Integración de ClearPass con Microsoft Defender para IoT
Precaución
En este artículo se hace referencia a CentOS, una distribución de Linux que está cerca de su estado Final de ciclo vida (EOL). Tenga en cuenta su uso y planeación en consecuencia. Para más información, consulte la Guía de fin de ciclo de vida de CentOS.
En este artículo se describe cómo integrar Aruba ClearPass con Microsoft Defender para IoT con el fin de ver la información tanto de ClearPass como de Defender para IoT en un solo lugar.
La visualización conjunta de la información de Defender para IoT y ClearPass proporciona a los analistas de los centros de operaciones de seguridad no solo visibilidad multidimensional de los dispositivos y los protocolos de OT especializados implementados en entornos industriales, sino también un análisis del comportamiento compatible con ICS, lo que permite detectar rápidamente comportamientos sospechosos o anómalos.
Integraciones basadas en la nube
Sugerencia
Las integraciones de seguridad basadas en la nube proporcionan diversas ventajas con respecto a las soluciones locales, como una administración centralizada y más sencilla de los sensores, y la supervisión centralizada de la seguridad.
Entre otras ventajas se incluyen la supervisión en tiempo real, un uso eficiente de los recursos, mayor escalabilidad y solidez, protección mejorada frente a las amenazas de seguridad, mantenimiento y actualizaciones simplificados, así como la integración sin problemas con soluciones de terceros.
Si va a integrar un sensor de OT conectado a la nube con Aruba ClearPass, se recomienda que se conecte a Microsoft Sentinel y que después instale el conector de datos de Aruba ClearPass.
Microsoft Sentinel es un servicio de nube escalable para la respuesta automatizada de orquestación de seguridad (SOAR) de la administración de eventos e información de seguridad (SIEM). Los equipos de SOC pueden usar la integración entre Microsoft Defender para IoT y Microsoft Sentinel para recopilar datos en las redes, detectar e investigar amenazas y responder a incidentes.
En Microsoft Sentinel, el conector de datos de Defender para IoT y la solución aportan contenido de seguridad estándar a los equipos de SOC, lo que les ayuda a ver, analizar y responder a las alertas de seguridad de OT y a comprender los incidentes generados en el contenido de amenazas organizativo más amplio.
Para más información, consulte:
- Tutorial: Conexión de Microsoft Defender para IoT con Microsoft Sentinel
- Tutorial: Investigación y detección de amenazas para dispositivos IoT
- Documentación de Microsoft Sentinel.
Integraciones locales
Si va a trabajar con un sensor de OT administrado localmente y aislado, necesitará una solución local para ver la información de Defender para IoT y Splunk en el mismo lugar.
En tales casos, se recomienda configurar el sensor de OT para enviar archivos syslog directamente a ClearPass o usar la API integrada de Defender para IoT.
Para más información, consulte:
Integración local (heredada)
En esta sección se describe cómo integrar Defender para IoT y el administrador de directivas de ClearPass (CPPM) mediante la integración local heredada.
Importante
La integración heredada de Aruba ClearPass se admite hasta octubre de 2024 con la versión 23.1.3 del sensor y no se admitirá en las próximas versiones principales de software. Para los clientes que usan la integración heredada, se recomienda pasar a uno de los métodos siguientes:
- Si va a integrar la solución de seguridad con sistemas basados en la nube, se recomienda usar conectores de datos a través de Microsoft Sentinel.
- En el caso de las integraciones locales, se recomienda configurar el sensor de OT para reenviar eventos de syslog o usar las API de Defender para IoT.
Requisitos previos
Asegúrese de que cumple los siguientes requisitos previos antes de empezar:
| Requisito previo | Descripción |
|---|---|
| Requisitos de Aruba ClearPass | CPPM se ejecuta en dispositivos de hardware con software preinstalado o como una máquina virtual en los siguientes hipervisores. - VMware ESXi 5.5, 6.0, 6.5, 6.6 o posterior. - Microsoft Hyper-V Server 2012 R2 o 2016 R2. - Hyper-V en Microsoft Windows Server 2012 R2 o 2016 R2. - KVM en CentOS 7.5 o posterior. No se admiten hipervisores que se ejecutan en un equipo cliente como VMware Player. |
| Requisitos de Defender para IoT | - Defender para IoT, versión 2.5.1 o posteriores. - Acceso a un sensor de OT de Defender para IoT como usuario administrador. |
Crear un usuario de API de ClearPass
Como parte del canal de comunicaciones entre los dos productos, Defender para IoT usa muchas API (tanto TIPS como REST). El acceso a las API TIPS se valida mediante credenciales de combinación de nombre de usuario y contraseña. Este identificador de usuario debe tener niveles mínimos de acceso. No use un perfil de superadministrador, use la API de administrador como se muestra a continuación.
