دمج Palo Alto مع Microsoft Defender for IoT

توضح هذه المقالة كيفية دمج Palo Alto مع Microsoft Defender for IoT، من أجل عرض كل من Palo Alto وDefender لمعلومات IoT في مكان واحد، أو استخدام Defender لبيانات IoT لتكوين إجراءات الحظر في Palo Alto.

يوفر عرض كل من معلومات Defender for IoT وPalo Alto معا لمحللي SOC رؤية متعددة الأبعاد حتى يتمكنوا من حظر التهديدات الحرجة بشكل أسرع.

عمليات التكامل المستندة إلى السحابة

تلميح

توفر عمليات تكامل الأمان المستندة إلى السحابة العديد من الفوائد على الحلول المحلية، مثل الإدارة المركزية والأبسط للمستشعر ومراقبة الأمان المركزية.

وتشمل الفوائد الأخرى المراقبة في الوقت الحقيقي، واستخدام الموارد بكفاءة، وزيادة قابلية التوسع والقوة، وتحسين الحماية من التهديدات الأمنية، والصيانة والتحديثات المبسطة، والتكامل السلس مع حلول الجهات الخارجية.

إذا كنت تقوم بدمج مستشعر OT متصل بالسحابة مع Palo Alto، نوصي بتوصيل Defender for IoT ب Microsoft Sentinel.

قم بتثبيت حل واحد أو أكثر من الحلول التالية لعرض كل من Palo Alto وDefender لبيانات IoT في Microsoft Sentinel.

حل Microsoft Sentinel	معرفة المزيد
Palo Alto PAN-OS Solution	موصل Palo Alto Networks (Firewall) ل Microsoft Sentinel
Palo Alto Networks Cortex Data Lake Solution	موصل Palo Alto Networks Cortex Data Lake (CDL) ل Microsoft Sentinel
حل Palo Alto Prisma Cloud CSPM	موصل Palo Alto Prisma Cloud CSPM (باستخدام Azure Function) ل Microsoft Sentinel

Microsoft Sentinel هي خدمة سحابية قابلة للتطوير للاستجابة التلقائية لتنسيق الأمان (SOAR) لإدارة أحداث معلومات الأمان (SIEM). يمكن لفرق SOC استخدام التكامل بين Microsoft Defender for IoT وMicrosoft Sentinel لجمع البيانات عبر الشبكات واكتشاف التهديدات والتحقيق فيها والاستجابة للحوادث.

في Microsoft Sentinel، يقوم موصل بيانات Defender for IoT والحل بإخراج محتوى الأمان الجاهز لفرق SOC، مما يساعدهم على عرض تنبيهات أمان OT وتحليلها والاستجابة لها وفهم الحوادث التي تم إنشاؤها في محتويات التهديد التنظيمي الأوسع.

لمزيد من المعلومات، راجع:

• البرنامج التعليمي: الاتصال Microsoft Defender for IoT مع Microsoft Sentinel
• البرنامج التعليمي: التحقيق في التهديدات واكتشافها لأجهزة IoT

عمليات التكامل المحلية

إذا كنت تعمل باستخدام أداة استشعار OT مدارة محليا، فستحتاج إلى حل محلي لعرض معلومات Defender for IoT وPalo Alto في نفس المكان.

في مثل هذه الحالات، نوصي بتكوين مستشعر OT لإرسال ملفات syslog مباشرة إلى Palo Alto، أو استخدام Defender لواجهة برمجة التطبيقات المضمنة في IoT.

لمزيد من المعلومات، راجع:

• إعادة توجيه معلومات تنبيه OT المحلية
• مرجع Defender لواجهة برمجة تطبيقات IoT

التكامل المحلي (قديم)

يصف هذا القسم كيفية دمج Palo Alto واستخدامه مع Microsoft Defender for IoT باستخدام التكامل المحلي القديم، والذي ينشئ تلقائيا نهج جديدة في NMS و Panorama الخاصين بشبكة Palo Alto.

هام

يتم دعم تكامل Palo Alto Panorama القديم حتى أكتوبر 2024 باستخدام إصدار المستشعر 23.1.3، ولن يتم دعمه في إصدارات البرامج الرئيسية القادمة. بالنسبة للعملاء الذين يستخدمون التكامل القديم، نوصي بالانتقال إلى إحدى الطرق التالية:

• إذا كنت تقوم بدمج حل الأمان الخاص بك مع الأنظمة المستندة إلى السحابة، نوصي باستخدام موصلات البيانات من خلال Microsoft Sentinel.
• بالنسبة للتكاملات المحلية، نوصي إما بتكوين مستشعر OT لإعادة توجيه أحداث syslog، أو استخدام Defender لواجهات برمجة تطبيقات IoT.

يوضح الجدول التالي الحوادث التي يهدف إليها هذا التكامل:

نوع الحادث‬	‏‏الوصف
تغييرات PLC غير المصرح بها	تحديث للمنطق التدرجي، أو البرامج الثابتة للجهاز. يمكن أن يمثل هذا التنبيه نشاطاً مشروعاً، أو محاولة اختراق الجهاز. على سبيل المثال، التعليمات البرمجية الضارة، مثل "الوصول البعيد عن طريق حصان طروادة" (RAT)، أو المعلمات التي تتسبب في تشغيل العملية الفعلية، مثل التوربينات الدوارة، بطريقة غير آمنة.
انتهاك البروتوكول	بنية حزمة، أو قيمة حقل تنتهك مواصفات البروتوكول. يمكن أن يمثل هذا التنبيه تطبيقاً تمت تهيئته بشكل خاطئ، أو محاولة خبيثة لاختراق الجهاز. على سبيل المثال، تسبب في حالة تجاوز سعة المخزن المؤقت في الجهاز الهدف.
توقف PLC	أمر يتسبب في توقف الجهاز عن العمل، وبالتالي المخاطرة بالعملية الفعلية التي يتم التحكم فيها بواسطة PLC.
البرامج الضارة الصناعية الموجودة في شبكة ICS	البرامج الضارة التي تتلاعب بأجهزة ICS باستخدام بروتوكولاتها الأصلية، مثل TRITON وIndustroyer. يكشف Defender for IoT أيضًا البرامج الضارة لتكنولوجيا المعلومات التي انتقلت أفقيًا إلى بيئة ICS وSCADA. على سبيل المثال، Conficker، وWannaCry، وNotPetya.
البرامج الضارة للفحص	أدوات الاستكشاف التي تجمع بيانات حول تكوين النظام في مرحلة ما قبل الهجوم. على سبيل المثال، يقوم برنامج Havex Trojan بفحص الشبكات الصناعية بحثًا عن الأجهزة التي تستخدم OPC، وهو بروتوكول قياسي تستخدمه أنظمة SCADA المستندة إلى Windows للاتصال بأجهزة ICS.

عندما يكتشف Defender for IoT حالة استخدام تم تكوينها مسبقا، تتم إضافة الزر حظر المصدر إلى التنبيه. بعد ذلك، عندما يحدد مستخدم Defender for IoT زر حظر المصدر ، يقوم Defender for IoT بإنشاء نهج على Panorama عن طريق إرسال قاعدة إعادة التوجيه المعرفة مسبقا.

يتم تطبيق النهج فقط عندما يقوم مسؤول Panorama بدفعه إلى NGFW ذي الصلة في الشبكة.

في شبكات تكنولوجيا المعلومات، قد تكون هناك عناوين IP ديناميكية. لذلك، بالنسبة لتلك الشبكات الفرعية، يجب أن يستند النهج إلى اسم مجال مؤهل بالكامل FQDN (اسم DNS) وليس عنوان IP. يقوم Defender for IoT بإجراء بحث عكسي ويطابق الأجهزة ذات عنوان IP الديناميكي مع FQDN (اسم DNS) الخاص بها كل عدد من الساعات تم تكوينه.

