Integración de Palo Alto con Microsoft Defender para IoT
En este artículo se describe cómo integrar Palo Alto con Microsoft Defender para IoT, con el fin de ver la información de Palo Alto y Defender para IoT en un solo lugar, o usar los datos de Defender para IoT para configurar acciones de bloqueo en Palo Alto.
La visualización conjunta de la información de Defender para IoT y Palo Alto proporciona a los analistas de SOC visibilidad multidimensional para que puedan bloquear las amenazas críticas con mayor rapidez.
Integraciones basadas en la nube
Sugerencia
Las integraciones de seguridad basadas en la nube proporcionan diversas ventajas con respecto a las soluciones locales, como una administración centralizada y más sencilla de los sensores, y la supervisión centralizada de la seguridad.
Entre otras ventajas se incluyen la supervisión en tiempo real, un uso eficiente de los recursos, mayor escalabilidad y solidez, protección mejorada frente a las amenazas de seguridad, mantenimiento y actualizaciones simplificados, así como la integración sin problemas con soluciones de terceros.
Si va a integrar un sensor de OT conectado a la nube con Palo Alto, se recomienda conectar Defender para IoT a Microsoft Sentinel.
Instale una o varias de las siguientes soluciones para ver los datos de Palo Alto y Defender para IoT en Microsoft Sentinel.
Microsoft Sentinel es un servicio de nube escalable para la respuesta automatizada de orquestación de seguridad (SOAR) de la administración de eventos e información de seguridad (SIEM). Los equipos de SOC pueden usar la integración entre Microsoft Defender para IoT y Microsoft Sentinel para recopilar datos en las redes, detectar e investigar amenazas y responder a incidentes.
En Microsoft Sentinel, el conector de datos de Defender para IoT y la solución aportan contenido de seguridad estándar a los equipos de SOC, lo que les ayuda a ver, analizar y responder a las alertas de seguridad de OT y a comprender los incidentes generados en el contenido de amenazas organizativo más amplio.
Para más información, consulte:
- Tutorial: Conexión de Microsoft Defender para IoT con Microsoft Sentinel
- Tutorial: Investigación y detección de amenazas para dispositivos IoT
Integraciones locales
Si va a trabajar con un sensor de OT administrado localmente y aislado, necesitará una solución local para ver la información de Defender para IoT y Palo Alto en el mismo lugar.
En tales casos, se recomienda configurar el sensor de OT para enviar archivos syslog directamente a Palo Alto o usar la API integrada de Defender para IoT.
Para más información, consulte:
Integración local (heredada)
En esta sección se describe cómo integrar y usar Palo Alto con Microsoft Defender para IoT mediante la integración local heredada, que crea automáticamente nuevas directivas en NMS y Panorama de Palo Alto Network.
Importante
La integración heredada de Palo Alto Panorama se admite hasta octubre de 2024 con la versión 23.1.3 del sensor y no se admitirá en las próximas versiones principales de software. Para los clientes que usan la integración heredada, se recomienda pasar a uno de los métodos siguientes:
- Si va a integrar la solución de seguridad con sistemas basados en la nube, se recomienda usar conectores de datos a través de Microsoft Sentinel.
- En el caso de las integraciones locales, se recomienda configurar el sensor de OT para reenviar eventos de syslog o usar las API de Defender para IoT.
