Intégrer Palo Alto à Microsoft Defender pour IoT

Cet article explique comment intégrer Palo Alto à Microsoft Defender pour IoT afin d’afficher à la fois les informations Palo Alto et Defender pour IoT dans un emplacement unique, ou utiliser les données Defender pour IoT pour configurer des actions de blocage dans Palo Alto.

L’affichage des informations Defender pour IoT et Palo Alto ensemble fournit aux analystes SOC une visibilité multidimensionnelle afin qu’ils puissent bloquer les menaces critiques plus rapidement.

Remarque

Defender pour IoT prévoit de mettre hors service l’intégration de Palo Alto le 1er décembre 2025

Intégrations basées sur le cloud

Conseil / Astuce

Les intégrations de sécurité basées sur le cloud offrent plusieurs avantages sur les solutions locales, telles que la gestion centralisée des capteurs et la surveillance centralisée de la sécurité.

D’autres avantages incluent la surveillance en temps réel, une utilisation efficace des ressources, une scalabilité et une robustesse accrues, une protection améliorée contre les menaces de sécurité, une maintenance et des mises à jour simplifiées et une intégration transparente avec des solutions tierces.

Si vous intégrez un capteur OT connecté au cloud à Palo Alto, nous vous recommandons de connecter Defender pour IoT à Microsoft Sentinel.

Installez une ou plusieurs des solutions suivantes pour afficher les données Palo Alto et Defender pour IoT dans Microsoft Sentinel.

Solution Microsoft Sentinel	Pour en savoir plus
Palo Alto PAN-OS Solution	Connecteur Palo Alto Networks (Pare-feu) pour Microsoft Sentinel
Palo Alto Networks Cortex Data Lake Solution	Connecteur Palo Alto Networks Cortex Data Lake (CDL) pour Microsoft Sentinel
Solution CSPM Palo Alto Prisma Cloud	Connecteur CSPM Palo Alto Prisma Cloud (à l’aide de la fonction Azure) pour Microsoft Sentinel

Microsoft Sentinel est un service cloud évolutif pour la gestion des événements de sécurité (SIEM) de la réponse automatisée de l’orchestration des événements de sécurité (SOAR). Les équipes SOC peuvent utiliser l’intégration entre Microsoft Defender pour IoT et Microsoft Sentinel pour collecter des données sur des réseaux, détecter et examiner les menaces et répondre aux incidents.

Dans Microsoft Sentinel, le connecteur de données Defender pour IoT et la solution apportent du contenu de sécurité prête à l’emploi aux équipes SOC, les aidant à afficher, analyser et répondre aux alertes de sécurité OT, et à comprendre les incidents générés dans le contenu plus large des menaces organisationnelles.

Pour plus d’informations, consultez :

• Tutoriel : Connecter Microsoft Defender pour IoT avec Microsoft Sentinel
• Tutoriel : Examiner et détecter les menaces pour les appareils IoT

Intégrations locales

Si vous utilisez un capteur OT géré localement, vous aurez besoin d’une solution locale pour afficher les informations Defender pour IoT et Palo Alto au même endroit.

Dans ce cas, nous vous recommandons de configurer votre capteur OT pour envoyer des fichiers syslog directement à Palo Alto, ou d’utiliser l’API intégrée de Defender pour IoT.

Pour plus d’informations, consultez :

• Transférer les informations des alertes OT locales
• Informations de référence sur l’API Defender pour IoT

Intégration locale (héritée)

Cette section explique comment intégrer et utiliser Palo Alto avec Microsoft Defender pour IoT à l’aide de l’intégration locale héritée, qui crée automatiquement de nouvelles stratégies dans les NMS et Panorama de Palo Alto Network.

Important

L’intégration héritée de Palo Alto Panorama est prise en charge jusqu’en octobre 2024 à l’aide du capteur version 23.1.3 et ne sera pas prise en charge dans les prochaines versions logicielles majeures. Pour les clients qui utilisent l’intégration héritée, nous vous recommandons de passer à l’une des méthodes suivantes :

• Si vous intégrez votre solution de sécurité à des systèmes informatiques, nous vous recommandons d’utiliser des connecteurs de données via Microsoft Sentinel.
• Pour les intégrations locales, nous vous recommandons de configurer votre capteur OT pour transférer des événements syslog, ou d’utiliser les API Defender pour IoT.