بالإضافة إلى ذلك، يرسل Defender for IoT رسالة بريد إلكتروني إلى مستخدم Panorama ذي الصلة لإعلامه بأن النهج الجديد الذي تم إنشاؤه بواسطة Defender for IoT ينتظر الموافقة. يعرض الشكل أدناه بنية تكامل Defender for IoT و Panorama:

المتطلبات الأساسية

قبل البدء، يجب أن تكون لديك المتطلبات الأساسية التالية:

• تأكيد من قبل مسؤول Panorama للسماح بالحظر التلقائي.
• الوصول إلى مستشعر Defender for IoT OT كمستخدم مسؤول.

تكوين بحث DNS

الخطوة الأولى في إنشاء نُهج حظر Panorama في Defender for IoT هي تكوين بحث DNS.

لتكوين بحث DNS:

1. سجل الدخول إلى مستشعر OT وحدد System settings>Network monitoring>DNS Reverse Lookup.

2. قم بتشغيل مفتاح التبديل Enabled لتنشيط البحث.

3. في حقل البحث العكسي للجدولة، حدد خيارات الجدولة:

   • حسب أوقات محددة: حدد متى يتم إجراء البحث العكسي يوميًا.
   • بفواصل زمنية ثابتة (بالساعات): قم بتعيين معدل تكرار لإجراء البحث العكسي.

4. حدد + Add DNS Server، ثم أضف التفاصيل التالية:

   المعلمة	‏‏الوصف‬
   عنوان خادم DNS	أدخل عنوان IP أو FQDN لخادم DNS للشبكة.
   منفذ خادم DNS	أدخل المنفذ المستخدم للاستعلام عن خادم DNS.
   عدد التسميات	لتكوين تحليل DNS FQDN، أضف عدد تسميات المجالات التي سيتم عرضها. يتم عرض ما يصل إلى 30 حرفًا من اليسار إلى اليمين.
   الشبكات الفرعية	تعيين نطاق الشبكة الفرعية لعنوان IP الديناميكي. النطاق الذي من خلاله يقوم Defender for IoT بإجراء بحث عكسي عن عنوان IP الخاص بها في خادم DNS لمطابقة اسم FQDN الحالي الخاص بها.

5. للتأكد من صحة إعدادات DNS الخاصة بك، حدد Test. يضمن الاختبار تعيين عنوان IP لخادم DNS ومنفذ خادم DNS بشكل صحيح.

6. حدد حفظ.

عند الانتهاء، تابع بإنشاء قواعد إعادة التوجيه حسب الحاجة:

• تكوين المنع الفوري بواسطة جدار حماية Palo Alto محدد
• حظر نسبة استخدام الشبكة المشبوهة باستخدام جدار حماية Palo Alto

تكوين الحظر الفوري بواسطة جدار حماية Palo Alto المحدد

تكوين الحظر التلقائي في حالات مثل التنبيهات المتعلقة بالبرامج الضارة، عن طريق تكوين قاعدة إعادة توجيه Defender for IoT لإرسال أمر حظر مباشرة إلى جدار حماية Palo Alto معين.

عندما يتعرف Defender for IoT على تهديد خطير، فإنه يرسل تنبيهًا يتضمن خيارًا لحظر المصدر المصاب. يؤدي تحديد حظر المصدر في تفاصيل التنبيه إلى تنشيط قاعدة إعادة التوجيه، التي ترسل أمر الحظر إلى جدار حماية Palo Alto المحدد.

عند إنشاء قاعدة إعادة التوجيه:

1. في منطقة Actions ، حدد الخادم والمضيف والمنفذ وبيانات الاعتماد ل Palo Alto NGFW.

