ClearPass を Microsoft Defender for IoT と統合する
注意
この記事では、間もなくサポート終了 (EOL) 状態になる Linux ディストリビューションである CentOS について説明します。 適宜、使用と計画を検討してください。 詳細については、「CentOS のサポート終了に関するガイダンス」を参照してください。
この記事では、Aruba ClearPass と Defender for IoT の両方の情報を 1 か所で表示するために、ClearPass を Microsoft Defender for IoT と統合する方法について説明します。
Defender for IoT と ClearPass の両方の情報を一緒に表示すると、SO アナリストは産業環境にデプロイされた特殊な OT プロトコルとデバイスを多次元で視覚化できると共に、疑わしい動作や異常な動作を迅速に検出するための ICS 対応の動作分析が可能になります。
クラウドベースの統合
ヒント
クラウドベースのセキュリティの統合は、一元化されたより簡潔なセンサー管理や、一元化されたセキュリティ監視など、オンプレミス ソリューションにいくつもの利点をもたらします。
その他の利点としては、リアルタイム監視、効率的なリソースの使用、スケーラビリティと堅牢性の向上、セキュリティ上の脅威に対する保護の強化、メンテナンスと更新の簡素化、サードパーティ ソリューションとのシームレスな統合などがあります。
クラウドに接続された OT センサーを Aruba ClearPass と統合する場合は、Microsoft Sentinel に接続してから、Aruba ClearPass データ コネクタをインストールすることをお勧めします。
Microsoft Sentinel は、セキュリティ情報イベント管理 (SIEM) のセキュリティ オーケストレーション自動応答 (SOAR) のスケーラブルなクラウド サービスです。 SOC チームは、Microsoft Defender for IoT と Microsoft Sentinel との統合を利用して、ネットワーク間でのデータの収集、脅威の検出と調査、インシデントへの対応を行うことができます。
Microsoft Sentinel では、Defender for IoT データ コネクタとソリューションによって、すぐに使用できるセキュリティ コンテンツが SOC チームに提供されるため、OT セキュリティ アラートの表示、分析、対応を行うことができ、より広範な組織の脅威コンテンツで生成されたインシデントを理解できます。
詳細については、以下を参照してください:
- チュートリアル: Microsoft Defender for IoT を Microsoft Sentinel に接続する
- チュートリアル: IoT デバイスの脅威を調査して検出する
- Microsoft Sentinel のドキュメント。
オンプレミスの統合
ローカルで管理されるエアギャップ OT センサーを使用する場合は、Defender for IoT と Splunk の情報を同じ場所に表示するためのオンプレミス ソリューションが必要です。
このような場合は、syslog ファイルを ClearPass に直接送信するように OT センサーを構成するか、Defender for IoT の組み込み API を使用することをお勧めします。
詳細については、以下を参照してください:
オンプレミスの統合 (レガシ)
このセクションでは、従来のオンプレミス統合を使用して Defender for IoT と ClearPass Policy Manager (CPPM) を統合する方法について説明します。
重要
Aruba ClearPass のレガシ統合は、センサー バージョン 23.1.3 を使用して 2024 年 10 月までサポートされますが、ソフトウェアの今後のメジャー バージョンではサポートされなくなります。 レガシ統合メソッドを使用しているお客様の場合は、次のメソッドのいずれかに移行することをお勧めします。
- セキュリティ ソリューションをクラウドベースのシステムと統合する場合は、Microsoft Sentinel 経由でデータ コネクタを使用することをお勧めしています。
- オンプレミスの統合の場合は、syslog イベントを転送するように OT センサーを構成するか、Defender for IoT API を使用することをお勧めします。
前提条件
開始する前に、以下の前提条件を満たしていることを確認してください。
| 前提条件 | 説明 |
|---|---|
| Aruba ClearPass の要件 | CPPM は、ソフトウェアがプレインストールされているハードウェア アプライアンスで、または次のハイパーバイザー下の仮想マシンとして実行されます。 - VMware ESXi 5.5、6.0、6.5、6.6 以上。 - Microsoft Hyper-V Server 2012 R2 または 2016 R2。 - Microsoft Windows Server 2012 R2 または 2016 R2 上の Hyper-V。 - CentOS 7.5 以降での KVM。 VMware Player などのクライアント コンピューターで実行されるハイパーバイザーはサポートされていません。 |
| Defender for IoT の要件 | - Defender for IoT バージョン 2.5.1 以上。 - 管理者ユーザーとしての Defender for IoT OT センサーへのアクセス権。 |
ClearPass API ユーザーを作成する
2 つの製品間の通信チャネルの一部として、Defender for IoT では多くの API (TIPS と REST の両方) が使用されます。 TIPS API へのアクセスは、ユーザー名とパスワードの組み合わせの資格情報によって検証されます。 このユーザー ID には、最小レベルのアクセス権が必要です。 スーパー管理者プロファイルは使用せず、代わりに次に示すような API 管理者を使用してください。
