Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
In diesem Artikel erfahren Sie, wie Sie CyberArk in Microsoft Defender für IoT integrieren und verwenden.
Defender für IoT bietet ICS- und IIoT-Cybersicherheitsplattformen mit ICS-fähiger Bedrohungsanalyse und maschinellem Lernen.
Bedrohungsakteure verwenden kompromittierte Anmeldeinformationen für den Remotezugriff, um über Remotedesktop- und VPN-Verbindungen auf kritische Infrastrukturnetzwerke zuzugreifen. Durch die Verwendung vertrauenswürdiger Verbindungen wird bei diesem Ansatz die Sicherheit des OT-Umkreises problemlos umgangen. Anmeldeinformationen werden in der Regel von privilegierten Benutzern gestohlen, z. B. Steuerungstechnikern und Wartungsmitarbeitern von Partnern, die Remotezugriff benötigen, um tägliche Aufgaben auszuführen.
Die Integration von Defender für IoT zusammen mit CyberARK ermöglicht Folgendes:
Reduzieren von OT-Risiken durch nicht autorisierten Remotezugriff
Bereitstellen von kontinuierlicher Überwachung und Sicherheit für privilegierten Zugriff für OT
Verbessern der Reaktion auf Vorfälle, Bedrohungssuche und Bedrohungsmodellierung
Die Defender für IoT-Anwendung ist über einen SPAN-Port (Spiegel Port) auf Netzwerkgeräten wie Switches und Routern über eine unidirektionale (eingehende) Verbindung mit den dedizierten Netzwerkschnittstellen im Defender für IoT-Anwendung verbunden.
Eine dedizierte Netzwerkschnittstelle wird auch im Defender für IoT-Anwendung für die zentralisierte Verwaltung und den API-Zugriff bereitgestellt. Diese Schnittstelle wird auch für die Kommunikation mit der CyberArk PSM-Lösung verwendet, die im Rechenzentrum des organization bereitgestellt wird, um privilegierte Benutzer zu verwalten und Remotezugriffsverbindungen zu sichern.
In diesem Artikel erfahren Sie folgendes:
- Konfigurieren von PSM in CyberArk
- Aktivieren der Integration in Defender für IoT
- Anzeigen und Verwalten von Erkennungen
- Beenden der Integration
Voraussetzungen
Stellen Sie zunächst sicher, dass die folgenden Voraussetzungen erfüllt sind:
CyberARK Version 2.0.
Vergewissern Sie sich, dass Sie über CLI-Zugriff auf alle Defender für IoT-Appliances in Ihrem Unternehmen verfügen.
Ein Azure-Konto. Wenn Sie noch kein Azure-Konto haben, können Sie noch heute Ihr Azure kostenloses Konto erstellen.
Zugriff auf einen Defender für IoT OT-Sensor als Admin Benutzer. Weitere Informationen finden Sie unter Lokale Benutzer und Rollen für die OT-Überwachung mit Defender für IoT.
Konfigurieren von PSM CyberArk
CyberArk muss für die Kommunikation mit Defender für IoT konfiguriert werden. Diese Kommunikation erfolgt durch Konfigurieren von PSM.
So konfigurieren Sie PSM:
Suchen und öffnen Sie die
c:\Program Files\PrivateArk\Server\dbparam.xmlDatei.Fügen Sie die folgenden Parameter hinzu:
[SYSLOG]UseLegacySyslogFormat=YesSyslogTranslatorFile=Syslog\CyberX.xslSyslogServerIP=<CyberX Server IP>SyslogServerProtocol=UDPSyslogMessageCodeFilter=319,320,295,378,380Speichern Sie die Datei, und schließen Sie sie.
Platzieren Sie die Syslog-Konfigurationsdatei
CyberX.xslfür Defender für IoT inc:\Program Files\PrivateArk\Server\Syslog\CyberX.xsl.Öffnen Sie die Server-Zentraladministration.
Wählen Sie die
Ampel Beenden aus, um den Server zu beenden.Wählen Sie die Ampel Starten aus, um den Server zu starten.
Aktivieren der Integration in Defender für IoT
Um die Integration zu ermöglichen, muss syslog Server im OT-Sensor aktiviert werden. Standardmäßig lauscht der Syslog-Server über Port 514 UDP auf die IP-Adresse des Systems.
So konfigurieren Sie Defender für IoT:
Melden Sie sich bei Ihrem OT-Sensor an, und navigieren Sie dann zu Systemeinstellungen.
Schalten Sie den Syslog-Server auf Ein um.
(Optional) Ändern Sie den Port, indem Sie sich über die CLI beim System anmelden, zu
/var/cyberx/properties/syslog.propertiesnavigieren und dann inlistener: 514/udpändern.
Anzeigen und Verwalten von Erkennungen
Die Integration zwischen Microsoft Defender für IoT und CyberArk PSM erfolgt über Syslog-Nachrichten. Diese Nachrichten werden von der PSM-Lösung an Defender für IoT gesendet, um Defender für IoT über Remotesitzungen oder Überprüfungsfehler zu benachrichtigen.
Sobald die Defender für IoT-Plattform diese Nachrichten von PSM empfängt, korreliert sie sie mit den Daten, die sie im Netzwerk sieht. Daher wird überprüft, dass alle Remotezugriffsverbindungen mit dem Netzwerk von der PSM-Lösung und nicht von einem nicht autorisierten Benutzer generiert wurden.
Warnungen anzeigen
Wenn die Defender für IoT-Plattform Remotesitzungen identifiziert, die nicht von PSM autorisiert wurden, gibt sie eine aus Unauthorized Remote Session. Um eine sofortige Untersuchung zu ermöglichen, zeigt die Warnung auch die IP-Adressen und Namen der Quell- und Zielgeräte an.
So zeigen Sie Warnungen an:
Melden Sie sich bei Ihrem OT-Sensor an, und wählen Sie dann Warnungen aus.
Wählen Sie in der Liste der Warnungen die Warnung "Nicht autorisierte Remotesitzung" aus.
Ablauf der Veranstaltung
Wenn PSM eine Remoteverbindung autorisiert, wird sie auf der Seite Defender für IoT-Ereigniszeitachse angezeigt. Auf der Seite Ereigniszeitachse wird eine Zeitleiste aller Warnungen und Benachrichtigungen angezeigt.
So zeigen Sie das Ereignis Zeitleiste an:
Melden Sie sich bei Ihrem Netzwerksensor an, und wählen Sie dann Ereignis Zeitleiste aus.
Suchen Sie ein Ereignis mit dem Titel PSM-Remotesitzung.
Überwachung & Forensik
Administratoren können Remotezugriffssitzungen überwachen und untersuchen, indem sie die Defender für IoT-Plattform über die integrierte Data Mining-Schnittstelle abfragen. Diese Informationen können verwendet werden, um alle aufgetretenen Remotezugriffsverbindungen zu identifizieren, einschließlich forensischer Details wie von oder zu Geräten, Protokollen (RDP oder SSH), Quell- und Zielbenutzern, Zeitstempeln und ob die Sitzungen mithilfe von PSM autorisiert wurden.
So überwachen und untersuchen Sie folgendes:
Melden Sie sich bei Ihrem Netzwerksensor an, und wählen Sie dann Data Mining aus.
Wählen Sie Remotezugriff aus.
Beenden der Integration
Sie können die Kommunikation der Integration jederzeit beenden.
So beenden Sie die Integration:
Navigieren Sie im OT-Sensor zu Systemeinstellungen.
Schalten Sie die Option Syslog-Server auf Aus um.