Integrieren von Palo Alto in Microsoft Defender für IoT

In diesem Artikel wird beschrieben, wie Palo Alto in Microsoft Defender für IoT integriert wird, um Sowohl Palo Alto- als auch Defender für IoT-Informationen an einem zentralen Ort anzuzeigen oder Defender für IoT-Daten zum Konfigurieren von Blockierungsaktionen in Palo Alto zu verwenden.

Das Anzeigen von Defender für IoT- und Palo Alto-Informationen bietet SOC-Analysten mehrdimensionale Sichtbarkeit, sodass sie kritische Bedrohungen schneller blockieren können.

Hinweis

Defender für IoT plant, die Palo Alto-Integration am 1. Dezember 2025 auszuschalten

Cloudbasierte Integrationen

Tipp

Cloudbasierte Sicherheitsintegrationen bieten mehrere Vorteile gegenüber lokalen Lösungen, z. B. zentrale, einfachere Sensorverwaltung und zentrale Sicherheitsüberwachung.

Weitere Vorteile sind echtzeitbasierte Überwachung, effizienter Ressourceneinsatz, erhöhte Skalierbarkeit und Robustheit, verbesserter Schutz vor Sicherheitsbedrohungen, vereinfachte Wartung und Updates sowie nahtlose Integration in Drittanbieterlösungen.

Wenn Sie einen mit der Cloud verbundenen OT-Sensor in Palo Alto integrieren, empfehlen wir Ihnen, Defender für IoT mit Microsoft Sentinel zu verbinden.

Installieren Sie eine oder mehrere der folgenden Lösungen zum Anzeigen von Palo Alto- und Defender für IoT-Daten in Microsoft Sentinel.

Microsoft Sentinel-Lösung	Erfahren Sie mehr
Palo Alto PAN-OS Lösung	Palo Alto Networks (Firewall)-Connector für Microsoft Sentinel
Palo Alto Networks Cortex Data Lake Lösung	Palo Alto Networks Cortex Data Lake (CDL)-Connector für Microsoft Sentinel
Palo Alto Prisma Cloud CSPM-Lösung	Palo Alto Prisma Cloud CSPM (using Azure Function) connector für Microsoft Sentinel

Microsoft Sentinel ist ein skalierbarer Clouddienst für sicherheitsrelevante Informationsereignisverwaltung (SECURITY Information Event Management, SIEM) zur automatisierten Reaktion (SOAR). SOC-Teams können die Integration zwischen Microsoft Defender für IoT und Microsoft Sentinel verwenden, um Daten über Netzwerke hinweg zu sammeln, Bedrohungen zu erkennen und zu untersuchen und auf Vorfälle zu reagieren.

In Microsoft Sentinel bringt der Defender für IoT-Datenkonnektor und die Lösung sofort einsatzbereite Sicherheitsinhalte an SOC-Teams, hilft ihnen, OT-Sicherheitswarnungen anzuzeigen, zu analysieren und darauf zu reagieren und die generierten Vorfälle in den umfassenderen Inhalten der Organisation zu verstehen.

Weitere Informationen finden Sie unter:

• Tutorial: Verbinden von Microsoft Defender for IoT mit Microsoft Sentinel
• Tutorial: Untersuchen und Erkennen von Bedrohungen für IoT-Geräte

Lokale Integrationen

Wenn Sie mit einem lokal verwalteten OT-Sensor arbeiten, benötigen Sie eine lokale Lösung, um Defender für IoT- und Palo Alto-Informationen an demselben Ort anzuzeigen.

In solchen Fällen wird empfohlen, Ihren OT-Sensor so zu konfigurieren, dass Syslog-Dateien direkt an Palo Alto gesendet werden, oder die integrierte API von Defender für IoT verwenden.

Weitere Informationen finden Sie unter:

• Weiterleiten von lokalen OT-Warnungsinformationen
• Referenz zur Defender for IoT-API

Lokale Integration (Legacy)

In diesem Abschnitt wird beschrieben, wie Sie Palo Alto mit Microsoft Defender für IoT integrieren und verwenden, indem Sie die ältere lokale Integration verwenden, die automatisch neue Richtlinien im NMS und Panorama des Palo Alto Network erstellt.

