Palo Alto を Microsoft Defender for IoT と統合する
この記事では、Palo Alto と Microsoft Defender for IoT の両方の情報を 1 か所に表示する、または Defender for IoT のデータを使用して Palo Alto でブロック アクションを構成するために Palo Alto と Defender for IoT を統合する方法について説明します。
Defender for IoT と Palo Alto の両方の情報を一緒に表示すると、SOC アナリストは多次元の可視性を得られるため、重大な脅威をより迅速にブロックできます。
クラウドベースの統合
ヒント
クラウドベースのセキュリティの統合は、一元化されたより簡潔なセンサー管理や、一元化されたセキュリティ監視など、オンプレミス ソリューションにいくつもの利点をもたらします。
その他の利点としては、リアルタイム監視、効率的なリソースの使用、スケーラビリティと堅牢性の向上、セキュリティ上の脅威に対する保護の強化、メンテナンスと更新の簡素化、サードパーティ ソリューションとのシームレスな統合などがあります。
クラウド接続 OT センサーを Palo Alto と統合する場合は、Defender for IoT を Microsoft Sentinel に接続することをお勧めします。
次のソリューションを 1 つ以上インストールして、Microsoft Sentinel に Palo Alto と Defender for IoT の両方のデータを表示します。
Microsoft Sentinel は、セキュリティ情報イベント管理 (SIEM) のセキュリティ オーケストレーション自動応答 (SOAR) のスケーラブルなクラウド サービスです。 SOC チームは、Microsoft Defender for IoT と Microsoft Sentinel との統合を利用して、ネットワーク間でのデータの収集、脅威の検出と調査、インシデントへの対応を行うことができます。
Microsoft Sentinel では、Defender for IoT データ コネクタとソリューションによって、すぐに使用できるセキュリティ コンテンツが SOC チームに提供されるため、OT セキュリティ アラートの表示、分析、対応を行うことができ、より広範な組織の脅威コンテンツで生成されたインシデントを理解できます。
詳細については、以下を参照してください:
オンプレミスの統合
ローカルで管理されるエアギャップ OT センサーを使用する場合は、Defender for IoT と Palo Alto の情報を同じ場所に表示するためのオンプレミス ソリューションが必要です。
このような場合は、syslog ファイルを Palo Alto に直接送信するように OT センサーを構成するか、Defender for IoT の組み込み API を使用することをお勧めします。
詳細については、以下を参照してください:
オンプレミスの統合 (レガシ)
このセクションでは、オンプレミスのレガシ統合を使用して、Palo Alto と Microsoft Defender for IoT を統合および使用する方法について説明します。これを行うと、Palo Alto Network の NMS と Panorama に新しいポリシーが自動的に作成されます。
重要
Palo Alto Panorama のレガシ統合は、センサー バージョン 23.1.3 を使用する場合は 2024 年 10 月までサポートされますが、ソフトウェアの今後のメジャー バージョンではサポートされなくなります。 レガシ統合メソッドを使用しているお客様の場合は、次のメソッドのいずれかに移行することをお勧めします。
- セキュリティ ソリューションをクラウドベースのシステムと統合する場合は、Microsoft Sentinel 経由でデータ コネクタを使用することをお勧めしています。
- オンプレミスの統合の場合は、syslog イベントを転送するように OT センサーを構成するか、Defender for IoT API を使用することをお勧めします。
次の表は、この統合の対象となるインシデントを示しています。
| インシデントの種類 | 説明 |
|---|---|
| 承認されていない PLC の変更 | デバイスのラダー ロジックまたはファームウェアの更新。 このアラートは、正当なアクティビティを表すことも、デバイスを侵害しようとする試みを表すこともあります。 たとえば、リモート アクセス型トロイの木馬 (RAT) などの悪意のあるコードや、回転するタービンなどの物理プロセスを危険な方法で作動させるパラメーターなどです。 |
