Integrieren von ClearPass in Microsoft Defender für IoT
Achtung
Dieser Artikel bezieht sich auf CentOS, eine Linux-Distribution, die sich dem End-of-Life-Status (EOL) nähert. Sie sollten Ihre Nutzung entsprechend planen. Weitere Informationen finden Sie im CentOS End-of-Life-Leitfaden.
In diesem Artikel wird beschrieben, wie Aruba ClearPass mit Microsoft Defender for IoT integriert wird, um ClearPass- und Defender for IoT-Informationen an einem zentralen Ort anzuzeigen.
Die gemeinsame Anzeige von Defender for IoT- und ClearPass-Informationen bietet SOC-Analyst*innen einen mehrdimensionalen Einblick in die speziellen OT-Protokolle und -Geräte, die in Industrieumgebungen bereitgestellt werden, sowie ICS-fähige Verhaltensanalysen zur schnellen Erkennung von verdächtigem oder anomalem Verhalten.
Cloudbasierte Integrationen
Tipp
Cloudbasierte Sicherheitsintegrationen bieten mehrere Vorteile gegenüber lokalen Lösungen, z. B. zentrale, einfachere Sensorverwaltung und zentrale Sicherheitsüberwachung.
Weitere Vorteile sind die echtzeitbasierte Überwachung, effizienter Ressourceneinsatz, höhere Skalierbarkeit und Stabilität, verbesserter Schutz vor Sicherheitsbedrohungen, vereinfachte Wartung und Updates sowie nahtlose Integration mit Drittanbieterlösungen.
Wenn Sie einen mit der Cloud verbundenen OT-Sensor mit Aruba ClearPass integrieren, wird empfohlen, eine Verbindung mit Microsoft Sentinel herzustellen und dann den Aruba ClearPass-Datenconnector zu installieren.
Microsoft Sentinel ist ein skalierbarer Clouddienst für die Verwaltung von sicherheitsrelevanten Informationen und Ereignissen (Security Information & Event Management, SIEM) sowie die Sicherheitsorchestrierung mit automatisierter Reaktion (Security Orchestration Automated Response, SOAR). SOC-Teams können die wechselseitige Integration von Microsoft Defender for IoT und Microsoft Sentinel verwenden, um Daten netzwerkübergreifend zu sammeln, Bedrohungen zu erkennen und zu untersuchen und auf Vorfälle zu reagieren.
In Microsoft Sentinel bieten der Defender für IoT-Datenconnector und die -Lösung sofort einsatzbereite Sicherheitsinhalte für SOC-Teams, sodass sie OT-Sicherheitswarnungen anzeigen, analysieren und darauf reagieren können sowie die generierten Vorfälle in den umfassenderen Bedrohungsinhalten der Organisation verstehen können.
Weitere Informationen finden Sie unter
- Tutorial: Verbinden von Microsoft Defender for IoT mit Microsoft Sentinel
- Tutorial: Untersuchen und Erkennen von Bedrohungen für IoT-Geräte
- Dokumentation zu Microsoft Sentinel
Lokale Integrationen
Wenn Sie einen lokal verwalteten OT-Sensor mit Air Gap verwenden, benötigen Sie eine lokale Lösung, um Defender for IoT- und Splunk-Informationen an einem Ort anzuzeigen.
In solchen Fällen wird empfohlen, Ihren OT-Sensor so zu konfigurieren, dass Syslog-Dateien direkt an ClearPass gesendet werden, oder die integrierte API von Defender for IoT zu verwenden.
Weitere Informationen finden Sie unter:
Lokale Integration (veraltet)
In diesem Abschnitt wird beschrieben, wie Sie für Defender for IoT und ClearPass Policy Manager (CPPM) die lokale Legacyintegration verwenden.
Wichtig
Die Aruba ClearPass-Legacyintegration wird bis Oktober 2024 mit Sensorversion 23.1.3 unterstützt, in bevorstehenden Hauptsoftwareversionen jedoch nicht mehr. Kund*innen, die die Legacyintegration verwenden, wird empfohlen, zu einer der folgenden Methoden zu wechseln:
- Wenn Sie Ihre Sicherheitslösung mit cloudbasierten Systeme integrieren, empfiehlt es sich, Datenconnectors über Microsoft Sentinel zu verwenden.
