Palo Alto integrálása a Microsoft Defender for IoT-vel

  • Cikk

Ez a cikk bemutatja, hogyan integrálható a Palo Alto és a Microsoft Defender for IoT, hogy a Palo Alto és a Defender for IoT-információk egyetlen helyen is megtekinthetők, vagy hogyan konfigurálhatók a Palo Alto-ban a Blokkoló műveletek a Defender for IoT-adatokkal.

Az IoT-alapú Defender és a Palo Alto információinak együttes megtekintése többdimenziós láthatóságot biztosít az SOC-elemzők számára, hogy gyorsabban blokkolhassák a kritikus fenyegetéseket.

Felhőalapú integrációk

Tipp.

A felhőalapú biztonsági integrációk számos előnyt biztosítanak a helyszíni megoldásokkal szemben, például központosított, egyszerűbb érzékelőkezelést és központosított biztonsági monitorozást.

További előnyök a valós idejű monitorozás, a hatékony erőforrás-használat, a nagyobb méretezhetőség és robusztusság, a biztonsági fenyegetések elleni hatékonyabb védelem, az egyszerűsített karbantartás és frissítések, valamint a külső megoldásokkal való zökkenőmentes integráció.

Ha felhőalapú OT-érzékelőt integrál a Palo Alto-val, javasoljuk, hogy csatlakoztassa az IoT Defendert a Microsoft Sentinelhez.

Telepítsen egy vagy több alábbi megoldást a Palo Alto és a Defender for IoT-adatok Microsoft Sentinelben való megtekintéséhez.

Microsoft Sentinel-megoldás Tudjon meg többet
Palo Alto PAN-OS megoldás Palo Alto Networks (Firewall) összekötő a Microsoft Sentinelhez
Palo Alto Networks Cortex Data Lake-megoldás Palo Alto Networks Cortex Data Lake (CDL) összekötő a Microsoft Sentinelhez
Palo Alto Prisma Cloud CSPM-megoldás Palo Alto Prisma Cloud CSPM (az Azure Function használatával) összekötő a Microsoft Sentinelhez

A Microsoft Sentinel egy méretezhető felhőszolgáltatás a biztonsági információk eseménykezelésére (SIEM) vonatkozó biztonsági vezénylési automatizált válaszhoz (SOAR). Az SOC-csapatok a Microsoft Defender for IoT és a Microsoft Sentinel integrációjával adatokat gyűjthetnek a hálózatok között, észlelhetik és kivizsgálhatják a fenyegetéseket, és reagálhatnak az incidensekre.

A Microsoft Sentinelben az IoT-hez készült Defender adatösszekötő és -megoldás beépített biztonsági tartalmakat biztosít az SOC-csapatoknak, segítve őket az OT biztonsági riasztásainak megtekintésében, elemzésében és megválaszolásában, valamint a szervezeti veszélyforrások szélesebb tartalmának generált incidenseinek megértésében.

For more information, see:

Helyszíni integrációk

Ha egy levegővel ellátott, helyileg felügyelt OT-érzékelővel dolgozik, helyszíni megoldásra lesz szüksége az IoT Defender és a Palo Alto adatainak ugyanazon a helyen való megtekintéséhez.

Ilyen esetekben azt javasoljuk, hogy konfigurálja az OT-érzékelőt, hogy közvetlenül a Palo Alto-nak küldjön syslog-fájlokat, vagy használja a Defender for IoT beépített API-ját.

For more information, see:

Helyszíni integráció (örökölt)

Ez a szakasz bemutatja, hogyan integrálható és használható a Palo Alto és a Microsoft Defender for IoT az örökölt helyszíni integrációval, amely automatikusan új szabályzatokat hoz létre a Palo Alto Network NMS-ben és Panoráma szolgáltatásában.

Fontos

Az örökölt Palo Alto Panorama-integráció 2024 októberében támogatott a 23.1.3-as érzékelőverzióval, és a jövőbeli fő szoftververziókban nem támogatott. Az örökölt integrációt használó ügyfelek számára javasoljuk, hogy lépjen az alábbi módszerek egyikére:

  • Ha a biztonsági megoldást felhőalapú rendszerekkel integrálja, javasoljuk, hogy a Microsoft Sentinelen keresztül használjon adatösszekötőket.
  • Helyszíni integrációk esetén javasoljuk, hogy konfigurálja az OT-érzékelőt a syslog-események továbbítására , vagy használja a Defender for IoT API-kat.