En la tabla siguiente se muestran los incidentes para los que está pensada esta integración:
| Tipo de incidente | Descripción |
|---|---|
| Cambios de PLC no autorizados | Una actualización de la lógica de escalera o del firmware de un dispositivo. Esta alerta puede representar una actividad legítima o un intento de poner en peligro el dispositivo. Por ejemplo, un código malintencionado, como un troyano de acceso remoto (RAT), o parámetros que provocan que un proceso físico, como el giro de una turbina, funcione de forma no segura. |
| Infracción del protocolo | Una estructura de paquetes o valor de campo que infringe la especificación del protocolo. Esta alerta puede representar una aplicación mal configurada o un intento malintencionado de poner en peligro el dispositivo. Por ejemplo, provocando una condición de desbordamiento de búfer en el dispositivo de destino. |
| Detención de PLC | un comando que hace que el dispositivo deje de funcionar, con lo que se pone en riesgo el proceso físico controlado por ese PLC. |
| Malware industrial detectado en la red de ICS | malware que manipula dispositivos ICS mediante sus protocolos nativos, como TRITON e Industroyer. Defender para IoT también detecta el malware de TI que se ha trasladado lateralmente al entorno ICS y SCADA. Por ejemplo, Conficker, WannaCry y NotPetya. |
| Detección de malware | herramientas de reconocimiento que recopilan datos acerca de la configuración del sistema en una fase previa al ataque. Por ejemplo, el troyano Havex examina las redes industriales en busca de dispositivos que usen OPC, que es un protocolo estándar que usan los sistemas SCADA basados en Windows para comunicarse con dispositivos ICS. |
Cuando Defender para IoT detecta un caso de uso preconfigurado, el botón Bloquear origen se agrega a la alerta. Después, cuando el usuario de Defender para IoT selecciona el botón Block Source, Defender para IoT crea directivas en Panorama mediante el envío de la regla de reenvío predefinida.
La directiva solo se aplica cuando el administrador de Panorama la envía al NGFW pertinente de la red.
En redes de TI, puede haber direcciones IP dinámicas. Por lo tanto, para esas subredes, la directiva se debe basar en el nombre de dominio completo (nombre DNS) y no en la dirección IP. Defender para IoT realiza la búsqueda inversa y hace coincidir los dispositivos con dirección IP dinámica con su nombre de dominio completo (nombre DNS) cada cierto número de horas que se puede configurar.
Además, Defender para IoT envía un correo electrónico al usuario de Panorama pertinente para notificar que una nueva directiva creada por Defender para IoT está esperando la aprobación. En la ilustración siguiente, se muestra la arquitectura de integración de Defender para IoT con Panorama:
Requisitos previos
Asegúrese de que cumple los siguientes requisitos previos antes de empezar:
- Confirmación del administrador de Panorama para permitir el bloqueo automático.
- Acceso a un sensor de OT de Defender para IoT como usuario administrador.
Configuración de la búsqueda de DNS
El primer paso para crear directivas de bloqueo de Panorama en Defender para IoT es configurar la búsqueda de DNS.
Para configurar la búsqueda de DNS:
Inicie sesión en el sensor de OT y seleccione Configuración del sistema>Supervisión de red>Búsqueda inversa de DNS.
Ponga el botón de alternancia en modo Habilitado para activar la búsqueda.
En el campo Programar búsqueda inversa, defina las opciones de programación:
- Por horas específicas: especifique cuándo se debe realizar la búsqueda inversa diariamente.
- Por intervalos fijos (en horas): establezca la frecuencia para realizar la búsqueda inversa.
Seleccione + Agregar servidor DNS y, luego, agregue los detalles siguientes:
Parámetro Descripción Dirección del servidor DNS Escriba la dirección IP o el FQDN del servidor DNS de la red. Puerto del servidor DNS escriba el puerto usado para consultar el servidor DNS. Número de etiquetas Para configurar la resolución de FQDN de DNS, agregue el número de etiquetas de dominio que desea mostrar.
Se muestran hasta 30 caracteres de izquierda a derecha.Subredes establezca el intervalo de subredes de las direcciones IP dinámicas.
El intervalo que Defender para IoT recorre a la inversa, busca su dirección IP en el servidor DNS para que coincida con su nombre FQDN actual.Para asegurarse de que la configuración de DNS es correcta, seleccione Prueba. La prueba garantiza que la dirección IP del servidor DNS y el puerto del servidor DNS estén configurados correctamente.
Seleccione Guardar.
