Splunk と Microsoft Defender for IoT の統合

この記事では、Splunk と IoT 用Microsoft Defenderを統合して、Splunk と Defender for IoT の両方の情報を 1 か所で表示する方法について説明します。

Defender for IoT と Splunk の両方の情報を一緒に表示すると、SOC アナリストは、産業用環境にデプロイされた特殊な OT プロトコルと IIoT デバイスを多次元で可視化し、ICS 対応の行動分析を使用して疑わしい動作や異常な動作を迅速に検出できます。

Splunk と統合する場合は、Splunk 独自の OT セキュリティ アドオンを Splunk に使用することをお勧めします。 詳細については、以下を参照してください:

• アドインのインストールに関する Splunk ドキュメント
• Splunk の OT セキュリティ アドオンに関する Splunk ドキュメント

Splunk の OT セキュリティ アドオンは、クラウドとオンプレミスの両方の統合でサポートされています。

クラウドベースの統合

クラウド接続センサーを Splunk と統合するには、 Splunk 用 OT セキュリティ アドオンを使用することをお勧めします。

オンプレミスの統合

エアギャップされたローカルで管理されたセンサーを使用している場合は、Syslog ファイルを Splunk に直接送信するか、Defender for IoT の組み込み API を使用するようにセンサーを構成することもできます。

詳細については、以下を参照してください:

• オンプレミスの OT アラート情報を転送する
• Defender for IoT API リファレンス

オンプレミス統合 (レガシ)

このセクションでは、従来の CyberX ICS Threat Monitoring for Splunk アプリケーションを使用して Defender for IoT と Splunk を統合する方法について説明します。

IoT のMicrosoft Defenderは、正式には CyberX として知られていました。 CyberX への参照は、Defender for IoT を参照してください。

前提条件

開始する前に、次の前提条件があることを確認してください。

Splunk で Defender for IoT アプリケーションをダウンロードする

Splunk 内の Defender for IoT アプリケーションにアクセスするには、Splunkbase アプリケーション ストアからアプリケーションをダウンロードする必要があります。

Splunk で Defender for IoT アプリケーションにアクセスするには:

1. Splunkbase アプリケーション ストアに移動します。

2. CyberX ICS Threat Monitoring for Splunk を検索します。

3. CyberX ICS Threat Monitoring for Splunk アプリケーションを選択します。

4. [ ダウンロードするログイン] ボタンを選択します。

次の手順