Az alábbi táblázat azt mutatja be, hogy az integráció mely incidensekhez készült:

Incidens típusa Leírás
Jogosulatlan PLC-módosítások Az eszköz létralogikának vagy belső vezérlőprogramjának frissítése. Ez a riasztás jogos tevékenységet vagy az eszköz veszélyeztetésére tett kísérletet jelenthet. Rosszindulatú kód, például távelérési trójai (RAT) vagy olyan paraméterek, amelyek miatt a fizikai folyamat, például a forgó turbina nem biztonságos módon működik.
Protokoll megsértése A protokoll specifikációját sértő csomagstruktúra vagy mezőérték. Ez a riasztás egy helytelenül konfigurált alkalmazást vagy az eszköz veszélyeztetésére tett rosszindulatú kísérletet jelenthet. Például puffertúlcsordulási feltételt okoz a céleszközön.
PLC leállítása Egy parancs, amely miatt az eszköz működése leáll, ezzel kockáztatva a PLC által szabályozott fizikai folyamatot.
Ipari kártevők találhatók az ICS-hálózaton Olyan kártevők, amelyek natív protokollokkal manipulálják az ICS-eszközöket, például a TRITON-t és az Industroyert. Az IoT Defender emellett észleli az ICS és SCADA környezetbe oldalirányban áthelyezett informatikai kártevőket is. Például a Conficker, a WannaCry és a NotPetya.
Kártevők vizsgálata Felderítési eszközök, amelyek adatokat gyűjtenek a rendszerkonfigurációról egy előzetes fázisban. A Havex trójai például opc-t használó eszközöket keres az ipari hálózatokon, amely a Windows-alapú SCADA-rendszerek által az ICS-eszközökkel való kommunikációhoz használt szabványos protokoll.

Ha az IoT Defender előre konfigurált használati esetet észlel, a rendszer hozzáadja a Forrás blokkolása gombot a riasztáshoz. Ezután, amikor az IoT-alapú Defender felhasználó a Forrás letiltása gombot választja, a Defender for IoT szabályzatokat hoz létre a Panoráma szolgáltatásban az előre definiált továbbítási szabály elküldésével.

A szabályzat csak akkor lesz alkalmazva, ha a Panoráma-rendszergazda leküldi a hálózat megfelelő NGFW-jének.

Az informatikai hálózatokban lehetnek dinamikus IP-címek. Ezért ezen alhálózatok esetében a szabályzatnak nem az IP-címen, hanem a teljes tartománynéven (DNS-név) kell alapulnia. Az IoT Defender fordított kereséseket hajt végre, és a dinamikus IP-címmel rendelkező eszközöket minden konfigurált órában a teljes tartománynévre (DNS-névre) hasonlítja.

Ezenkívül az IoT Defender e-mailt küld az érintett Panoráma-felhasználónak, amely értesíti, hogy a Defender által az IoT-hez létrehozott új szabályzat a jóváhagyásra vár. Az alábbi ábra az IoT-hez készült Defender és a Panorama integrációs architektúráját mutatja be:

Diagram of the Defender for IoT-Panorama Integration Architecture.

Előfeltételek

Mielőtt hozzákezdene, győződjön meg arról, hogy rendelkezik a következő előfeltételekkel:

  • A Panorama Rendszergazda istrator megerősítése az automatikus blokkolás engedélyezéséhez.
  • Hozzáférés a Defender for IoT OT-érzékelőhöz Rendszergazda felhasználóként.

DNS-keresés konfigurálása

Az IoT Defender panorámablokkoló házirendjeinek létrehozásának első lépése a DNS-keresés konfigurálása.

A DNS-keresés konfigurálása:

  1. Jelentkezzen be az OT-érzékelőbe, és válassza a Rendszerbeállítások>hálózatmonitorozási>DNS-visszakeresés lehetőséget.

  2. Kapcsolja be az Engedélyezett kapcsolót a keresés aktiválásához.

  3. Az Ütemezés fordított keresése mezőben adja meg az ütemezési beállításokat:

    • Meghatározott időpontok szerint: Adja meg, hogy mikor végezze el a fordított keresést naponta.
    • Rögzített időközönként (órákban): Állítsa be a fordított keresés végrehajtásának gyakoriságát.

  4. Válassza a + DNS-kiszolgáló hozzáadása lehetőséget, majd adja hozzá a következő adatokat:

    Parameter Leírás
    DNS-kiszolgáló címe Adja meg a hálózati DNS-kiszolgáló IP-címét vagy teljes tartománynevét.
    DNS-kiszolgáló portja Adja meg a DNS-kiszolgáló lekérdezéséhez használt portot.
    Címkék száma A DNS teljes tartománynévfeloldásának konfigurálásához adja hozzá a megjelenítendő tartománycímkék számát.
    Legfeljebb 30 karakter jelenik meg balról jobbra.
    Subnets Állítsa be a dinamikus IP-cím alhálózati tartományát.
    Az A tartomány, amelyet a Defender for IoT fordítottan keres a DNS-kiszolgálón az IP-címük alapján, az aktuális teljes tartománynévnek megfelelően.

  5. A DNS-beállítások helyességének biztosításához válassza a Tesztelés lehetőséget. A teszt biztosítja, hogy a DNS-kiszolgáló IP-címe és a DNS-kiszolgáló portja megfelelően legyen beállítva.

  6. Válassza a Mentés parancsot.

Ha elkészült, folytassa a szükséges továbbítási szabályok létrehozásával:

Adott Palo Alto-tűzfal azonnali blokkolásának konfigurálása

Konfigurálja az automatikus blokkolást olyan esetekben, mint a kártevőkre vonatkozó riasztások, ha konfigurál egy Defender for IoT-továbbítási szabályt, hogy közvetlenül egy blokkoló parancsot küldjön egy adott Palo Alto-tűzfalnak.

Amikor az IoT Defender azonosít egy kritikus fenyegetést, egy riasztást küld, amely tartalmazza a fertőzött forrás blokkolásának lehetőségét. Ha a riasztás részleteiben a Forrás letiltása lehetőséget választja, aktiválja a továbbítási szabályt, amely elküldi a blokkoló parancsot a megadott Palo Alto tűzfalnak.

A továbbítási szabály létrehozásakor:

  1. A Műveletek területen adja meg a Palo Alto NGFW kiszolgálójának, gazdagépének, portjának és hitelesítő adatainak megadását.

  2. Konfigurálja a következő beállításokat a gyanús források Palo Alto tűzfal általi blokkolásának engedélyezéséhez:

    Parameter Leírás
    Tiltott függvénykódok letiltása Protokollsértések – Az ICS protokoll specifikációját megsértő illegális mezőérték (potenciális kihasználás).
    Nem engedélyezett PLC-programozás/ belső vezérlőprogram-frissítések letiltása Jogosulatlan PLC-módosítások.
    Jogosulatlan PLC-leállítás letiltása PLC leállítása (állásidő).
    Kártevőkre vonatkozó riasztások letiltása Az ipari kártevők blokkolása (TRITON, NotPetya stb.).

    Az Automatikus letiltás lehetőséget választhatja.
    Ebben az esetben a rendszer automatikusan és azonnal végrehajtja a blokkolást.
    Jogosulatlan vizsgálat letiltása Jogosulatlan vizsgálat (lehetséges felderítés).

További információ: Helyszíni OT-riasztások továbbítása.

Gyanús forgalom letiltása a Palo Alto tűzfallal

Konfiguráljon egy Defender for IoT-továbbítási szabályt, amely blokkolja a gyanús forgalmat a Palo Alto tűzfallal.

A továbbítási szabály létrehozásakor:

  1. A Műveletek területen adja meg a Palo Alto NGFW kiszolgálójának, gazdagépének, portjának és hitelesítő adatainak megadását.

  2. A blokkolás végrehajtásának meghatározása az alábbiak szerint:

    • IP-cím szerint: Mindig az IP-cím alapján hoz létre blokkolási szabályzatokat a Panoráma szolgáltatásban.
    • Teljes tartománynév vagy IP-cím szerint: A Panoráma szolgáltatásban blokkoló házirendeket hoz létre a teljes tartománynév alapján, ha létezik, ellenkező esetben az IP-cím alapján.

  3. Az E-mail mezőbe írja be a szabályzatértesítési e-mail e-mail címét.

    Megjegyzés:

    Győződjön meg arról, hogy konfigurálta a Levelezési kiszolgálót az IoT Defenderben. Ha nincs megadva e-mail-cím, a Defender for IoT nem küld értesítési e-mailt.

  4. Konfigurálja a következő beállításokat a gyanús források Palo Alto Panorama általi blokkolásának engedélyezéséhez:

    Parameter Leírás
    Tiltott függvénykódok letiltása Protokollsértések – Az ICS protokoll specifikációját megsértő illegális mezőérték (potenciális kihasználás).
    Nem engedélyezett PLC-programozás/ belső vezérlőprogram-frissítések letiltása Jogosulatlan PLC-módosítások.
    Jogosulatlan PLC-leállítás letiltása PLC leállítása (állásidő).
    Kártevőkre vonatkozó riasztások letiltása Az ipari kártevők blokkolása (TRITON, NotPetya stb.).

    Az Automatikus letiltás lehetőséget választhatja.
    Ebben az esetben a rendszer automatikusan és azonnal végrehajtja a blokkolást.
    Jogosulatlan vizsgálat letiltása Jogosulatlan vizsgálat (lehetséges felderítés).

További információ: Helyszíni OT-riasztások továbbítása.

Adott gyanús források letiltása

Miután létrehozta a továbbítási szabályt, az alábbi lépésekkel blokkolhat bizonyos gyanús forrásokat:

  1. Az OT-érzékelő Riasztások lapján keresse meg és válassza ki a Palo Alto-integrációhoz kapcsolódó riasztást.

  2. A gyanús forrás automatikus letiltásához válassza a Forrás letiltása lehetőséget.

  3. A Megerősítés gombra kattintva válassza az OK gombot.

A gyanús forrást a Palo Alto tűzfal blokkolja.

Következő lépés

Integráció a Microsofttal és a partnerszolgáltatásokkal