Condividi tramite

Integrare Palo Alto con Microsoft Defender per IoT

  • Articolo

Questo articolo descrive come integrare Palo Alto con Microsoft Defender per IoT per visualizzare le informazioni di Palo Alto e Defender per IoT in un'unica posizione oppure usare i dati di Defender per IoT per configurare le azioni di blocco in Palo Alto.

La visualizzazione delle informazioni sia di Defender per IoT che di Palo Alto offre agli analisti SOC visibilità multidimensionale in modo che possano bloccare le minacce critiche più velocemente.

Integrazioni basate sul cloud

Suggerimento

Le integrazioni di sicurezza basate sul cloud offrono diversi vantaggi rispetto alle soluzioni locali, ad esempio la gestione centralizzata dei sensori e il monitoraggio centralizzato della sicurezza.

Altri vantaggi includono il monitoraggio in tempo reale, l'uso efficiente delle risorse, una maggiore scalabilità e affidabilità, una maggiore protezione dalle minacce alla sicurezza, manutenzione e aggiornamenti semplificati e una perfetta integrazione con soluzioni di terze parti.

Se si sta integrando un sensore OT connesso al cloud con Palo Alto, è consigliabile connettere Defender per IoT a Microsoft Sentinel.

Installare una o più delle soluzioni seguenti per visualizzare i dati di Palo Alto e Defender per IoT in Microsoft Sentinel.

Soluzione Microsoft Sentinel Altre informazioni
Soluzione Palo Alto PAN-OS Connettore Palo Alto Networks (Firewall) per Microsoft Sentinel
Soluzione Palo Alto Networks Cortex Data Lake Connettore Palo Alto Networks Cortex Data Lake (CDL) per Microsoft Sentinel
Soluzione Palo Alto Prisma Cloud CSPM Connettore Palo Alto Prisma Cloud CSPM (con funzione di Azure) per Microsoft Sentinel

Microsoft Sentinel è un servizio cloud scalabile per la gestione degli eventi di sicurezza (SIEM, Security Event Management) e la risposta automatica (SOAR). I team SOC possono usare l'integrazione tra Microsoft Defender per IoT e Microsoft Sentinel per raccogliere dati tra reti, rilevare e analizzare le minacce e rispondere agli eventi imprevisti.

In Microsoft Sentinel, il connettore dati e la soluzione Defender per IoT offre contenuti di sicurezza predefiniti ai team SOC, aiutandoli a visualizzare, analizzare e rispondere agli avvisi di sicurezza OT e comprendere gli eventi imprevisti generati nel contenuto più ampio delle minacce dell'organizzazione.

Per altre informazioni, vedere:

Integrazioni locali

Se si lavora con un sensore OT gestito localmente, è necessaria una soluzione locale per visualizzare le informazioni su Defender per IoT e Palo Alto nella stessa posizione.

In questi casi, è consigliabile configurare il sensore OT per inviare i file syslog direttamente a Palo Alto o usare l'API predefinita di Defender per IoT.

Per altre informazioni, vedere:

Integrazione locale (legacy)

Questa sezione descrive come integrare e usare Palo Alto con Microsoft Defender per IoT usando l'integrazione locale legacy, che crea automaticamente nuovi criteri in NMS e Panorama di Palo Alto Network.

Importante

L'integrazione legacy di Palo Alto Panorama è supportata fino a ottobre 2024 usando la versione del sensore 23.1.3 e non sarà supportata nelle prossime versioni principali del software. Per i clienti che usano l'integrazione legacy, è consigliabile passare a uno dei metodi seguenti:

La tabella seguente illustra gli eventi imprevisti per cui è destinata l'integrazione:

