Integrare CyberArk con Microsoft Defender per IoT

Questo articolo illustra come integrare e usare CyberArk con Microsoft Defender per IoT.

Defender per IoT offre piattaforme di cybersecurity ICS e IIoT con analisi delle minacce in grado di conoscere ICS e Machine Learning.

Gli attori delle minacce usano credenziali di accesso remoto compromesse per accedere alle reti di infrastruttura critiche tramite connessioni DESKTOP remoto e VPN. Usando connessioni attendibili, questo approccio ignora facilmente qualsiasi sicurezza perimetrale OT. Le credenziali vengono in genere rubate dagli utenti con privilegi, ad esempio ingegneri di controllo e personale di manutenzione partner, che richiedono l'accesso remoto per eseguire attività quotidiane.

L'integrazione di Defender per IoT insieme a CyberARK consente di:

• Ridurre i rischi OT dall'accesso remoto non autorizzato

• Fornire il monitoraggio continuo e la sicurezza dell'accesso con privilegi per OT

• Migliorare la risposta agli eventi imprevisti, la ricerca delle minacce e la modellazione delle minacce

L'appliance Defender per IoT è connessa alla rete OT tramite una porta SPAN (porta mirror) nei dispositivi di rete, ad esempio commutatori e router, tramite una connessione unidirezionale (in ingresso) alle interfacce di rete dedicate nell'appliance Defender per IoT.

Un'interfaccia di rete dedicata è disponibile anche nell'appliance Defender per IoT per la gestione centralizzata e l'accesso alle API. Questa interfaccia viene usata anche per comunicare con la soluzione CyberArk PSM distribuita nel data center dell'organizzazione per gestire gli utenti con privilegi e proteggere le connessioni di accesso remoto.

In questo articolo vengono illustrate le operazioni seguenti:

• Configurare PSM in CyberArk
• Abilitare l'integrazione in Defender per IoT
• Visualizzare e gestire i rilevamenti
• Arrestare l'integrazione

Prerequisiti

Prima di iniziare, assicurarsi di disporre dei prerequisiti seguenti:

• CyberARK versione 2.0.

• Verificare di avere accesso all'interfaccia della riga di comando a tutte le appliance Defender per IoT nell'azienda.

• Un account Azure. Se non si ha già un account Azure, è possibile creare l'account Gratuito di Azure.

• Accesso a un sensore OT di Defender per IoT come utente Amministrazione. Per altre informazioni, vedere Utenti e ruoli locali per il monitoraggio OT con Defender per IoT.

Configurare PSM CyberArk

CyberArk deve essere configurato per consentire la comunicazione con Defender per IoT. Questa comunicazione viene eseguita configurando PSM.

Per configurare PSM:

1. Individuare e aprire il file c:\Program Files\PrivateArk\Server\dbparam.xml .

2. Aggiungere i parametri seguenti:

   [SYSLOG] UseLegacySyslogFormat=Yes SyslogTranslatorFile=Syslog\CyberX.xsl SyslogServerIP=<CyberX Server IP> SyslogServerProtocol=UDP SyslogMessageCodeFilter=319,320,295,378,380

3. Salvare il file, quindi chiuderlo.

4. Posizionare il file CyberX.xsl di configurazione syslog di Defender per IoT in c:\Program Files\PrivateArk\Server\Syslog\CyberX.xsl.

5. Aprire la Amministrazione istration server central.

6. Selezionare Stop Traffic Light (Arresta semaforo ) per arrestare il server.

7. Selezionare Start Traffic Light (Avvia semaforo ) per avviare il server.

Abilitare l'integrazione in Defender per IoT

Per abilitare l'integrazione, Syslog Server deve essere abilitato nella console di gestione locale di Defender per IoT. Per impostazione predefinita, il server Syslog è in ascolto dell'indirizzo IP del sistema usando la porta 514 UDP.

Per configurare Defender per IoT:

1. Accedere alla console di gestione locale di Defender per IoT e quindi passare a Impostazioni di sistema.

2. Attivare il server Syslog.

   

3. (Facoltativo) Modificare la porta accedendo al sistema tramite l'interfaccia della riga di comando, passando a /var/cyberx/properties/syslog.propertiese quindi passando a listener: 514/udp.

Visualizzare e gestire i rilevamenti

L'integrazione tra Microsoft Defender per IoT e CyberArk PSM viene eseguita tramite messaggi syslog. Questi messaggi vengono inviati dalla soluzione PSM a Defender per IoT, notificando a Defender per IoT eventuali sessioni remote o errori di verifica.

Quando la piattaforma Defender per IoT riceve questi messaggi da PSM, li mette in correlazione con i dati visualizzati nella rete. Pertanto, convalidando che tutte le connessioni di accesso remoto alla rete siano state generate dalla soluzione PSM e non da un utente non autorizzato.

Visualizzazione avvisi

Ogni volta che la piattaforma Defender per IoT identifica le sessioni remote che non sono state autorizzate da PSM, rilascia un .Unauthorized Remote Session Per facilitare l'analisi immediata, l'avviso mostra anche gli indirizzi IP e i nomi dei dispositivi di origine e di destinazione.

Per visualizzare gli avvisi:

1. Accedere alla console di gestione locale e quindi selezionare Avvisi.

2. Nell'elenco degli avvisi selezionare l'avviso intitolato Sessione remota non autorizzata.

   

Sequenza temporale degli eventi

Ogni volta che PSM autorizza una connessione remota, è visibile nella pagina Sequenza temporale eventi di Defender per IoT. La pagina Sequenza temporale eventi mostra una sequenza temporale di tutti gli avvisi e le notifiche.

Per visualizzare la sequenza temporale degli eventi:

1. Accedere al sensore di rete e quindi selezionare Sequenza temporale eventi.

2. Individuare qualsiasi evento denominato SESSIONE remota PSM.

Controllo e analisi forensi

Amministrazione istrator può controllare ed esaminare le sessioni di accesso remoto eseguendo query sulla piattaforma Defender per IoT tramite l'interfaccia di data mining predefinita. Queste informazioni possono essere usate per identificare tutte le connessioni di accesso remoto che si sono verificate, inclusi dettagli forensi, ad esempio da o a dispositivi, protocolli (RDP o SSH), utenti di origine e destinazione, timestamp e se le sessioni sono state autorizzate tramite PSM.

Per controllare e analizzare:

1. Accedere al sensore di rete e quindi selezionare Data mining.

2. Selezionare Accesso remoto.

Arrestare l'integrazione

In qualsiasi momento, è possibile interrompere la comunicazione dell'integrazione.

Per arrestare l'integrazione:

1. Nella console di gestione locale di Defender per IoT passare a System Impostazioni.

2. Impostare l'opzione Syslog Server su Disattivato .

   

Passaggi successivi

Integrazioni con Microsoft e servizi partner