- Für lokale Integrationen empfiehlt es sich, entweder Ihren OT-Sensor für die Weiterleitung von Syslog-Ereignissen zu konfigurieren oder Defender for IoT-APIs zu verwenden.
Voraussetzungen
Bevor Sie beginnen, stellen Sie sicher, dass Sie die folgenden Voraussetzungen erfüllen:
| Voraussetzung | Beschreibung |
|---|---|
| Anforderungen an Aruba ClearPass | CPPM wird auf Hardwaregeräten mit vorinstallierter Software oder als virtueller Computer unter den folgenden Hypervisoren ausgeführt. - VMware ESXi 5.5, 6.0, 6.5, 6.6 oder höher - Microsoft Hyper-V Server 2012 R2 oder 2016 R2 - Hyper-V unter Microsoft Windows Server 2012 R2 oder 2016 R2 - KVM unter CentOS 7.5 oder höher Hypervisoren, die auf einem Clientcomputer wie VMware Player ausgeführt werden, sind nicht unterstützt. |
| Anforderungen an Defender for IoT | - Defender for IoT ab Version 2.5.1 - Zugriff auf einen Defender for IoT-OT-Sensor als Administratorbenutzer*in |
Erstellen eines ClearPass-API-Benutzers
Als Teil des Kommunikationskanals zwischen den beiden Produkten verwendet Defender für IoT viele APIs (sowohl TIPS als auch REST). Der Zugriff auf die TIPS-APIs wird anhand der Kombination der Anmeldeinformationen „Benutzername“ und „Kennwort“ überprüft. Diese Benutzer-ID muss über ein Minimum an Zugriffsebenen verfügen. Verwenden Sie kein Superadministrator-Profil, sondern verwenden Sie stattdessen API-Administrator, wie unten gezeigt.
So erstellen Sie einen ClearPass-API-Benutzer:
Wählen Sie Verwaltung>Benutzer und Berechtigungen und dann HINZUFÜGEN aus.
Legen Sie im Dialogfeld Administratorbenutzer hinzufügen die folgenden Parameter fest:
Parameter BESCHREIBUNG UserID Geben Sie die Benutzer-ID ein. Name Geben Sie den Benutzernamen ein. Kennwort Geben Sie das Kennwort ein. Benutzer aktivieren Vergewissern Sie sich, dass diese Option aktiviert ist. Berechtigungsstufe Wählen Sie API-Administrator aus. Wählen Sie Hinzufügen.
Erstellen eines ClearPass-Operatorprofils
Defender für IoT verwendet die REST-API als Teil der Integration. REST-APIs werden unter einem OAuth-Framework authentifiziert. Für die Synchronisierung mit Defender für IoT müssen Sie einen API-Client erstellen.
Um den Zugriff auf die REST-API für den API-Client zu schützen, erstellen Sie ein eingeschränktes Zugriffsoperatorprofil.
So erstellen Sie ein ClearPass-Operatorprofil:
Navigieren Sie zum Fenster Operatorprofil bearbeiten.
Legen Sie mit Ausnahme der folgenden Optionen alle Optionen auf Kein Zugriff fest:
Parameter BESCHREIBUNG API-Dienste Auf Zugriff zulassen festlegen Richtlinien-Manager Legen Sie Folgendes fest:
- Wörterbücher: Attribute auf Lesen, Schreiben, Löschen festlegen
- Wörterbücher: Fingerabdruck festgelegt auf Lesen, Schreiben, Löschen
- Identität: Endpunkte auf Lesen, Schreiben, Löschen festlegen
Erstellen eines ClearPass-OAuth-API-Clients
Wählen Sie im Hauptfenster Administrator>API-Dienste>API-Clients aus.
Legen Sie auf der Registerkarte API-Client erstellen die folgenden Parameter fest:
Betriebsmodus: Dieser Parameter wird für API-Aufrufe von ClearPass verwendet. Wähen Sie ClearPass-REST-API – Client aus.