Tipo di incidente Descrizione
Modifiche di PLC non autorizzate Aggiornamento della logica di scala o del firmware di un dispositivo. Questo avviso può rappresentare un'attività legittima o un tentativo di compromettere il dispositivo. Ad esempio, codice dannoso, ad esempio un trojan di accesso remoto (RAT) o parametri che causano il processo fisico, ad esempio una turbina rotante, per operare in modo non sicuro.
Violazione del protocollo Struttura di pacchetti o valore di campo che viola la specifica del protocollo. Questo avviso può rappresentare un'applicazione non configurata correttamente o un tentativo dannoso di compromettere il dispositivo. Ad esempio, causando una condizione di overflow del buffer nel dispositivo di destinazione.
Arresto DEL PLC Un comando che impedisce al dispositivo di interrompere il funzionamento, rischiando così il processo fisico controllato dal PLC.
Malware industriale trovato nella rete ICS Malware che manipola i dispositivi ICS usando i protocolli nativi, ad esempio KERBEROS e Industroyer. Defender per IoT rileva anche malware IT spostato successivamente nell'ambiente ICS e SCADA. Ad esempio, Conficker, WannaCry e NotPetya.
Scansione di malware Strumenti di ricognizione che raccolgono dati sulla configurazione del sistema in una fase di preattack. Ad esempio, Havex Trojan analizza le reti industriali per i dispositivi che usano OPC, che è un protocollo standard usato dai sistemi SCADA basati su Windows per comunicare con i dispositivi ICS.

Quando Defender per IoT rileva un caso d'uso preconfigurato, il pulsante Blocca origine viene aggiunto all'avviso. Quando quindi l'utente di Defender per IoT seleziona il pulsante Blocca origine , Defender per IoT crea criteri in Panorama inviando la regola di inoltro predefinita.

Il criterio viene applicato solo quando l'amministratore panorama lo inserisce nell'NGFW pertinente nella rete.

Nelle reti IT potrebbero essere presenti indirizzi IP dinamici. Pertanto, per tali subnet, i criteri devono essere basati sul nome FQDN (nome DNS) e non sull'indirizzo IP. Defender per IoT esegue la ricerca inversa e associa i dispositivi con indirizzo IP dinamico al nome FQDN (nome DNS) ogni numero di ore configurato.

Defender per IoT invia inoltre un messaggio di posta elettronica all'utente Panorama pertinente per notificare che un nuovo criterio creato da Defender per IoT è in attesa dell'approvazione. La figura seguente presenta l'architettura di integrazione di Defender per IoT e Panorama:

Diagram of the Defender for IoT-Panorama Integration Architecture.

Prerequisiti

Prima di iniziare, assicurarsi di disporre dei prerequisiti seguenti:

  • Conferma da parte di Panorama Amministrazione istrator per consentire il blocco automatico.
  • Accesso a un sensore OT defender per IoT come utente Amministrazione.

Configurare la ricerca DNS

Il primo passaggio per la creazione di criteri di blocco Panorama in Defender per IoT consiste nel configurare la ricerca DNS.

Per configurare la ricerca DNS:

  1. Accedere al sensore OT e selezionare Impostazioni di sistema>Monitoraggio rete>Ricerca inversa DNS.

  2. Attivare l'interruttore Abilitato per attivare la ricerca.

  3. Nel campo Pianificazione ricerca inversa definire le opzioni di pianificazione:

    • Per orari specifici: specificare quando eseguire la ricerca inversa ogni giorno.
    • Per intervalli fissi (in ore): impostare la frequenza per l'esecuzione della ricerca inversa.

  4. Selezionare + Aggiungi server DNS e quindi aggiungere i dettagli seguenti:

    Parametro Descrizione
    Indirizzo del server DNS Immettere l'indirizzo IP o il nome di dominio completo del server DNS di rete.
    Porta del server DNS Immettere la porta usata per eseguire query sul server DNS.
    Numero di etichette Per configurare la risoluzione FQDN DNS, aggiungere il numero di etichette di dominio da visualizzare.
    Vengono visualizzati fino a 30 caratteri da sinistra a destra.
    Subnet Impostare l'intervallo di subnet dell'indirizzo IP dinamico.
    L'intervallo che Defender per IoT inverte la ricerca dell'indirizzo IP nel server DNS in modo che corrisponda al nome FQDN corrente.

  5. Per assicurarsi che le impostazioni DNS siano corrette, selezionare Test. Il test garantisce che l'indirizzo IP del server DNS e la porta del server DNS siano impostate correttamente.