2. قم بتكوين الخيارات التالية للسماح بحظر المصادر المشبوهة بواسطة جدار حماية Palo Alto:

   المعلمة	‏‏الوصف‬
   حظر التعليمات البرمجية للدالة غير القانونية	انتهاكات البروتوكول - قيمة الحقل غير القانونية التي تنتهك مواصفات بروتوكول ICS (استغلال محتمل).
   حظر برمجة PLC غير المصرح بها / تحديثات البرامج الثابتة	تغييرات PLC غير المصرح بها.
   حظر إيقاف PLC غير المصرح به	توقف PLC (وقت التعطل).
   حظر التنبيهات المتعلقة بالبرامج الضارة	حظر محاولات البرامج الضارة الصناعية (TRITON وNotPetya وما إلى ذلك). يمكنك تحديد خيار الحظر التلقائي. في هذه الحالة، يتم تنفيذ الحظر تلقائيًا وعلى الفور.
   حظر الفحص غير المصرح به	المسح غير المصرح به (الاستكشاف المحتمل).

لمزيد من المعلومات، راجع إعادة توجيه معلومات تنبيه OT المحلية.

حظر نسبة استخدام الشبكة المشكوك فيها باستخدام جدار الحماية Palo Alto

تكوين قاعدة إعادة توجيه Defender for IoT لمنع نسبة استخدام الشبكة المشبوهة باستخدام جدار حماية Palo Alto.

عند إنشاء قاعدة إعادة التوجيه:

1. في منطقة Actions ، حدد الخادم والمضيف والمنفذ وبيانات الاعتماد ل Palo Alto NGFW.

2. حدد كيفية تنفيذ الحظر، كما يلي:

   • حسب عنوان IP: يقوم دائمًا بإنشاء نُهج حظر على Panorama استنادًا إلى عنوان IP.
   • حسب FQDN أو عنوان IP: يقوم بإنشاء نُهج حظر على Panorama استنادًا إلى FQDN إذا كان موجودًا، أو حسب عنوان IP.

3. في حقل البريد الإلكتروني ، أدخل عنوان البريد الإلكتروني للبريد الإلكتروني لإشعار النهج.

   إشعار

   تأكد من تكوين خادم بريد في Defender for IoT. إذا لم يتم إدخال عنوان بريد إلكتروني، فلن يرسل Defender for IoT إعلامًا بالبريد الإلكتروني.

4. قم بتكوين الخيارات التالية للسماح بحظر المصادر المشبوهة بواسطة Palo Alto Panorama:

   المعلمة	‏‏الوصف‬
   حظر التعليمات البرمجية للدالة غير القانونية	انتهاكات البروتوكول - قيمة الحقل غير القانونية التي تنتهك مواصفات بروتوكول ICS (استغلال محتمل).
   حظر برمجة PLC غير المصرح بها / تحديثات البرامج الثابتة	تغييرات PLC غير المصرح بها.
   حظر إيقاف PLC غير المصرح به	توقف PLC (وقت التعطل).
   حظر التنبيهات المتعلقة بالبرامج الضارة	حظر محاولات البرامج الضارة الصناعية (TRITON وNotPetya وما إلى ذلك). يمكنك تحديد خيار الحظر التلقائي. في هذه الحالة، يتم تنفيذ الحظر تلقائيًا وعلى الفور.
   حظر الفحص غير المصرح به	المسح غير المصرح به (الاستكشاف المحتمل).

لمزيد من المعلومات، راجع إعادة توجيه معلومات تنبيه OT المحلية.

حظر مصادر مشبوهة محددة

بعد إنشاء قاعدة إعادة التوجيه، استخدم الخطوات التالية لحظر مصادر معينة ومريبة:

1. في صفحة تنبيهات مستشعر OT، حدد موقع التنبيه المتعلق بتكامل Palo Alto وحدده.

2. لحظر المصدر المشبوه تلقائيًا، حدد حظر المصدر.

3. في مربع الحوار الرجاء تأكيد ، حدد موافق.

تم الآن حظر المصدر المشبوه بواسطة جدار حماية Palo Alto.

الخطوة التالية

عمليات التكامل مع Microsoft وخدمات الشركاء