ClearPass API ユーザーを作成するには:
[管理]、>[ユーザーと権限] の順に選択し、[追加] を選択します。
[管理者ユーザーの追加] ダイアログ ボックスで、次のパラメーターを設定します。
パラメーター 説明 UserID ユーザー ID を入力します。 名前 ユーザー名を入力します。 パスワード パスワードを入力します。 ユーザーの有効化 このオプションが有効になっていることを確認します。 特権レベル [API 管理者] を選択します。 [追加] を選択します。
ClearPass オペレーター プロファイルを作成する
Defender for IoT では、統合の一部として、REST API が使用されます。 REST API は OAuth フレームワークで認証されます。 Defender for IoT と同期するには、API クライアントを作成する必要があります。
API クライアントの REST API へのアクセスをセキュリティで保護するには、制限付きアクセス オペレーター プロファイルを作成します。
ClearPass オペレーター プロファイルを作成するには:
[オペレーター プロファイルの編集] ウィンドウに移動 します。
次を除き、すべてのオプションを [アクセス権なし] に設定します。
パラメーター 説明 API サービス [アクセスを許可] に設定します ポリシー マネージャー 次のように設定します。
- Dictionaries: Attributes を Read, Write, Delete に設定
- Dictionaries: Fingerprints を Read, Write, Delete に設定
- Identity: Endpoints を Read, Write, Delete に設定
ClearPass OAuth API クライアントを作成する
メイン ウィンドウで、 [管理者]>[API サービス]>[API クライアント] の順に選択します。
[API クライアントの作成] タブで、次のパラメーターを設定します。
動作モード: このパラメーターは、ClearPass への API 呼び出しに使用されます。 [ClearPass REST API - クライアント] を選択します。
オペレーター プロファイル: 前に作成したプロファイルを使用します。
付与タイプ: クライアント資格情報 (grant_type = client_credentials) を設定します。
クライアント シークレットとクライアント ID を記録してください。 たとえば、
defender-restのようにします。ポリシー マネージャーで、次の手順に進む前に、次の情報の一覧を収集していることを確認してください。
CPPM UserID
CPPM UserId パスワード
C PPM OAuth2 API クライアント ID
C PPM OAuth2 API クライアント シークレット
ClearPass と統合するように Defender for IoT を構成する
ClearPass でデバイス インベントリを表示できるようにするには、Defender for IoT-ClearPass の同期を設定する必要があります。同期構成が完了すると、Defender for IoT プラットフォームによって、新しいエンドポイントが検出されたときに、ClearPass Policy Manager EndpointDb が更新されます。
Defender for IoT センサーで ClearPass 同期を構成するには:
Defender for IoT センサーで、[システム設定]>[統合]>[ClearPass] を選択します。
次のパラメーターを設定します。
パラメーター 説明 同期を有効にする オンに切り替えて、Defender for IoT と ClearPass の間の同期を有効にします。 Sync Frequency (minutes) (同期の頻度 (分)) 同期頻度を分で定義します。 既定値は 60 分です。 最小値は 5 分です。 ClearPass ホスト Defender for IoT が同期されている ClearPass システムの IP アドレス。 クライアント ID Defender for IoT とデータを同期するために ClearPass で作成されたクライアント ID。 クライアント シークレット Defender for IoT とデータを同期するために ClearPass で作成されたクライアント シークレット。 ユーザー名 ClearPass 管理者ユーザー。 パスワード ClearPass 管理者パスワード。 [保存] を選択します。
ClearPass 転送規則を定義する
Defender for IoT によって検出されたアラートを Aruba で表示できるようにするには、転送規則を設定する必要があります。 このルールでは、ClearPass に送信される、Defender for IoT セキュリティ エンジンによって識別される ICS および SCADA セキュリティ脅威に関する情報を定義します。
詳細については、「オンプレミスの統合」を参照してください。
ClearPass と Defender for IoT 通信を監視する
同期が開始されると、エンドポイント データが Policy Manager EndpointDb に直接設定され、統合構成画面から最終更新時刻を表示できます。
ClearPass への最終同期時刻を確認するには:
Defender for IoT センサーにサインインします。
[システム設定]>[統合]>[ClearPass] を選択します。
同期が動作していない場合、またはエラーが表示される場合は、情報の一部をキャプチャしていない可能性があります。 記録されたデータを再確認してください。
さらに、[ゲスト]>[管理]>[サポート]>[アプリケーション ログ] から Defender for IoT と ClearPass の間の API 呼び出しを表示できます。
たとえば、Defender for IoT と ClearPass の間の API ログは次のようになります。