Le tableau suivant indique les incidents pour lesquels cette intégration est destinée :

Type d’incident	Descriptif
Modifications de PLC non autorisées	Mise à jour de la logique d’échelle ou du microprogramme d’un appareil. Cette alerte peut représenter une activité légitime ou une tentative de compromission de l’appareil. Par exemple, du code malveillant, tel qu’un cheval de Troie d’accès à distance (RAT) ou des paramètres qui provoquent le processus physique, comme une turbine en rotation, fonctionnent de manière dangereuse.
Violation de protocole	Structure de paquets ou valeur de champ qui enfreint la spécification du protocole. Cette alerte peut représenter une application mal configurée ou une tentative malveillante de compromettre l’appareil. Par exemple, l’origine d’une condition de dépassement de mémoire tampon dans l’appareil cible.
Arrêt PLC	Commande qui entraîne l’arrêt du fonctionnement de l’appareil, ce qui risque le processus physique contrôlé par le PLC.
Programmes malveillants industriels trouvés dans le réseau ICS	Programmes malveillants qui manipulent des appareils ICS à l’aide de leurs protocoles natifs, tels que TRITON et Industroyer. Defender pour IoT détecte également les programmes malveillants informatiques qui ont été déplacés ultérieurement dans l’environnement ICS et SCADA. Par exemple, Conficker, WannaCry et NotPetya.
Analyse des programmes malveillants	Outils de reconnaissance qui collectent des données sur la configuration du système dans une phase de préattaque. Par exemple, Havex Trojan analyse les réseaux industriels pour les appareils utilisant OPC, qui est un protocole standard utilisé par les systèmes SCADA windows pour communiquer avec les appareils ICS.

Lorsque Defender pour IoT détecte un cas d’usage préconfiguré, le bouton Bloquer la source est ajouté à l’alerte. Ensuite, lorsque l’utilisateur Defender pour IoT sélectionne le bouton Bloquer la source , Defender pour IoT crée des stratégies sur Panorama en envoyant la règle de transfert prédéfinie.

La stratégie est appliquée uniquement lorsque l’administrateur Panorama l’envoie (push) au NGFW approprié dans le réseau.

Dans les réseaux informatiques, il peut y avoir des adresses IP dynamiques. Par conséquent, pour ces sous-réseaux, la stratégie doit être basée sur le nom de domaine complet (nom DNS) et non sur l’adresse IP. Defender pour IoT effectue une recherche inversée et correspond aux appareils avec une adresse IP dynamique à leur nom de domaine complet (nom DNS) tous les nombres d’heures configurés.

De plus, Defender pour IoT envoie un e-mail à l’utilisateur Panorama approprié pour informer qu’une nouvelle stratégie créée par Defender pour IoT attend l’approbation. La figure ci-dessous présente l’architecture d’intégration defender pour IoT et Panorama :

Conditions préalables

Avant de commencer, vérifiez que les conditions préalables suivantes sont remplies :

• Confirmation par l’administrateur Panorama pour autoriser le blocage automatique.
• Accès à un capteur Defender pour IoT OT en tant qu’utilisateur administrateur.

Configurer la recherche DNS

La première étape de la création de stratégies de blocage Panorama dans Defender pour IoT consiste à configurer la recherche DNS.

Pour configurer la recherche DNS :

1. Connectez-vous à votre capteur OT et sélectionnez Paramètres> systèmesurveillance>dns Recherche inversée DNS.

2. Activez le bouton bascule Activé pour activer la recherche.

3. Dans le champ Planification de recherche inversée , définissez les options de planification :

   • Par moments spécifiques : spécifiez quand effectuer la recherche inversée quotidiennement.
   • Par intervalles fixes (en heures) : définissez la fréquence d’exécution de la recherche inverse.

4. Sélectionnez + Ajouter un serveur DNS, puis ajoutez les détails suivants :

   Paramètre	Descriptif
   Adresse du serveur DNS	Entrez l’adresse IP ou le nom de domaine complet du serveur DNS réseau.
   Port du serveur DNS	Entrez le port utilisé pour interroger le serveur DNS.
   Nombre d’étiquettes	Pour configurer la résolution du nom de domaine complet DNS, ajoutez le nombre d’étiquettes de domaine à afficher. Jusqu’à 30 caractères sont affichés de gauche à droite.
   Sous-réseaux	Définissez la plage de sous-réseaux d’adresses IP dynamiques. La plage que Defender pour IoT inverse recherche son adresse IP dans le serveur DNS pour qu’elle corresponde à son nom de domaine complet actuel.

5. Pour vous assurer que vos paramètres DNS sont corrects, sélectionnez Test. Le test garantit que l’adresse IP du serveur DNS et le port du serveur DNS sont correctement définis.