Para crear un usuario de API de ClearPass:
Seleccione Administración>Usuarios y privilegios y, luego, ADD.
En el cuadro de diálogo Agregar usuario administrador, establezca los siguientes parámetros:
Parámetro Descripción UserID Escriba el identificador de usuario. Nombre Escriba el nombre de usuario. Contraseña Escriba la contraseña. Habilitar usuario Compruebe si esta opción está habilitada. Nivel de privilegio Seleccione Administrador de API. Seleccione Agregar.
Creación de un perfil de operador de ClearPass
Defender para IoT usa la API REST como parte de la integración. Las API REST se autentican en un marco de OAuth. Para sincronizar con Defender para IoT, debe crear un cliente de API.
Para proteger el acceso a la API REST para el cliente de API, cree un perfil de operador de acceso restringido.
Para crear un perfil de operador de ClearPass:
Vaya a la ventana Editar perfil de operador.
Establezca todas las opciones en Sin acceso, excepto las siguientes:
Parámetro Descripción Servicios de API Establezca esta opción en Permitir acceso. Administrador de directivas Configure las opciones siguientes:
- Diccionarios: : configure Atributos en Lectura, Escritura, Eliminación.
- Diccionarios:: Conjunto de huellas digitales en Lectura, Escritura, Eliminación
- Identidad: configure Puntos de conexión en Lectura, Escritura, Eliminación.
Creación de un cliente de API de OAuth de ClearPass
En la ventana principal, seleccione Administrador>Servicios de API>Clientes de API.
En la pestaña Crear cliente de API, establezca los parámetros siguientes:
Modo operativo: este parámetro se usa para las llamadas API a ClearPass. Seleccione API REST de ClearPass: Cliente.
Perfil de operador: use el perfil que creó anteriormente.
Tipo de concesión: configure Credenciales del cliente (grant_type = client_credentials) .
Asegúrese de registrar el secreto de cliente y el id. de cliente. Por ejemplo,
defender-rest.En el Administrador de directivas, asegúrese de que recopiló la siguiente lista de información antes de continuar con el paso siguiente.
UserID de CPPM
Contraseña de UserId de CPPM
Identificador de cliente de la API de OAuth2 de CPPM
Secreto de cliente de la API de OAuth2 de CPPM
Configuración de Defender para IoT para la integración con ClearPass
Para habilitar la visualización del inventario de dispositivos en ClearPass, debe configurar Defender para IoT: sincronización de ClearPass. Una vez completada la configuración de sincronización, la plataforma Defender para IoT actualiza la base de datos de puntos de conexión del administrador de directivas de ClearPass a medida que detecta nuevos puntos de conexión.
Para configurar la sincronización de ClearPass en el sensor de Defender para IoT:
En el sensor de Defender para IoT, seleccione Configuración del sistema>Integraciones>ClearPass.
Establezca los siguientes parámetros:
Parámetro Descripción Enable Sync (Habilitar sincronización) Active para habilitar la sincronización entre Defender para IoT y ClearPass. Sync Frequency (minutes) [Frecuencia de sincronización (minutos)] Defina la frecuencia de sincronización en minutos. El valor predeterminado es 60 minutos. El mínimo es de 5 minutos. Host de ClearPass Dirección IP del sistema de ClearPass con el que Defender para IoT está sincronizado. Id. de cliente Id. de cliente que se creó en ClearPass para sincronizar los datos con Defender para IoT. Secreto de cliente Secreto de cliente que se creó en ClearPass para sincronizar los datos con Defender para IoT. Nombre de usuario Usuario administrador de ClearPass. Contraseña Contraseña del administrador de ClearPass. Seleccione Guardar.
Definición de la regla de reenvío de ClearPass
Para habilitar la visualización de las alertas detectadas por Defender para IoT en Aruba, debe establecer la regla de reenvío. Esta regla define qué información sobre ICS y amenazas de seguridad de SCADA identificadas por los motores de seguridad de Defender para IoT se envía a ClearPass.
Para obtener más información, consulte Integraciones locales.
Supervisión de la comunicación de ClearPass y Defender para IoT
Una vez iniciada la sincronización, los datos del punto de conexión se rellenan directamente en la base de datos de puntos de conexión del administrador de directivas. Puede ver la hora de la última actualización desde la pantalla de configuración de integración.
Para revisar la hora de la última sincronización en ClearPass:
Inicie sesión en el sensor de Defender para IoT.
Seleccione Configuración del sistema>Integraciones>ClearPass.
Si la sincronización no funciona o muestra un error, es probable que no haya capturado parte de la información. Vuelva a comprobar los datos registrados.
Además, puede ver las llamadas API entre Defender para IoT y ClearPass desde Invitado>Administración>Soporte técnico>Registro de aplicaciones.
Por ejemplo, los registros de API entre Defender para IoT y ClearPass:
