Palo Alto integrálása a Microsoft Defender for IoT-vel
Ez a cikk bemutatja, hogyan integrálható a Palo Alto és a Microsoft Defender for IoT, hogy a Palo Alto és a Defender for IoT-információk egyetlen helyen is megtekinthetők, vagy hogyan konfigurálhatók a Palo Alto-ban a Blokkoló műveletek a Defender for IoT-adatokkal.
Az IoT-alapú Defender és a Palo Alto információinak együttes megtekintése többdimenziós láthatóságot biztosít az SOC-elemzők számára, hogy gyorsabban blokkolhassák a kritikus fenyegetéseket.
Felhőalapú integrációk
Tipp.
A felhőalapú biztonsági integrációk számos előnyt biztosítanak a helyszíni megoldásokkal szemben, például központosított, egyszerűbb érzékelőkezelést és központosított biztonsági monitorozást.
További előnyök a valós idejű monitorozás, a hatékony erőforrás-használat, a nagyobb méretezhetőség és robusztusság, a biztonsági fenyegetések elleni hatékonyabb védelem, az egyszerűsített karbantartás és frissítések, valamint a külső megoldásokkal való zökkenőmentes integráció.
Ha felhőalapú OT-érzékelőt integrál a Palo Alto-val, javasoljuk, hogy csatlakoztassa az IoT Defendert a Microsoft Sentinelhez.
Telepítsen egy vagy több alábbi megoldást a Palo Alto és a Defender for IoT-adatok Microsoft Sentinelben való megtekintéséhez.
A Microsoft Sentinel egy méretezhető felhőszolgáltatás a biztonsági információk eseménykezelésére (SIEM) vonatkozó biztonsági vezénylési automatizált válaszhoz (SOAR). Az SOC-csapatok a Microsoft Defender for IoT és a Microsoft Sentinel integrációjával adatokat gyűjthetnek a hálózatok között, észlelhetik és kivizsgálhatják a fenyegetéseket, és reagálhatnak az incidensekre.
A Microsoft Sentinelben az IoT-hez készült Defender adatösszekötő és -megoldás beépített biztonsági tartalmakat biztosít az SOC-csapatoknak, segítve őket az OT biztonsági riasztásainak megtekintésében, elemzésében és megválaszolásában, valamint a szervezeti veszélyforrások szélesebb tartalmának generált incidenseinek megértésében.
For more information, see:
- Oktatóanyag: Csatlakozás Microsoft Defender for IoT és a Microsoft Sentinel
- Oktatóanyag: IoT-eszközök fenyegetéseinek vizsgálata és észlelése
Helyszíni integrációk
Ha egy levegővel ellátott, helyileg felügyelt OT-érzékelővel dolgozik, helyszíni megoldásra lesz szüksége az IoT Defender és a Palo Alto adatainak ugyanazon a helyen való megtekintéséhez.
Ilyen esetekben azt javasoljuk, hogy konfigurálja az OT-érzékelőt, hogy közvetlenül a Palo Alto-nak küldjön syslog-fájlokat, vagy használja a Defender for IoT beépített API-ját.
For more information, see:
Helyszíni integráció (örökölt)
Ez a szakasz bemutatja, hogyan integrálható és használható a Palo Alto és a Microsoft Defender for IoT az örökölt helyszíni integrációval, amely automatikusan új szabályzatokat hoz létre a Palo Alto Network NMS-ben és Panoráma szolgáltatásában.
Fontos
Az örökölt Palo Alto Panorama-integráció 2024 októberében támogatott a 23.1.3-as érzékelőverzióval, és a jövőbeli fő szoftververziókban nem támogatott. Az örökölt integrációt használó ügyfelek számára javasoljuk, hogy lépjen az alábbi módszerek egyikére:
- Ha a biztonsági megoldást felhőalapú rendszerekkel integrálja, javasoljuk, hogy a Microsoft Sentinelen keresztül használjon adatösszekötőket.
- Helyszíni integrációk esetén javasoljuk, hogy konfigurálja az OT-érzékelőt a syslog-események továbbítására , vagy használja a Defender for IoT API-kat.
Az alábbi táblázat azt mutatja be, hogy az integráció mely incidensekhez készült:
Incidens típusa | Leírás |
---|---|
Jogosulatlan PLC-módosítások | Az eszköz létralogikának vagy belső vezérlőprogramjának frissítése. Ez a riasztás jogos tevékenységet vagy az eszköz veszélyeztetésére tett kísérletet jelenthet. Rosszindulatú kód, például távelérési trójai (RAT) vagy olyan paraméterek, amelyek miatt a fizikai folyamat, például a forgó turbina nem biztonságos módon működik. |
Protokoll megsértése | A protokoll specifikációját sértő csomagstruktúra vagy mezőérték. Ez a riasztás egy helytelenül konfigurált alkalmazást vagy az eszköz veszélyeztetésére tett rosszindulatú kísérletet jelenthet. Például puffertúlcsordulási feltételt okoz a céleszközön. |
PLC leállítása | Egy parancs, amely miatt az eszköz működése leáll, ezzel kockáztatva a PLC által szabályozott fizikai folyamatot. |
Ipari kártevők találhatók az ICS-hálózaton | Olyan kártevők, amelyek natív protokollokkal manipulálják az ICS-eszközöket, például a TRITON-t és az Industroyert. Az IoT Defender emellett észleli az ICS és SCADA környezetbe oldalirányban áthelyezett informatikai kártevőket is. Például a Conficker, a WannaCry és a NotPetya. |
Kártevők vizsgálata | Felderítési eszközök, amelyek adatokat gyűjtenek a rendszerkonfigurációról egy előzetes fázisban. A Havex trójai például opc-t használó eszközöket keres az ipari hálózatokon, amely a Windows-alapú SCADA-rendszerek által az ICS-eszközökkel való kommunikációhoz használt szabványos protokoll. |
Ha az IoT Defender előre konfigurált használati esetet észlel, a rendszer hozzáadja a Forrás blokkolása gombot a riasztáshoz. Ezután, amikor az IoT-alapú Defender felhasználó a Forrás letiltása gombot választja, a Defender for IoT szabályzatokat hoz létre a Panoráma szolgáltatásban az előre definiált továbbítási szabály elküldésével.
A szabályzat csak akkor lesz alkalmazva, ha a Panoráma-rendszergazda leküldi a hálózat megfelelő NGFW-jének.
Az informatikai hálózatokban lehetnek dinamikus IP-címek. Ezért ezen alhálózatok esetében a szabályzatnak nem az IP-címen, hanem a teljes tartománynéven (DNS-név) kell alapulnia. Az IoT Defender fordított kereséseket hajt végre, és a dinamikus IP-címmel rendelkező eszközöket minden konfigurált órában a teljes tartománynévre (DNS-névre) hasonlítja.
Ezenkívül az IoT Defender e-mailt küld az érintett Panoráma-felhasználónak, amely értesíti, hogy a Defender által az IoT-hez létrehozott új szabályzat a jóváhagyásra vár. Az alábbi ábra az IoT-hez készült Defender és a Panorama integrációs architektúráját mutatja be:
Előfeltételek
Mielőtt hozzákezdene, győződjön meg arról, hogy rendelkezik a következő előfeltételekkel:
- A Panorama Rendszergazda istrator megerősítése az automatikus blokkolás engedélyezéséhez.
- Hozzáférés a Defender for IoT OT-érzékelőhöz Rendszergazda felhasználóként.
DNS-keresés konfigurálása
Az IoT Defender panorámablokkoló házirendjeinek létrehozásának első lépése a DNS-keresés konfigurálása.
A DNS-keresés konfigurálása:
Jelentkezzen be az OT-érzékelőbe, és válassza a Rendszerbeállítások>hálózatmonitorozási>DNS-visszakeresés lehetőséget.
Kapcsolja be az Engedélyezett kapcsolót a keresés aktiválásához.
Az Ütemezés fordított keresése mezőben adja meg az ütemezési beállításokat:
- Meghatározott időpontok szerint: Adja meg, hogy mikor végezze el a fordított keresést naponta.
- Rögzített időközönként (órákban): Állítsa be a fordított keresés végrehajtásának gyakoriságát.
Válassza a + DNS-kiszolgáló hozzáadása lehetőséget, majd adja hozzá a következő adatokat:
Parameter Leírás DNS-kiszolgáló címe Adja meg a hálózati DNS-kiszolgáló IP-címét vagy teljes tartománynevét. DNS-kiszolgáló portja Adja meg a DNS-kiszolgáló lekérdezéséhez használt portot. Címkék száma A DNS teljes tartománynévfeloldásának konfigurálásához adja hozzá a megjelenítendő tartománycímkék számát.
Legfeljebb 30 karakter jelenik meg balról jobbra.Subnets Állítsa be a dinamikus IP-cím alhálózati tartományát.
Az A tartomány, amelyet a Defender for IoT fordítottan keres a DNS-kiszolgálón az IP-címük alapján, az aktuális teljes tartománynévnek megfelelően.A DNS-beállítások helyességének biztosításához válassza a Tesztelés lehetőséget. A teszt biztosítja, hogy a DNS-kiszolgáló IP-címe és a DNS-kiszolgáló portja megfelelően legyen beállítva.
Válassza a Mentés parancsot.