| プロトコル違反 | プロトコル仕様に違反するパケット構造またはフィールド値。 このアラートは、誤って構成されたアプリケーションを表すことも、デバイスを侵害しようとする悪意のある試みを表すこともあります。 たとえば、ターゲット デバイスでバッファー オーバーフロー状態を発生させたりします。 |
| PLC 停止 | デバイスの機能を停止させるコマンド。これにより、PLC によって制御されている物理プロセスが危険にさらされます。 |
| ICS ネットワークで検出された産業用マルウェア | 自身のネイティブ プロトコルを使用して ICS デバイスを操作するマルウェア (TRITON や Industroyer など)。 Defender for IoT では、ICS および SCADA 環境に水平移動した IT マルウェアも検出します。 たとえば、Conficker、WannaCry、NotPetya などです。 |
| スキャン型マルウェア | 攻撃前フェーズにシステム構成に関するデータを収集する偵察ツール。 たとえば、トロイの木馬 Havex では、産業用ネットワークをスキャンして、Windows ベースの SCADA システムが ICS デバイスと通信するときに使用する標準プロトコルである OPC を使用しているデバイスを検索します。 |
構成済みのユース ケースが Defender for IoT によって検出されると、[ソースをブロックする] ボタンがアラートに追加されます。 その後、Defender for IoT ユーザーが [ソースのブロック] ボタンを選択すると、定義済みの転送ルールが Defender for IoT によって送信され、Panorama 上にポリシーが作成されます。
このポリシーは、Panorama 管理者がネットワーク内の関連する NGFW にポリシーをプッシュする場合にのみ適用されます。
IT ネットワークには、動的 IP アドレスが存在する可能性があります。 そのため、それらのサブネットでは、IP アドレスではなく FQDN (DNS 名) に基づいてポリシーを作成する必要があります。 Defender for IoT では、構成された時間間隔で逆引き参照を実行し、動的 IP アドレスを持つデバイスを FQDN (DNS 名) と照合します。
さらに、Defender for IoT では、関連する Panorama ユーザーにメールを送信し、Defender for IoT によって作成された新しいポリシーが承認を待機していることを通知します。 次の図は、Defender for IoT と Panorama の統合アーキテクチャを示しています。
前提条件
開始する前に、以下の前提条件を満たしていることを確認してください。
- Panorama の管理者による自動ブロック許可の確認。
- 管理者ユーザーとして Defender for IoT OT センサーにアクセスする。
DNS 参照を構成する
Defender for IoT で Panorama ブロック ポリシーを作成するための最初のステップは、DNS 参照を構成することです。
DNS 参照を構成するには:
OT センサーにサインインし、[システム設定]>[ネットワーク監視]>[DNS 逆引き参照] の順に選択します。
[有効] トグルをオンにし、参照をアクティブにします。
[逆引き参照のスケジュール] フィールドで、スケジュールのオプションを次のように定義します。
- [特定時刻]:日単位で逆引き参照を実行するタイミングを指定します。
- [一定間隔 (時間単位)]:逆引き参照を実行する頻度を設定します。
[+ DNS サーバーの追加] を選択し、次の詳細を指定します。
パラメーター 説明 [DNS サーバー アドレス] ネットワーク DNS サーバーの IP アドレスまたは FQDN を入力します。 [DNS サーバー ポート] DNS サーバーの照会に使用されるポートを入力します。 [ラベル数] DNS の FQDN 解決を構成するには、表示するドメイン ラベルの数を追加します。
最大 30 文字が左から右に表示されます。サブネット 動的 IP アドレスのサブネット範囲を設定します。
Defender for IoT によって DNS サーバーの IP アドレスの逆引き参照が実行され、現在の FQDN 名と照合される範囲です。DNS 設定が正しいことを確認するには、[テスト] を選択します。 このテストでは、DNS サーバーの IP アドレスと DNS サーバーのポートが正しく設定されていることが確認されます。