6. Cliquez sur Enregistrer.

Lorsque vous avez terminé, continuez en créant des règles de transfert en fonction des besoins :

• Configurer le blocage immédiat par un pare-feu Palo Alto spécifié
• Bloquer le trafic suspect avec le pare-feu Palo Alto

Configurer le blocage immédiat par un pare-feu Palo Alto spécifié

Configurez le blocage automatique dans les cas tels que les alertes liées aux programmes malveillants, en configurant une règle de transfert Defender pour IoT pour envoyer une commande bloquante directement à un pare-feu Palo Alto spécifique.

Lorsque Defender pour IoT identifie une menace critique, il envoie une alerte qui inclut une option de blocage de la source infectée. La sélection de la source de bloc dans les détails de l’alerte active la règle de transfert, qui envoie la commande bloquante au pare-feu Palo Alto spécifié.

Pendant la création de votre règle de transfert :

1. Dans la zone Actions , définissez le serveur, l’hôte, le port et les informations d’identification pour palo Alto NGFW.

2. Configurez les options suivantes pour autoriser le blocage des sources suspectes par le pare-feu Palo Alto :

   Paramètre	Descriptif
   Bloquer les codes de fonction non valides	Violations de protocole - Valeur de champ non conforme à la spécification du protocole ICS (attaque potentielle).
   Bloquer les mises à jour de programmation /microprogramme PLC non autorisées	Modifications de PLC non autorisées.
   Bloquer l’arrêt PLC non autorisé	Arrêt plc (temps d’arrêt).
   Bloquer les alertes liées aux programmes malveillants	Blocage des tentatives de programmes malveillants industriels (TRITON, NotPetya, etc.). Vous pouvez sélectionner l’option de blocage automatique. Dans ce cas, le blocage est exécuté automatiquement et immédiatement.
   Bloquer l’analyse non autorisée	Analyse non autorisée (reconnaissance potentielle).

Pour plus d’informations, consultez Transférer les informations d’alertes OT locales.

Bloquer le trafic suspect avec le pare-feu Palo Alto

Configurez une règle de transfert Defender pour IoT pour bloquer le trafic suspect avec le pare-feu Palo Alto.

Pendant la création de votre règle de transfert :

1. Dans la zone Actions , définissez le serveur, l’hôte, le port et les informations d’identification pour palo Alto NGFW.

2. Définissez la façon dont le blocage est exécuté, comme suit :

   • Par adresse IP : crée toujours des stratégies de blocage sur Panorama en fonction de l’adresse IP.
   • Par nom de domaine complet ou adresse IP : crée des stratégies bloquantes sur Panorama en fonction du nom de domaine complet s’il existe, sinon par l’adresse IP.

3. Dans le champ e-mail, entrez l’adresse e-mail de l’e-mail de notification de stratégie.

   Remarque

   Vérifiez que vous avez configuré un serveur de messagerie dans Defender pour IoT. Si aucune adresse e-mail n’est entrée, Defender pour IoT n’envoie pas d’e-mail de notification.

4. Configurez les options suivantes pour autoriser le blocage des sources suspectes par le Palo Alto Panorama :

   Paramètre	Descriptif
   Bloquer les codes de fonction non valides	Violations de protocole - Valeur de champ non conforme à la spécification du protocole ICS (attaque potentielle).
   Bloquer les mises à jour de programmation /microprogramme PLC non autorisées	Modifications de PLC non autorisées.
   Bloquer l’arrêt PLC non autorisé	Arrêt plc (temps d’arrêt).
   Bloquer les alertes liées aux programmes malveillants	Blocage des tentatives de programmes malveillants industriels (TRITON, NotPetya, etc.). Vous pouvez sélectionner l’option de blocage automatique. Dans ce cas, le blocage est exécuté automatiquement et immédiatement.
   Bloquer l’analyse non autorisée	Analyse non autorisée (reconnaissance potentielle).

Pour plus d’informations, consultez Transférer les informations d’alertes OT locales.

Bloquer des sources suspectes spécifiques

Une fois que vous avez créé votre règle de transfert, procédez comme suit pour bloquer des sources suspectes spécifiques :

1. Dans la page Alertes du capteur OT, recherchez et sélectionnez l’alerte liée à l’intégration de Palo Alto.

2. Pour bloquer automatiquement la source suspecte, sélectionnez Block Source (Bloquer la source).

3. Dans la boîte de dialogue Confirmer , sélectionnez OK.

La source suspecte est désormais bloquée par le pare-feu Palo Alto.

Étape suivante

Intégrations à d’autres services Microsoft et partenaires