이 문서에서는 Splunk와 IoT용 Microsoft Defender 통합하여 Splunk와 Defender for IoT 정보를 한 곳에서 모두 보는 방법을 설명합니다.
Defender for IoT 및 Splunk 정보를 함께 확인하면 SOC 분석가가 산업 환경에 배포된 특수 OT 프로토콜 및 IIoT 디바이스에 대한 다차원 가시성과 ICS 인식 동작 분석을 통해 의심스럽거나 비정상적인 동작을 신속하게 검색할 수 있습니다.
Splunk와 통합하는 경우 Splunk용 Splunk의 자체 OT 보안 추가 기능을 사용하는 것이 좋습니다. 자세한 내용은 다음 항목을 참조하세요.
Splunk용 OT 보안 추가 기능은 클라우드 및 온-프레미스 통합 모두에서 지원됩니다.
클라우드 기반 통합
팁
클라우드 기반 보안 통합은 중앙 집중식, 간단한 센서 관리 및 중앙 집중식 보안 모니터링과 같은 온-프레미스 솔루션에 비해 몇 가지 이점을 제공합니다.
다른 이점으로는 실시간 모니터링, 효율적인 리소스 사용, 확장성 및 견고성 향상, 보안 위협 방지 개선, 간소화된 유지 관리 및 업데이트, 타사 솔루션과의 원활한 통합 등이 있습니다.
클라우드 연결 센서를 Splunk와 통합하려면 Splunk용 OT 보안 추가 기능을 사용하는 것이 좋습니다.
온-프레미스 통합
로컬로 관리되는 에어 갭 센서로 작업하는 경우 Splunk에 직접 syslog 파일을 보내도록 센서를 구성하거나 Defender for IoT의 기본 제공 API를 사용할 수도 있습니다.
자세한 내용은 다음 항목을 참조하세요.
온-프레미스 통합(레거시)
이 섹션에서는 레거시 Splunk 애플리케이션용 CyberX ICS 위협 모니터링을 사용하여 Defender for IoT 및 Splunk를 통합하는 방법을 설명합니다.
중요
Splunk 애플리케이션용 레거시 CyberX ICS 위협 모니터링은 센서 버전 23.1.3을 사용하여 2024년 10월까지 지원되며, 향후 주요 소프트웨어 버전에서는 지원되지 않습니다.
레거시 CyberX ICS Threat Monitoring for Splunk 애플리케이션을 사용하는 고객의 경우 다음 방법 중 하나를 대신 사용하는 것이 좋습니다.
- Splunk에 OT 보안 추가 기능 사용
- syslog 이벤트를 전달하도록 OT 센서 구성
- Defender for IoT API 사용
IoT용 Microsoft Defender 공식적으로 CyberX로 알려졌습니다. CyberX에 대한 참조는 Defender for IoT를 참조하세요.
필수 구성 요소
시작하기 전에 다음 필수 구성 요소가 있는지 확인합니다.
| 필수 구성 요소 | 설명 |
|---|---|
| 버전 요구 사항 | 애플리케이션을 실행하려면 다음 버전이 필요합니다. - Defender for IoT 버전 2.4 이상. - Splunkbase 버전 11 이상. - Splunk Enterprise 버전 7.2 이상. |
| 사용 권한 요구 사항 | 다음이 있는지 확인합니다. - 관리 사용자로 IoT용 Defender OT 센서에 액세스합니다. - 관리 수준 사용자 역할이 있는 Splunk 사용자입니다. |
참고
Splunk 애플리케이션은 로컬('Splunk Enterprise')에 설치하거나 클라우드('Splunk Cloud')에서 실행할 수 있습니다. IoT용 Defender와 Splunk 통합은 'Splunk Enterprise'만 지원합니다.
Splunk에서 Defender for IoT 애플리케이션 다운로드
Splunk 내에서 Defender for IoT 애플리케이션에 액세스하려면 Splunkbase 애플리케이션 저장소에서 애플리케이션을 다운로드해야 합니다.
Splunk에서 Defender for IoT 애플리케이션에 액세스하려면 다음을 수행합니다.
Splunkbase 애플리케이션 저장소로 이동합니다.
를 검색합니다
CyberX ICS Threat Monitoring for Splunk.Splunk 애플리케이션에 대한 CyberX ICS 위협 모니터링을 선택합니다.
다운로드할 로그인 단추를 선택합니다.