Von Bedeutung

Die ältere Palo Alto Panorama-Integration wird bis Oktober 2024 mit Sensorversion 23.1.3 unterstützt und wird in bevorstehenden Hauptsoftwareversionen nicht unterstützt. Für Kunden, die die Legacyintegration verwenden, empfehlen wir, zu einer der folgenden Methoden zu wechseln:

• Wenn Sie Ihre Sicherheitslösung mit cloudbasierten Systeme integrieren, empfiehlt es sich, Datenconnectors über Microsoft Sentinel zu verwenden.
• Für lokale Integrationen empfiehlt es sich, entweder Ihren OT-Sensor für die Weiterleitung von Syslog-Ereignissen zu konfigurieren oder Defender für IoT-APIs zu verwenden.

Die folgende Tabelle zeigt, für welche Vorfälle diese Integration vorgesehen ist:

Vorfalltyp	BESCHREIBUNG
Nicht autorisierte PLC-Änderungen	Eine Aktualisierung der Leiterlogik oder Firmware eines Geräts. Diese Warnung kann legitime Aktivitäten darstellen oder versuchen, das Gerät zu kompromittieren. Beispielsweise böswilliger Code, z. B. ein Remotezugriffs-Trojaner (RAT) oder Parameter, die den physischen Prozess verursachen, z. B. eine sich drehende Turbine, auf unsichere Weise zu betreiben.
Protokollverstoß	Eine Paketstruktur oder ein Feldwert, der gegen die Protokollspezifikation verstößt. Diese Warnung kann eine falsch konfigurierte Anwendung oder einen böswilligen Versuch darstellen, das Gerät zu kompromittieren. Dies führt beispielsweise zu einer Pufferüberlaufbedingung auf dem Zielgerät.
PLG-Stopp	Ein Befehl, der bewirkt, dass das Gerät nicht mehr funktioniert, wodurch der physische Prozess riskiert wird, der von der PLG gesteuert wird.
Industrielle Schadsoftware im ICS-Netzwerk	Schadsoftware, die ICS-Geräte mit ihren nativen Protokollen wie TRITON und Industroyer manipuliert. Defender für IoT erkennt auch IT-Schadsoftware, die seitlich in die ICS- und SCADA-Umgebung verschoben wurde. Beispielsweise Conficker, WannaCry und NotPetya.
Scannen von Schadsoftware	Aufklärungstools, die Daten zur Systemkonfiguration in einer Vorangriffsphase sammeln. So scannt der Havex Trojan z. B. industrielle Netzwerke für Geräte, die OPC verwenden, ein Standardprotokoll, das von Windows-basierten SCADA-Systemen für die Kommunikation mit ICS-Geräten verwendet wird.

Wenn Defender für IoT einen vorkonfigurierten Anwendungsfall erkennt, wird der Warnung die Schaltfläche " Quelle blockieren " hinzugefügt. Wenn der Defender für IoT-Benutzer dann die Schaltfläche " Quelle blockieren" auswählt, erstellt Defender für IoT Richtlinien für Panorama, indem die vordefinierte Weiterleitungsregel gesendet wird.

Die Richtlinie wird nur angewendet, wenn der Panorama-Administrator sie in das entsprechende NGFW im Netzwerk verschiebt.

In IT-Netzwerken gibt es möglicherweise dynamische IP-Adressen. Daher muss die Richtlinie für diese Subnetze auf FQDN (DNS-Name) und nicht auf der IP-Adresse basieren. Defender für IoT führt reverse Lookup durch und gleicht Geräte mit dynamischer IP-Adresse mit ihrem FQDN (DNS-Name) jeder konfigurierten Anzahl von Stunden ab.