Ha elkészült, folytassa a szükséges továbbítási szabályok létrehozásával:
- Adott Palo Alto-tűzfal azonnali blokkolásának konfigurálása
- Gyanús forgalom letiltása a Palo Alto tűzfallal
Adott Palo Alto-tűzfal azonnali blokkolásának konfigurálása
Konfigurálja az automatikus blokkolást olyan esetekben, mint a kártevőkre vonatkozó riasztások, ha konfigurál egy Defender for IoT-továbbítási szabályt, hogy közvetlenül egy blokkoló parancsot küldjön egy adott Palo Alto-tűzfalnak.
Amikor az IoT Defender azonosít egy kritikus fenyegetést, egy riasztást küld, amely tartalmazza a fertőzött forrás blokkolásának lehetőségét. Ha a riasztás részleteiben a Forrás letiltása lehetőséget választja, aktiválja a továbbítási szabályt, amely elküldi a blokkoló parancsot a megadott Palo Alto tűzfalnak.
A továbbítási szabály létrehozásakor:
A Műveletek területen adja meg a Palo Alto NGFW kiszolgálójának, gazdagépének, portjának és hitelesítő adatainak megadását.
Konfigurálja a következő beállításokat a gyanús források Palo Alto tűzfal általi blokkolásának engedélyezéséhez:
Parameter Leírás Tiltott függvénykódok letiltása Protokollsértések – Az ICS protokoll specifikációját megsértő illegális mezőérték (potenciális kihasználás). Nem engedélyezett PLC-programozás/ belső vezérlőprogram-frissítések letiltása Jogosulatlan PLC-módosítások. Jogosulatlan PLC-leállítás letiltása PLC leállítása (állásidő). Kártevőkre vonatkozó riasztások letiltása Az ipari kártevők blokkolása (TRITON, NotPetya stb.).
Az Automatikus letiltás lehetőséget választhatja.
Ebben az esetben a rendszer automatikusan és azonnal végrehajtja a blokkolást.Jogosulatlan vizsgálat letiltása Jogosulatlan vizsgálat (lehetséges felderítés).
További információ: Helyszíni OT-riasztások továbbítása.
Gyanús forgalom letiltása a Palo Alto tűzfallal
Konfiguráljon egy Defender for IoT-továbbítási szabályt, amely blokkolja a gyanús forgalmat a Palo Alto tűzfallal.
A továbbítási szabály létrehozásakor:
A Műveletek területen adja meg a Palo Alto NGFW kiszolgálójának, gazdagépének, portjának és hitelesítő adatainak megadását.
A blokkolás végrehajtásának meghatározása az alábbiak szerint:
- IP-cím szerint: Mindig az IP-cím alapján hoz létre blokkolási szabályzatokat a Panoráma szolgáltatásban.
- Teljes tartománynév vagy IP-cím szerint: A Panoráma szolgáltatásban blokkoló házirendeket hoz létre a teljes tartománynév alapján, ha létezik, ellenkező esetben az IP-cím alapján.
Az E-mail mezőbe írja be a szabályzatértesítési e-mail e-mail címét.
Megjegyzés:
Győződjön meg arról, hogy konfigurálta a Levelezési kiszolgálót az IoT Defenderben. Ha nincs megadva e-mail-cím, a Defender for IoT nem küld értesítési e-mailt.
Konfigurálja a következő beállításokat a gyanús források Palo Alto Panorama általi blokkolásának engedélyezéséhez:
Parameter Leírás Tiltott függvénykódok letiltása Protokollsértések – Az ICS protokoll specifikációját megsértő illegális mezőérték (potenciális kihasználás). Nem engedélyezett PLC-programozás/ belső vezérlőprogram-frissítések letiltása Jogosulatlan PLC-módosítások. Jogosulatlan PLC-leállítás letiltása PLC leállítása (állásidő). Kártevőkre vonatkozó riasztások letiltása Az ipari kártevők blokkolása (TRITON, NotPetya stb.).
Az Automatikus letiltás lehetőséget választhatja.
Ebben az esetben a rendszer automatikusan és azonnal végrehajtja a blokkolást.Jogosulatlan vizsgálat letiltása Jogosulatlan vizsgálat (lehetséges felderítés).
További információ: Helyszíni OT-riasztások továbbítása.
Adott gyanús források letiltása
Miután létrehozta a továbbítási szabályt, az alábbi lépésekkel blokkolhat bizonyos gyanús forrásokat:
Az OT-érzékelő Riasztások lapján keresse meg és válassza ki a Palo Alto-integrációhoz kapcsolódó riasztást.
A gyanús forrás automatikus letiltásához válassza a Forrás letiltása lehetőséget.
A Megerősítés gombra kattintva válassza az OK gombot.
A gyanús forrást a Palo Alto tűzfal blokkolja.