[保存] を選択します。
完了したら、必要に応じて転送ルールを作成して続行します。
指定された Palo Alto ファイアウォールによる即時ブロックを構成する
特定の Palo Alto ファイアウォールに直接ブロック コマンドを送信するように Defender for IoT 転送ルールを構成することで、マルウェア関連のアラートなどの場合に自動ブロックを構成します。
Defender for IoT では、重大な脅威を識別するときに、感染したソースをブロックするオプションを含むアラートを送信します。 アラートの詳細で [ソースのブロック] を選択すると、指定された Palo Alto ファイアウォールにブロック コマンドを送信する転送ルールがアクティブ化されます。
転送ルールを作成するときは、次の手順を実行します。
[アクション] 領域に、Palo Alto NGFW のサーバー、ホスト、ポート、資格情報を定義します。
次のオプションを構成して、Palo Alto ファイアウォールによる疑わしいソースのブロックを許可します。
パラメーター 説明 [正しくない関数コードをブロックする] プロトコル違反 - ICS プロトコル仕様に違反する無効なフィールド値 (潜在的な悪用)。 [未承認の PLC プログラミング/ファームウェアの更新をブロックする] 不正な PLC 変更。 [未承認の PLC 停止をブロックする] PLC 停止 (ダウンタイム)。 [マルウェアに関連するアラートをブロックする] 産業用マルウェアの実行のブロック (TRITON、NotPetya など)。
[自動ブロック] のオプションを選択できます。
その場合、ブロックは直ちに自動的に実行されます。[未承認のスキャンをブロックする] 不正なスキャン (潜在的な偵察)。
詳細については、「オンプレミスの OT アラート情報を転送する」を参照してください。
Palo Alto ファイアウォールを使用して疑わしいトラフィックをブロックする
Palo Alto ファイアウォールで疑わしいトラフィックをブロックするように Defender for IoT 転送ルールを構成します。
転送ルールを作成するときは、次の手順を実行します。
[アクション] 領域に、Palo Alto NGFW のサーバー、ホスト、ポート、資格情報を定義します。
ブロックの実行方法を次のように定義します。
- [IP アドレス別]: 常に IP アドレスに基づいて Panorama 上にブロック ポリシーを作成します。
- [FQDN または IP アドレス別]: FQDN が存在する場合は FQDN、それ以外の場合は IP アドレスに基づいて、Panorama 上にブロック ポリシーを作成します。
"メール" フィールドに、ポリシー通知メールのメール アドレスを入力します。
Note
必ず Defender for IoT でメール サーバーを構成してください。 メール アドレスが入力されていない場合は、Defender for IoT から通知メールが送信されません。
Palo Alto Panorama による疑わしいソースのブロックを許可するには、次のオプションを構成します。
パラメーター 説明 [正しくない関数コードをブロックする] プロトコル違反 - ICS プロトコル仕様に違反する無効なフィールド値 (潜在的な悪用)。 [未承認の PLC プログラミング/ファームウェアの更新をブロックする] 不正な PLC 変更。 [未承認の PLC 停止をブロックする] PLC 停止 (ダウンタイム)。 [マルウェアに関連するアラートをブロックする] 産業用マルウェアの実行のブロック (TRITON、NotPetya など)。
[自動ブロック] のオプションを選択できます。
その場合、ブロックは直ちに自動的に実行されます。[未承認のスキャンをブロックする] 不正なスキャン (潜在的な偵察)。
詳細については、「オンプレミスの OT アラート情報を転送する」を参照してください。
特定の疑わしいソースをブロックする
転送ルールを作成したら、次の手順に従って、特定の疑わしいソースをブロックします。
OT センサーの [アラート] ページで、Palo Alto の統合に関連するアラートを見つけて選択します。
疑わしいソースを自動的にブロックするには、 [ソースのブロック] を選択します。
[確認してください] ダイアログ ボックスで、 [OK] を選択します。
これで、疑わしいソースが Palo Alto ファイアウォールによってブロックされます。