Partager via


Intégrer CyberArk à Microsoft Defender pour IoT

Cet article vous explique comment intégrer CyberArk à Microsoft Defender pour IoT et comment l’utiliser.

Defender pour IoT fournit des plateformes de cybersécurité ICS et IoT avec des fonctionnalités de machine learning et d’analytique des menaces compatibles ICS.

Les acteurs à l’origine des menaces utilisent des informations d’identification d’accès à distance compromises pour accéder aux réseaux d’infrastructures critiques via des connexions Bureau à distance et VPN. En utilisant des connexions approuvées, cette approche permet de contourner facilement la sécurité de périmètre OT (technologie opérationnelle). Les informations d’identification sont généralement volées aux utilisateurs disposant de privilèges d’accès (ingénieurs de contrôle et personnel de maintenance des partenaires, par exemple), qui leur permettent d’effectuer à distance les tâches quotidiennes.

L’intégration de Defender pour IoT à CyberARK vous permet d’effectuer les tâches suivantes :

  • Réduire les risques OT liés à un accès à distance non autorisé

  • Proposer une supervision continue et une sécurité d’accès basée sur les privilèges pour l’OT

  • Améliorer la réponse aux incidents, la chasse aux menaces et la modélisation de ces dernières

L’appliance Defender pour IoT est connectée au réseau OT via un port SPAN (port miroir) sur les appareils réseau, tels que les commutateurs et les routeurs, via une connexion unidirectionnelle (entrante) aux interfaces réseau dédiées sur l’appliance Defender pour IoT.

Une interface réseau dédiée est également fournie dans l’appliance Defender pour IoT à des fins de gestion centralisée et d’accès aux API. Cette interface est également utilisée pour communiquer avec la solution PSM de CyberArk, qui est déployée dans le centre de données de l’organisation pour gérer les utilisateurs disposant de privilèges et sécuriser les connexions d’accès à distance.

The CyberArk PSM solution deployment

Dans cet article, vous apprendrez comment :

  • Configurer PSM dans CyberArk
  • Activer l’intégration dans Defender pour IoT
  • Voir et gérer les détections
  • Arrêter l’intégration

Prérequis

Avant de commencer, vérifiez que les conditions préalables suivantes sont remplies :

Configurer PSM dans CyberArk

CyberArk doit être configuré pour autoriser la communication avec Defender pour IoT. Cette communication s’effectue via la configuration de PSM.

Pour configurer PSM :

  1. Recherchez et ouvrez le fichier c:\Program Files\PrivateArk\Server\dbparam.xml.

  2. Ajoutez les paramètres suivants :

    [SYSLOG] UseLegacySyslogFormat=Yes SyslogTranslatorFile=Syslog\CyberX.xsl SyslogServerIP=<CyberX Server IP> SyslogServerProtocol=UDP SyslogMessageCodeFilter=319,320,295,378,380

  3. Enregistrez le fichier, puis fermez-le.

  4. Placez le fichier config Syslog de Defender pour IoT CyberX.xsl dans c:\Program Files\PrivateArk\Server\Syslog\CyberX.xsl.

  5. Ouvrez Server Central Administration.

  6. Sélectionnez le feu rouge pour arrêter le serveur.

  7. Sélectionnez le feu vert pour démarrer le serveur.

Activer l’intégration dans Defender pour IoT

Pour permettre l’intégration, Syslog Server doit être activé dans la console de gestion locale de Defender pour IoT. Par défaut, le serveur Syslog écoute l’adresse IP du système à l’aide du port 514 UDP.

Pour configurer Defender pour IoT :

  1. Connectez-vous à votre console de gestion locale Defender pour IoT, puis accédez à Paramètres système.

  2. Passez l’option relative au serveur Syslog à l’état Activé.

    Screenshot of the syslog server toggled to on.

  3. (Facultatif) Changez le port en vous connectant au système via l’interface CLI, accédez à /var/cyberx/properties/syslog.properties, puis passez à listener: 514/udp.

Voir et gérer les détections

L’intégration entre Microsoft Defender pour IoT et CyberArk PSM s’effectue via des messages Syslog. Ces messages sont envoyés par la solution PSM à Defender pour IoT. Ils notifient Defender pour IoT en cas de session à distance ou d’échec de vérification.

Une fois que la plateforme Defender pour IoT reçoit ces messages de PSM, elle les met en corrélation avec les données visibles sur le réseau. Cela lui permet de vérifier que les connexions d’accès à distance au réseau ont été générées par la solution PSM, et non par un utilisateur non autorisé.

Afficher les alertes

Chaque fois que la plateforme Defender pour IoT identifie des sessions à distance qui n’ont pas été autorisées par PSM, elle émet un message Unauthorized Remote Session. Pour faciliter l’investigation immédiate, l’alerte indique également les adresses IP et les noms des appareils source et de destination.

Pour voir les alertes :

  1. Connectez-vous à votre console de gestion locale, puis sélectionnez Alertes.

  2. Dans la liste des alertes, sélectionnez l’alerte intitulée Unauthorized Remote Session.

    The Unauthorized Remote Session alert.

Chronologie des événements

Chaque fois que PSM autorise une connexion à distance, celle-ci est visible dans la page Chronologie des événements de Defender pour IoT. La page Chronologie des événements affiche une chronologie de l’ensemble des alertes et notifications.

Pour voir la chronologie des événements :

  1. Connectez-vous à votre capteur réseau, puis sélectionnez Chronologie des événements.

  2. Recherchez un événement intitulé Session à distance PSM.

Audit et forensique

Les administrateurs peuvent auditer et investiguer les sessions d’accès à distance en interrogeant la plateforme Defender pour IoT via son interface d’exploration de données intégrée. Ces informations peuvent être utilisées pour identifier toutes les connexions d’accès à distance qui ont eu lieu. Elles permettent notamment d’obtenir certains détails utiles aux investigations, tels que l’identité des appareils émetteurs ou destinataires, les protocoles (RDP ou SSH), les utilisateurs sources et de destination, les horodatages ainsi que des informations indiquant si les sessions ont été autorisées à l’aide de PSM.

Pour auditer et investiguer :

  1. Connectez-vous à votre capteur réseau, puis sélectionnez Exploration de données.

  2. Sélectionnez Accès à distance.

Arrêter l’intégration

À tout moment, vous pouvez arrêter la communication de l’intégration.

Pour arrêter l’intégration :

  1. Dans la console de gestion locale de Defender pour IoT, accédez à Paramètres système.

  2. Passez l’option relative au serveur Syslog à l’état Désactivé.

    A view of th Server status.

Étapes suivantes