Cuando haya terminado, continúe creando reglas de reenvío según sea necesario:
- Configuración del bloqueo inmediato mediante un firewall de Palo Alto especificado
- Bloqueo del tráfico sospechoso con el firewall de Palo Alto
Configuración del bloqueo inmediato mediante un firewall de Palo Alto especificado
Configure el bloqueo automático en casos como alertas relacionadas con malware mediante la configuración de una regla de reenvío de Defender para IoT para enviar un comando de bloqueo directamente a un firewall específico de Palo Alto.
Cuando Defender para IoT identifica una amenaza crítica, envía una alerta que incluye una opción de bloqueo del origen infectado. Si se selecciona Block Source (Bloquear origen) en los detalles de la alerta, se activa la regla de reenvío que envía el comando de bloqueo al firewall de Palo Alto especificado.
Al crear la regla de reenvío:
En el área Acciones, defina el servidor, el host, el puerto y las credenciales de Palo Alto NGFW.
Configure las siguientes opciones para permitir el bloqueo de los orígenes sospechosos mediante el firewall de Palo Alto:
Parámetro Descripción Bloquear códigos de función ilegales infracciones de protocolo, valor de campo no válido que infringe la especificación del protocolo ICS (posible ataque). Bloquear las actualizaciones de firmware/programación de PLC no autorizadas cambios de PLC no autorizados. Bloquear detención de PLC no autorizada detención de PLC (tiempo de inactividad). Bloquear las alertas relacionadas con malware bloqueo de los intentos de malware industrial (TRITON, NotPetya, etc.).
Puede seleccionar la opción de Automatic blocking (Bloqueo automático).
En ese caso, el bloqueo se ejecuta automáticamente y de inmediato.Bloquear el análisis no autorizado análisis no autorizado (reconocimiento potencial).
Para obtener más información, consulte Reenvío de información de alertas de OT local.
Bloqueo del tráfico sospechoso con el firewall de Palo Alto
Configure una regla de reenvío de Defender para IoT para bloquear el tráfico sospechoso con el firewall de Palo Alto.
Al crear la regla de reenvío:
En el área Acciones, defina el servidor, el host, el puerto y las credenciales de Palo Alto NGFW.
defina cómo se ejecuta el bloqueo como se indica a continuación:
- Por dirección IP: siempre crea directivas de bloqueo en Panorama según la dirección IP.
- Por FQDN o dirección IP: crea directivas de bloqueo en Panorama según el FQDN si existe; de lo contrario, según la dirección IP.
En el campo Correo electrónico, escriba la dirección de correo electrónico para el correo electrónico de notificación de directiva.
Nota:
Asegúrese de que ha configurado un servidor de correo en Defender para IoT. Si no se especifica ninguna dirección de correo electrónico, Defender for IoT no envía ningún correo electrónico de notificación.
Configure las siguientes opciones para permitir el bloqueo de los orígenes sospechosos mediante Palo Alto Panorama:
Parámetro Descripción Bloquear códigos de función ilegales infracciones de protocolo, valor de campo no válido que infringe la especificación del protocolo ICS (posible ataque). Bloquear las actualizaciones de firmware/programación de PLC no autorizadas cambios de PLC no autorizados. Bloquear detención de PLC no autorizada detención de PLC (tiempo de inactividad). Bloquear las alertas relacionadas con malware bloqueo de los intentos de malware industrial (TRITON, NotPetya, etc.).
Puede seleccionar la opción de Automatic blocking (Bloqueo automático).
En ese caso, el bloqueo se ejecuta automáticamente y de inmediato.Bloquear el análisis no autorizado análisis no autorizado (reconocimiento potencial).
Para obtener más información, consulte Reenvío de información de alertas de OT local.
Bloqueo de orígenes sospechosos específicos
Una vez creada la regla de reenvío, siga estos pasos para bloquear orígenes sospechosos específicos:
En la página Alertas del sensor de OT, localice y seleccione la alerta relacionada con la integración de Palo Alto.
Para bloquear automáticamente el origen sospechoso, seleccione Block Source (Bloquear origen).
En el cuadro de diálogo de confirmación, seleccione OK (Aceptar).
El firewall de Palo Alto bloquea ahora el origen sospechoso.