CyberArk integreren met Microsoft Defender for IoT
In dit artikel leert u hoe u CyberArk integreert en gebruikt met Microsoft Defender for IoT.
Defender for IoT biedt ICS- en IIoT-cyberbeveiligingsplatforms met ICS-bewuste bedreigingsanalyse en machine learning.
Bedreigingsactoren gebruiken gecompromitteerde referenties voor externe toegang om toegang te krijgen tot kritieke infrastructuurnetwerken via extern bureaublad- en VPN-verbindingen. Door vertrouwde verbindingen te gebruiken, wordt met deze methode eenvoudig elke OT-perimeterbeveiliging overgeslagen. Referenties worden doorgaans gestolen voor bevoegde gebruikers, zoals controletechnici en onderhoudspersoneel van partners, die externe toegang nodig hebben om dagelijkse taken uit te voeren.
Met de Integratie van Defender for IoT en CyberARK kunt u het volgende doen:
OT-risico's verminderen van onbevoegde externe toegang
Continue bewaking en bevoegde toegangsbeveiliging bieden voor OT
Incidentrespons, opsporing van bedreigingen en bedreigingsmodellering verbeteren
Het Defender for IoT-apparaat is verbonden met het OT-netwerk via een SPAN-poort (mirrorpoort) op netwerkapparaten, zoals switches en routers, via een eenrichtingsverbinding (binnenkomend) met de toegewezen netwerkinterfaces op het Defender for IoT-apparaat.
Er is ook een toegewezen netwerkinterface beschikbaar in het Defender for IoT-apparaat voor gecentraliseerd beheer en API-toegang. Deze interface wordt ook gebruikt voor de communicatie met de CyberArk PSM-oplossing die is geïmplementeerd in het datacenter van de organisatie om bevoegde gebruikers te beheren en verbindingen met externe toegang te beveiligen.
In dit artikel leert u het volgende:
- PSM configureren in CyberArk
- De integratie inSchakelen in Defender for IoT
- Detecties weergeven en beheren
- De integratie stoppen
Vereisten
Voordat u begint, moet u ervoor zorgen dat u aan de volgende vereisten voldoet:
CyberARK versie 2.0.
Controleer of u CLI-toegang hebt tot alle Defender for IoT-apparaten in uw onderneming.
Een Azure-account. Als u nog geen Azure-account hebt, kunt u vandaag nog uw gratis Azure-account maken.
Toegang tot een Defender for IoT OT-sensor als Beheer gebruiker. Zie On-premises gebruikers en rollen voor OT-bewaking met Defender for IoT voor meer informatie.
PSM CyberArk configureren
CyberArk moet worden geconfigureerd om communicatie met Defender for IoT mogelijk te maken. Deze communicatie wordt uitgevoerd door PSM te configureren.
PSM configureren:
Zoek het bestand en open het
c:\Program Files\PrivateArk\Server\dbparam.xml.Voeg de volgende parameters toe:
[SYSLOG]UseLegacySyslogFormat=YesSyslogTranslatorFile=Syslog\CyberX.xslSyslogServerIP=<CyberX Server IP>SyslogServerProtocol=UDPSyslogMessageCodeFilter=319,320,295,378,380Sla het bestand op en sluit het.
Plaats het configuratiebestand
CyberX.xsldefender for IoT syslog inc:\Program Files\PrivateArk\Server\Syslog\CyberX.xsl.Open de Server Central-Beheer istratie.
Selecteer het
Stop Traffic Light om de server te stoppen.Selecteer het verkeerslicht starten om de server te starten.
De integratie inSchakelen in Defender for IoT
Als u de integratie wilt inschakelen, moet Syslog Server zijn ingeschakeld in de on-premises beheerconsole van Defender for IoT. De Syslog-server luistert standaard naar het IP-adres van het systeem met behulp van poort 514 UDP.
Defender for IoT configureren:
Meld u aan bij de on-premises beheerconsole van Defender for IoT en navigeer vervolgens naar System Instellingen.
Schakel de Syslog-server in op Aan.
(Optioneel) Wijzig de poort door u aan te melden bij het systeem via de CLI, naar
/var/cyberx/properties/syslog.propertiesen vervolgens over telistener: 514/udpschakelen naar .
Detecties weergeven en beheren
De integratie tussen Microsoft Defender for IoT en CyberArk PSM wordt uitgevoerd via syslog-berichten. Deze berichten worden verzonden door de PSM-oplossing naar Defender for IoT, waarbij Defender for IoT op de hoogte wordt gesteld van eventuele externe sessies of verificatiefouten.
Zodra het Defender for IoT-platform deze berichten van PSM ontvangt, worden deze gecorreleerd met de gegevens die het in het netwerk ziet. Het valideren dat eventuele externe toegangsverbindingen met het netwerk zijn gegenereerd door de PSM-oplossing en niet door een onbevoegde gebruiker.
Waarschuwingen weergeven
Wanneer het Defender for IoT-platform externe sessies identificeert die niet zijn geautoriseerd door PSM, geeft het een Unauthorized Remote Session. Om onmiddellijk onderzoek mogelijk te maken, toont de waarschuwing ook de IP-adressen en namen van de bron- en doelapparaten.
Waarschuwingen weergeven:
Meld u aan bij uw on-premises beheerconsole en selecteer vervolgens Waarschuwingen.
Selecteer in de lijst met waarschuwingen de waarschuwing met de titel Niet-geautoriseerde externe sessie.
Tijdlijn van gebeurtenis
Wanneer PSM een externe verbinding autoriseert, is deze zichtbaar op de pagina Defender for IoT Event Timeline. Op de pagina Tijdlijn gebeurtenis ziet u een tijdlijn van alle waarschuwingen en meldingen.
De tijdlijn van de gebeurtenis weergeven:
Meld u aan bij uw netwerksensor en selecteer vervolgens De tijdlijn gebeurtenis.
Zoek een gebeurtenis met de titel EXTERNE PSM-sessie.
Controle en forensische gegevens
Beheer istrators kunnen externe toegangssessies controleren en onderzoeken door een query uit te voeren op het Defender for IoT-platform via de ingebouwde interface voor gegevensanalyse. Deze informatie kan worden gebruikt om alle externe toegangsverbindingen te identificeren die zijn opgetreden, inclusief forensische gegevens, zoals van of naar apparaten, protocollen (RDP of SSH), bron- en doelgebruikers, tijdstempels en of de sessies zijn geautoriseerd met PSM.
Controleren en onderzoeken:
Meld u aan bij uw netwerksensor en selecteer Vervolgens Gegevensanalyse.
Selecteer Externe toegang.
De integratie stoppen
U kunt op elk moment voorkomen dat de integratie communiceert.
De integratie stoppen:
Navigeer in de on-premises beheerconsole van Defender for IoT naar System Instellingen.
Schakel de optie Syslog Server in op Uit .