  6. Seleziona Salva.

Al termine, continuare creando regole di inoltro in base alle esigenze:

Configurare il blocco immediato da un firewall di Palo Alto specificato

Configurare il blocco automatico nei casi come gli avvisi correlati al malware configurando una regola di inoltro di Defender per IoT per inviare un comando di blocco direttamente a un firewall specifico di Palo Alto.

Quando Defender per IoT identifica una minaccia critica, invia un avviso che include un'opzione per bloccare l'origine infetti. Selezionando Blocca origine nei dettagli dell'avviso viene attivata la regola di inoltro, che invia il comando di blocco al firewall Palo Alto specificato.

Quando si crea la regola di inoltro:

  1. Nell'area Azioni definire il server, l'host, la porta e le credenziali per Palo Alto NGFW.

  2. Configurare le opzioni seguenti per consentire il blocco delle origini sospette dal firewall di Palo Alto:

    Parametro Descrizione
    Blocca codici di funzione non validi Violazioni del protocollo - Valore di campo illegale che viola la specifica del protocollo ICS (potenziale exploit).
    Bloccare gli aggiornamenti del firmware o della programmazione PLC non autorizzata Modifiche di PLC non autorizzate.
    Bloccare l'arresto di PLC non autorizzato Arresto di PLC (tempo di inattività).
    Bloccare gli avvisi correlati al malware Blocco di tentativi di malware industriale (MDF, NotPetya e così via).

    È possibile selezionare l'opzione Blocco automatico.
    In tal caso, il blocco viene eseguito automaticamente e immediatamente.
    Bloccare l'analisi non autorizzata Analisi non autorizzata (potenziale ricognizione).

Per altre informazioni, vedere Inoltrare informazioni sull'avviso OT locale.

Bloccare il traffico sospetto con il firewall palo Alto

Configurare una regola di inoltro di Defender per IoT per bloccare il traffico sospetto con il firewall Palo Alto.

Quando si crea la regola di inoltro:

  1. Nell'area Azioni definire il server, l'host, la porta e le credenziali per Palo Alto NGFW.

  2. Definire il modo in cui viene eseguito il blocco, come indicato di seguito:

    • Per indirizzo IP: crea sempre criteri di blocco in Panorama in base all'indirizzo IP.
    • Per FQDN o indirizzo IP: crea criteri di blocco su Panorama in base al nome di dominio completo, se esistente, in caso contrario tramite l'indirizzo IP.

  3. Nel campo Posta elettronica immettere l'indirizzo di posta elettronica per il messaggio di posta elettronica di notifica dei criteri.

    Nota

    Assicurarsi di aver configurato un server di posta elettronica in Defender per IoT. Se non viene immesso alcun indirizzo di posta elettronica, Defender per IoT non invia un messaggio di posta elettronica di notifica.

  4. Configurare le opzioni seguenti per consentire il blocco delle origini sospette da Palo Alto Panorama:

    Parametro Descrizione
    Blocca codici di funzione non validi Violazioni del protocollo - Valore di campo illegale che viola la specifica del protocollo ICS (potenziale exploit).
    Bloccare gli aggiornamenti del firmware o della programmazione PLC non autorizzata Modifiche di PLC non autorizzate.
    Bloccare l'arresto di PLC non autorizzato Arresto di PLC (tempo di inattività).
    Bloccare gli avvisi correlati al malware Blocco di tentativi di malware industriale (MDF, NotPetya e così via).

    È possibile selezionare l'opzione Blocco automatico.
    In tal caso, il blocco viene eseguito automaticamente e immediatamente.
    Bloccare l'analisi non autorizzata Analisi non autorizzata (potenziale ricognizione).

Per altre informazioni, vedere Inoltrare informazioni sull'avviso OT locale.

Bloccare origini sospette specifiche

Dopo aver creato la regola di inoltro, seguire questa procedura per bloccare origini sospette specifiche:

  1. Nella pagina Avvisi del sensore OT individuare e selezionare l'avviso correlato all'integrazione di Palo Alto.

  2. Per bloccare automaticamente l'origine sospetta, selezionare Blocca origine.

  3. Nella finestra di dialogo Conferma selezionare OK.

L'origine sospetta è ora bloccata dal firewall palo Alto.

Passaggio successivo

Integrazioni con Microsoft e servizi partner