Operatorprofil: Verwenden Sie das Profil, das Sie zuvor erstellt haben.
Gewährungstyp: Legen Sie Clientanmeldeinformationen (Gewährungstyp = Clientanmeldeinformationen) fest.
Stellen Sie sicher, dass Sie den Geheimen Clientschlüssel und die Client-ID aufzeichnen. Beispiel:
defender-rest.Stellen Sie im Richtlinien-Manager sicher, dass Sie die folgende Liste von Informationen gesammelt haben, bevor Sie mit dem nächsten Schritt fortfahren.
CPPM-UserID
CPPM-UserId-Kennwort
CPPM-OAuth2-API-Client-ID
CPPM-OAuth2-API: Geheimer Clientschlüssel
Konfigurieren von Defender für IoT für die ClearPass-Integration
Um die Anzeige des Gerätebestands in ClearPass zu aktivieren, müssen Sie die Defender für IoT-ClearPass-Synchronisierung einrichten. Wenn die Synchronisierungskonfiguration abgeschlossen ist, aktualisiert die Defender für IoT-Plattform die ClearPass Policy Manager EndpointDb, wenn neue Endpunkte gefunden werden.
So konfigurieren Sie die ClearPass-Synchronisierung auf dem Defender für IoT-Sensor:
Wählen Sie im Defender für IoT-Sensor Systemeinstellungen>Integrationen>ClearPass aus.
Legen Sie die folgenden Parameter fest:
Parameter BESCHREIBUNG Enable Sync (Synchronisierung aktivieren) Aktivieren Sie die Option, um die Synchronisierung zwischen Defender for IoT und ClearPass zu aktivieren. Synchronisierungshäufigkeit (Minuten) Definieren Sie die Synchronisierungshäufigkeit in Minuten. Der Standardwert ist 60 Sekunden. Der Mindestwert ist 5 Minuten. ClearPass-Host Die IP-Adresse des ClearPass-Systems, mit dem Defender for IoT synchronisiert ist. Client-ID Die Client-ID, die in ClearPass für die Synchronisierung der Daten mit Defender for IoT erstellt wurde. Geheimer Clientschlüssel Der geheime Clientschlüssel, der in ClearPass für die Synchronisierung der Daten mit Defender for IoT erstellt wurde. Benutzername Der ClearPass-Administratorbenutzer. Kennwort Das ClearPass-Administratorkennwort. Wählen Sie Speichern aus.
Definieren einer ClearPass-Weiterleitungsregel
Sie müssen die Weiterleitungsregel festlegen, um die Anzeige der von Defender für IoT in Aruba gefundenen Warnungen zu aktivieren. Diese Regel definiert, welche Informationen zu den ICS- und SCADA-Sicherheitsbedrohungen, die von Defender für IoT-Sicherheits-Engines identifiziert werden, an ClearPass gesendet werden.
Weitere Informationen finden Sie unter Lokale Integrationen.
Überwachen der Kommunikation zwischen ClearPass und Defender für IoT
Nachdem die Synchronisierung gestartet wurde, wird die EndpointDb des Richtlinien-Managers direkt mit Endpunktdaten gefüllt. Sie können den Zeitpunkt der letzten Aktualisierung auf dem Bildschirm für die Integrationskonfiguration anzeigen.
So überprüfen Sie den Zeitpunkt der letzten Synchronisierung mit ClearPass
Melden Sie sich am Defender für loT Sensor an.
Wählen Sie Systemeinstellungen>Integrationen>ClearPass aus.
Wenn die Synchronisierung nicht funktioniert oder ein Fehler angezeigt wird, haben Sie es wahrscheinlich versäumt, einige der Informationen zu erfassen. Überprüfen Sie die aufgezeichneten Daten erneut.
Zusätzlich können Sie die API-Aufrufe zwischen Defender for IoT und ClearPass über Gast>Administration>Support>Anwendungsprotokoll anzeigen.
Beispielsweise API-Protokolle zwischen Defender for IoT und ClearPass:
