式。

若要在 Splunk 中存取適用於 IoT 的 Defender 應用程式

  1. 瀏覽至 Splunkbase 應用程式商店。

  2. 搜尋 CyberX ICS Threat Monitoring for Splunk

  3. 選取適用於 Splunk 應用程式的 CyberX ICS 威脅監視。

  4. 選取 [登入以下載按鈕]

下一步