Darüber hinaus sendet Defender für IoT eine E-Mail an den relevanten Panorama-Benutzer, um zu benachrichtigen, dass eine neue Richtlinie, die von Defender für IoT erstellt wurde, auf die Genehmigung wartet. Die folgende Abbildung zeigt die Architektur der Defender für IoT- und Panorama-Integration:

Voraussetzungen

Bevor Sie beginnen, stellen Sie sicher, dass Sie die folgenden Voraussetzungen erfüllen:

• Bestätigung durch den Panorama-Administrator, automatische Blockierung zuzulassen.
• Zugriff auf einen Defender for IoT OT-Sensor als Administratorbenutzer.

Konfigurieren der DNS-Suche

Der erste Schritt beim Erstellen von Panorama-Blockierungsrichtlinien in Defender für IoT besteht darin, die DNS-Suche zu konfigurieren.

So konfigurieren Sie die DNS-Suche:

1. Melden Sie sich bei Ihrem OT-Sensor an, und wählen Sie system settings>Network monitoring>DNS Reverse Lookup aus.

2. Aktivieren Sie die Umschaltfläche "Aktiviert", um den Nachschlagevorgang zu aktivieren.

3. Definieren Sie im Feld " Reverse-Nachschlagevorgang planen " die Terminplanungsoptionen:

   • Nach bestimmten Zeiten: Geben Sie an, wann die Umgekehrte Suche täglich durchgeführt werden soll.
   • Durch feste Intervalle (in Stunden): Legen Sie die Häufigkeit für die Durchführung der umgekehrten Suche fest.

4. Wählen Sie +DNS-Server hinzufügen, und fügen Sie dann die folgenden Details hinzu:

   Parameter	BESCHREIBUNG
   DNS-Serveradresse	Geben Sie die IP-Adresse oder den FQDN des Netzwerk-DNS-Servers ein.
   DNS-Serverport	Geben Sie den Port ein, der zum Abfragen des DNS-Servers verwendet wird.
   Anzahl der Etiketten	Um die DNS-FQDN-Auflösung zu konfigurieren, fügen Sie die Anzahl der anzuzeigenden Domänenbezeichnungen hinzu. Bis zu 30 Zeichen werden von links nach rechts angezeigt.
   Subnetze	Legen Sie den Subnetzbereich für dynamische IP-Adressen fest. Der Bereich, in dem Defender für IoT die IP-Adresse im DNS-Server umkehrt, um dem aktuellen FQDN-Namen zu entsprechen.

5. Um sicherzustellen, dass Ihre DNS-Einstellungen korrekt sind, wählen Sie "Testen" aus. Der Test stellt sicher, dass die IP-Adresse des DNS-Servers und der DNS-Serverport ordnungsgemäß festgelegt sind.

6. Wählen Sie Speichern aus.

Wenn Sie fertig sind, fahren Sie mit dem Erstellen von Weiterleitungsregeln nach Bedarf fort:

• Konfigurieren der sofortigen Blockierung durch eine angegebene Palo Alto-Firewall
• Blockieren des verdächtigen Datenverkehrs mit der Palo Alto-Firewall

Konfigurieren der sofortigen Blockierung durch eine angegebene Palo Alto-Firewall

Konfigurieren Sie das automatische Blockieren in Fällen wie schadsoftwarebezogenen Warnungen, indem Sie eine Defender für IoT-Weiterleitungsregel konfigurieren, um einen Blockierungsbefehl direkt an eine bestimmte Palo Alto-Firewall zu senden.

Wenn Defender für IoT eine kritische Bedrohung identifiziert, sendet sie eine Warnung, die eine Option zum Blockieren der infizierten Quelle enthält. Wenn Sie " Quelle blockieren" in den Details der Warnung auswählen, wird die Weiterleitungsregel aktiviert, die den Blockierungsbefehl an die angegebene Palo Alto-Firewall sendet.

Beim Erstellen der Weiterleitungsregel gilt Folgendes:

1. Definieren Sie im Bereich "Aktionen " den Server, den Host, den Port und die Anmeldeinformationen für den Palo Alto NGFW.

