Mengintegrasikan Palo Alto dengan Pertahanan Microsoft untuk IoT

Artikel ini menjelaskan cara mengintegrasikan Palo Alto dengan Microsoft Defender for IoT, untuk melihat informasi Palo Alto dan Defender for IoT di satu tempat, atau menggunakan data Defender for IoT untuk mengonfigurasi tindakan pemblokiran di Palo Alto.

Melihat informasi Defender for IoT dan Palo Alto bersama-sama menyediakan analis SOC dengan visibilitas multidimensi sehingga dapat memblokir ancaman penting lebih cepat.

Nota

Defender for IoT berencana untuk menghentikan integrasi Palo Alto pada 1 Desember 2025

Integrasi berbasis cloud

Petunjuk / Saran

Integrasi keamanan berbasis cloud memberikan beberapa manfaat atas solusi lokal, seperti manajemen sensor terpusat dan lebih sederhana dan pemantauan keamanan terpusat.

Manfaat lainnya termasuk pemantauan real time, penggunaan sumber daya yang efisien, peningkatan skalabilitas dan ketahanan, peningkatan perlindungan terhadap ancaman keamanan, pemeliharaan dan pembaruan yang disederhanakan, dan integrasi yang mulus dengan solusi pihak ketiga.

Jika Anda mengintegrasikan sensor OT yang terhubung ke cloud dengan Palo Alto, kami sarankan Anda menyambungkan Defender for IoT ke Microsoft Sentinel.

Instal satu atau beberapa solusi berikut untuk melihat data Palo Alto dan Defender for IoT di Microsoft Sentinel.

Solusi Microsoft Azure Sentinel	Pelajari lebih lanjut
Solusi PAN-OS Palo Alto	Konektor Palo Alto Networks (Firewall) untuk Microsoft Sentinel
Palo Alto Networks Cortex Data Lake Solution	Konektor Palo Alto Networks Cortex Data Lake (CDL) untuk Microsoft Azure Sentinel
Solusi CSPM Prisma Cloud Palo Alto	Konektor Palo Alto Prisma Cloud CSPM (menggunakan Azure Function) untuk Microsoft Azure Sentinel

Microsoft Sentinel adalah layanan cloud yang dapat diskalakan untuk manajemen informasi dan peristiwa keamanan (SIEM) serta orkestrasi keamanan dan respons otomatis (SOAR). Tim SOC dapat menggunakan integrasi antara Pertahanan Microsoft untuk IoT dan Microsoft Sentinel untuk mengumpulkan data di seluruh jaringan, mendeteksi dan menyelidiki ancaman, dan menanggapi insiden.

Di Microsoft Azure Sentinel, konektor dan solusi data Defender for IoT menghadirkan konten keamanan siap pakai kepada tim SOC, membantu mereka melihat, menganalisis, dan menanggapi pemberitahuan keamanan OT, dan memahami insiden yang dihasilkan dalam konten ancaman organisasi yang lebih luas.

Untuk informasi selengkapnya, lihat:

• Tutorial: Menghubungkan Microsoft Defender untuk IoT dengan Microsoft Sentinel
• Tutorial: Menyelidiki dan mendeteksi ancaman untuk perangkat IoT

Integrasi di tempat

Jika Anda bekerja dengan sensor OT yang terisolasi jaringan dan dikelola secara lokal, Anda memerlukan solusi di lokasi untuk melihat informasi Defender for IoT dan Palo Alto di tempat yang sama.

Dalam kasus seperti itu, kami sarankan Anda mengonfigurasi sensor OT untuk mengirim file syslog langsung ke Palo Alto, atau menggunakan DEFENDER untuk API bawaan IoT.

Untuk informasi selengkapnya, lihat:

• Meneruskan informasi peringatan OT internal
• Referensi API Defender untuk IoT

Integrasi lokal (warisan)

Bagian ini menjelaskan cara mengintegrasikan dan menggunakan Palo Alto dengan Microsoft Defender untuk IoT menggunakan integrasi warisan di lokasi, yang secara otomatis membuat kebijakan baru di NMS dan Panorama Palo Alto Networks.

Penting

Integrasi lama Palo Alto Panorama didukung hingga Oktober 2024 menggunakan sensor versi 23.1.3, dan tidak akan didukung dalam versi utama perangkat lunak yang akan datang. Untuk pelanggan yang menggunakan integrasi warisan, sebaiknya pindah ke salah satu metode berikut:

• Jika Anda mengintegrasikan solusi keamanan dengan sistem berbasis cloud, kami sarankan Anda menggunakan konektor data melalui Microsoft Azure Sentinel.
• Untuk integrasi lokal, kami sarankan Anda mengonfigurasi sensor OT untuk meneruskan peristiwa syslog, atau menggunakan DEFENDER untuk API IoT.

Tabel berikut menunjukkan insiden mana yang dimaksudkan integrasi ini:

Jenis insiden	Deskripsi
Perubahan PLC yang tidak sah	Pembaruan pada logika tangga, atau firmware perangkat. Pemberitahuan ini dapat mewakili aktivitas yang sah, atau upaya untuk membahayakan perangkat. Misalnya, kode berbahaya, seperti Remote Access Trojan (RAT), atau parameter yang menyebabkan proses fisik, seperti turbin berputar, beroperasi dengan cara yang tidak aman.
Pelanggaran Protokol	Struktur paket, atau nilai bidang yang melanggar spesifikasi protokol. Pemberitahuan ini dapat mewakili aplikasi yang salah dikonfigurasi, atau upaya berbahaya untuk membahayakan perangkat. Misalnya, menyebabkan kondisi luapan buffer di perangkat target.
PLC Berhenti	Perintah yang menyebabkan perangkat berhenti berfungsi, sehingga mempertaruhkan proses fisik yang sedang dikontrol oleh PLC.
Malware industri yang ditemukan di jaringan ICS	Malware yang memanipulasi perangkat ICS menggunakan protokol aslinya, seperti TRITON dan Industroyer. Defender for IoT juga mendeteksi malware TI yang telah pindah secara lateral ke lingkungan ICS, dan SCADA. Misalnya, Conficker, WannaCry, dan NotPetya.
Memindai malware	Alat pengintaian yang mengumpulkan data tentang konfigurasi sistem dalam fase preattack. Misalnya, Havex Trojan memindai jaringan industri untuk perangkat yang menggunakan OPC, yang merupakan protokol standar yang digunakan oleh sistem SCADA berbasis Windows untuk berkomunikasi dengan perangkat ICS.

Saat Defender untuk IoT mendeteksi kasus penggunaan yang telah dikonfigurasi sebelumnya, tombol Blokir Sumber ditambahkan ke pemberitahuan. Kemudian, ketika pengguna Defender for IoT memilih tombol Blokir Sumber , Defender untuk IoT membuat kebijakan di Panorama dengan mengirim aturan penerusan yang telah ditentukan sebelumnya.

Kebijakan ini hanya diterapkan ketika administrator Panorama meneruskannya ke NGFW yang relevan dalam jaringan.

Di jaringan TI, mungkin ada alamat IP dinamis. Oleh karena itu, untuk subnet tersebut, kebijakan harus didasarkan pada FQDN (nama DNS) dan bukan alamat IP. Defender untuk IoT melakukan pencarian terbalik dan mencocokkan perangkat dengan alamat IP dinamis dengan FQDN (nama DNS) mereka setiap jumlah jam yang dikonfigurasi.

Selain itu, Defender for IoT mengirim email ke pengguna Panorama yang relevan untuk memberi tahu bahwa kebijakan baru yang dibuat oleh Defender for IoT sedang menunggu persetujuan. Gambar di bawah ini menyajikan arsitektur integrasi Defender for IoT dan Panorama:

Prasyarat

Sebelum memulai, pastikan Anda memiliki prasyarat berikut:

• Konfirmasi oleh Administrator Panorama untuk mengizinkan pemblokiran otomatis.
• Akses ke sensor Defender for IoT OT sebagai pengguna Admin.

Mengonfigurasi pencarian DNS

Langkah pertama dalam membuat kebijakan pemblokiran Panorama di Defender for IoT adalah mengonfigurasi pencarian DNS.

Untuk mengonfigurasi pencarian DNS:

1. Masuk ke sensor OT Anda dan pilih Pengaturan sistem>Pemantauan jaringan>Pencarian Terbalik DNS.

2. Aktifkan tombol Diaktifkan untuk mengaktifkan pencarian.

3. Di bidang Pencarian Terbalik Jadwal, tentukan opsi penjadwalan:

   • Menurut waktu tertentu: Tentukan kapan harus melakukan pencarian terbalik setiap hari.
   • Dengan interval tetap (dalam jam): Atur frekuensi untuk melakukan pencarian terbalik.

4. Pilih + Tambahkan Server DNS, lalu tambahkan detail berikut:

   Pengaturan	Deskripsi
   Alamat Server DNS	Masukkan alamat IP atau FQDN server DNS jaringan.
   DNS Server Port	Masukkan port yang digunakan untuk mengkueri server DNS.
   Jumlah Label	Untuk mengonfigurasi resolusi DNS FQDN, tambahkan jumlah label domain yang akan ditampilkan. Hingga 30 karakter ditampilkan dari kiri ke kanan.
   Subnet	Atur rentang subnet untuk alamat IP dinamis. Rentang yang digunakan Defender for IoT untuk melakukan pencarian balik alamat IP mereka di server DNS agar sesuai dengan nama FQDN mereka saat ini.

5. Untuk memastikan pengaturan DNS Anda sudah benar, pilih Uji. Pengujian memastikan bahwa alamat IP server DNS, dan port server DNS diatur dengan benar.

6. Pilih Simpan.

Setelah selesai, lanjutkan dengan membuat aturan penerusan sesuai kebutuhan:

• Konfigurasi pemblokiran segera pada firewall Palo Alto yang ditentukan
• Memblokir lalu lintas mencurigakan dengan firewall Palo Alto

Mengkonfigurasi agar pemblokiran segera dilakukan oleh firewall Palo Alto yang ditentukan

Konfigurasikan pemblokiran otomatis dalam kasus seperti pemberitahuan terkait malware, dengan mengonfigurasi aturan penerusan Defender for IoT untuk mengirim perintah pemblokiran langsung ke firewall Palo Alto tertentu.

Ketika Defender for IoT mengidentifikasi ancaman penting, Defender for IoT mengirimkan pemberitahuan yang menyertakan opsi untuk memblokir sumber yang terinfeksi. Memilih Sumber Blok dalam detail pemberitahuan mengaktifkan aturan penerusan, yang mengirim perintah pemblokiran ke firewall Palo Alto yang ditentukan.

Saat membuat aturan penerusan Anda:

1. Di area Tindakan , tentukan server, host, port, dan info masuk untuk Palo Alto NGFW.

2. Konfigurasikan opsi berikut untuk memungkinkan pemblokiran sumber yang mencurigakan oleh firewall Palo Alto:

   Pengaturan	Deskripsi
   Memblokir kode fungsi ilegal	Pelanggaran protokol - Nilai lapangan yang tidak sah melanggar spesifikasi protokol ICS (kemungkinan eksploitasi).
   Memblokir pembaruan pemrograman / firmware PLC yang tidak sah	Perubahan PLC yang tidak sah.
   Menghalangi penghentian PLC yang tidak sah	PLC berhenti (waktu henti).
   Memblokir pemberitahuan terkait malware	Pemblokiran upaya malware industri (TRITON, NotPetya, dll.). Anda dapat memilih opsi Pemblokiran otomatis. Dalam hal ini, pemblokiran dijalankan secara otomatis dan segera.
   Memblokir pemindaian yang tidak sah	Pemindaian tidak sah (potensi pengintaian).

Untuk informasi selengkapnya, lihat Meneruskan informasi peringatan OT di lokasi.

Memblokir lalu lintas mencurigakan dengan firewall Palo Alto

Konfigurasikan aturan penerusan Defender for IoT untuk memblokir lalu lintas yang mencurigakan dengan firewall Palo Alto.

Saat membuat aturan penerusan Anda:

1. Di area Tindakan , tentukan server, host, port, dan info masuk untuk Palo Alto NGFW.

2. Tentukan bagaimana pemblokiran dijalankan, sebagai berikut:

   • Menurut Alamat IP: Selalu membuat kebijakan pemblokiran pada Panorama berdasarkan alamat IP.
   • Berdasarkan FQDN atau Alamat IP: Membuat kebijakan pemblokiran pada Panorama berdasarkan FQDN jika ada, jika tidak oleh Alamat IP.

3. Di bidang Email , masukkan alamat email untuk email pemberitahuan kebijakan.

   Nota

   Pastikan Anda telah mengonfigurasi Server Email di Defender untuk IoT. Jika tidak ada alamat email yang dimasukkan, Defender untuk IoT tidak mengirim email pemberitahuan.

4. Konfigurasikan opsi berikut untuk memungkinkan pemblokiran sumber yang mencurigakan oleh Palo Alto Panorama:

   Pengaturan	Deskripsi
   Memblokir kode fungsi ilegal	Pelanggaran protokol - Nilai lapangan yang tidak sah melanggar spesifikasi protokol ICS (kemungkinan eksploitasi).
   Memblokir pembaruan pemrograman / firmware PLC yang tidak sah	Perubahan PLC yang tidak sah.
   Menghalangi penghentian PLC yang tidak sah	PLC berhenti (waktu henti).
   Memblokir pemberitahuan terkait malware	Pemblokiran upaya malware industri (TRITON, NotPetya, dll.). Anda dapat memilih opsi Pemblokiran otomatis. Dalam hal ini, pemblokiran dijalankan secara otomatis dan segera.
   Memblokir pemindaian yang tidak sah	Pemindaian tidak sah (potensi pengintaian).

Untuk informasi selengkapnya, lihat Meneruskan informasi peringatan OT di lokasi.

Memblokir sumber mencurigakan tertentu

Setelah Anda membuat aturan penerusan, gunakan langkah-langkah berikut untuk memblokir sumber tertentu yang mencurigakan:

1. Di halaman Pemberitahuan sensor OT, temukan dan pilih pemberitahuan yang terkait dengan integrasi Palo Alto.

2. Untuk memblokir sumber yang mencurigakan secara otomatis, pilih Blokir Sumber.

3. Dalam kotak dialog Harap Konfirmasi , pilih OK.

Sumber mencurigakan sekarang diblokir oleh firewall Palo Alto.

Langkah selanjutnya

Integrasi dengan Microsoft dan layanan mitra