2. Konfigurieren Sie die folgenden Optionen, um das Blockieren der verdächtigen Quellen durch die Palo Alto-Firewall zu ermöglichen:

   Parameter	BESCHREIBUNG
   Blockieren ungültiger Funktionscodes	Protokollverletzungen - Unzulässiger Feldwert, der gegen die ICS-Protokollspezifikation verstößt (potenzieller Exploit).
   Blockieren nicht autorisierter PLC-Programmierung / Firmwareupdates	Nicht autorisierte PLC-Änderungen.
   Nicht autorisiertes PLG-Stopp blockieren	PLG-Stopp (Ausfallzeiten).
   Blockieren von Warnungen im Zusammenhang mit Schadsoftware	Blockieren von Industriellen Schadsoftwareversuchen (TRITON, NotPetya usw.). Sie können die Option zum automatischen Blockieren auswählen. In diesem Fall wird die Blockierung automatisch und sofort ausgeführt.
   Nicht autorisiertes Scannen blockieren	Nicht autorisierte Überprüfung (potenzielle Aufklärung).

Weitere Informationen finden Sie unter Weiterleiten von lokalen OT-Warnungsinformationen.

Blockieren des verdächtigen Datenverkehrs mit der Palo Alto-Firewall

Konfigurieren Sie eine Defender für IoT-Weiterleitungsregel, um verdächtigen Datenverkehr mit der Palo Alto-Firewall zu blockieren.

Beim Erstellen der Weiterleitungsregel gilt Folgendes:

1. Definieren Sie im Bereich "Aktionen " den Server, den Host, den Port und die Anmeldeinformationen für den Palo Alto NGFW.

2. Definieren Sie, wie die Blockierung ausgeführt wird, wie folgt:

   • Nach IP-Adresse: Erstellt immer Blockierungsrichtlinien für Panorama basierend auf der IP-Adresse.
   • Durch FQDN oder IP-Adresse: Erstellt Blockierungsrichtlinien für Panorama basierend auf FQDN, falls vorhanden, andernfalls durch die IP-Adresse.

3. Geben Sie im Feld "E-Mail " die E-Mail-Adresse für die Richtlinienbenachrichtigung ein.

   Hinweis

   Stellen Sie sicher, dass Sie einen Mail-Server im Defender für IoT konfiguriert haben. Wenn keine E-Mail-Adresse eingegeben wird, sendet Defender für IoT keine Benachrichtigungs-E-Mail.

4. Konfigurieren Sie die folgenden Optionen, um das Blockieren der verdächtigen Quellen durch das Palo Alto Panorama zu ermöglichen:

   Parameter	BESCHREIBUNG
   Blockieren ungültiger Funktionscodes	Protokollverletzungen - Unzulässiger Feldwert, der gegen die ICS-Protokollspezifikation verstößt (potenzieller Exploit).
   Blockieren nicht autorisierter PLC-Programmierung / Firmwareupdates	Nicht autorisierte PLC-Änderungen.
   Nicht autorisiertes PLG-Stopp blockieren	PLG-Stopp (Ausfallzeiten).
   Blockieren von Warnungen im Zusammenhang mit Schadsoftware	Blockieren von Industriellen Schadsoftwareversuchen (TRITON, NotPetya usw.). Sie können die Option zum automatischen Blockieren auswählen. In diesem Fall wird die Blockierung automatisch und sofort ausgeführt.
   Nicht autorisiertes Scannen blockieren	Nicht autorisierte Überprüfung (potenzielle Aufklärung).

Weitere Informationen finden Sie unter Weiterleiten von lokalen OT-Warnungsinformationen.

Blockieren bestimmter verdächtiger Quellen

Nachdem Sie Ihre Weiterleitungsregel erstellt haben, führen Sie die folgenden Schritte aus, um bestimmte, verdächtige Quellen zu blockieren:

1. Suchen Und wählen Sie auf der Seite " Benachrichtigungen " des OT-Sensors die Warnung im Zusammenhang mit der Palo Alto-Integration aus.

2. Zum automatischen Blockieren der verdächtigen Quelle wählen Sie Block Source (Quelle blockieren) aus.

3. Wählen Sie im Dialogfeld "Bestätigen"die Option "OK" aus.

Die verdächtige Quelle wird nun von der Palo Alto Firewall blockiert.

Nächster Schritt

Integrationen in andere Microsoft- und Partnerdienste