Integrowanie aplikacji CyberArk z usługą Microsoft Defender dla IoT
Ten artykuł pomaga dowiedzieć się, jak zintegrować aplikację CyberArk z usługą Microsoft Defender dla IoT i korzystać z nich.
Usługa Defender for IoT dostarcza platformy cyberbezpieczeństwa ICS i IIoT z analizą zagrożeń z obsługą ICS i uczeniem maszynowym.
Aktorzy zagrożeń używają poświadczeń dostępu zdalnego z naruszonymi zabezpieczeniami w celu uzyskania dostępu do krytycznych sieci infrastruktury za pośrednictwem pulpitu zdalnego i połączeń sieci VPN. Dzięki użyciu zaufanych połączeń to podejście łatwo pomija wszelkie zabezpieczenia obwodowe OT. Poświadczenia są zwykle skradzione przez uprzywilejowanych użytkowników, takich jak inżynierowie kontroli i personel obsługi partnera, którzy wymagają dostępu zdalnego do wykonywania codziennych zadań.
Integracja usługi Defender for IoT wraz z cyberARK umożliwia:
Zmniejszenie ryzyka ot przed nieautoryzowanym dostępem zdalnym
Zapewnianie ciągłego monitorowania i zabezpieczeń dostępu uprzywilejowanego dla funkcji OT
Ulepszanie reagowania na zdarzenia, wyszukiwanie zagrożeń i modelowanie zagrożeń
Urządzenie Defender for IoT jest połączone z siecią OT za pośrednictwem portu SPAN (portu dublowania) na urządzeniach sieciowych, takich jak przełączniki i routery, za pośrednictwem jednokierunkowego (przychodzącego) połączenia z dedykowanymi interfejsami sieciowymi w usłudze Defender dla IoT.
Dedykowany interfejs sieciowy jest również dostępny w urządzeniu Defender for IoT na potrzeby scentralizowanego zarządzania i dostępu do interfejsu API. Ten interfejs służy również do komunikowania się z rozwiązaniem PSM CyberArk wdrożonym w centrum danych organizacji w celu zarządzania uprzywilejowanymi użytkownikami i zabezpieczania połączeń dostępu zdalnego.
W tym artykule omówiono sposób wykonywania następujących zadań:
- Konfigurowanie programu PSM w usłudze CyberArk
- Włączanie integracji w usłudze Defender dla IoT
- Wyświetlanie wykryć i zarządzanie nimi
- Zatrzymywanie integracji
Wymagania wstępne
Przed rozpoczęciem upewnij się, że masz następujące wymagania wstępne:
CyberARK w wersji 2.0.
Sprawdź, czy masz dostęp interfejsu wiersza polecenia do wszystkich urządzeń usługi Defender for IoT w przedsiębiorstwie.
Konto Azure. Jeśli nie masz jeszcze konta platformy Azure, możesz już dziś utworzyć bezpłatne konto platformy Azure.
Dostęp do czujnika ot usługi Defender for IoT jako użytkownik Administracja. Aby uzyskać więcej informacji, zobacz Temat Użytkownicy i role lokalne na potrzeby monitorowania ot za pomocą usługi Defender dla IoT.
Konfigurowanie programu PSM CyberArk
CyberArk musi być skonfigurowany tak, aby zezwalał na komunikację z usługą Defender dla IoT. Ta komunikacja jest realizowana przez skonfigurowanie programu PSM.
Aby skonfigurować program PSM:
Znajdź i otwórz
c:\Program Files\PrivateArk\Server\dbparam.xml
plik.Dodaj następujące parametry:
[SYSLOG]
UseLegacySyslogFormat=Yes
SyslogTranslatorFile=Syslog\CyberX.xsl
SyslogServerIP=<CyberX Server IP>
SyslogServerProtocol=UDP
SyslogMessageCodeFilter=319,320,295,378,380
Zapisz plik, a następnie zamknij go.
Umieść plik
CyberX.xsl
konfiguracji dziennika syslogu usługi Defender for IoT w plikuc:\Program Files\PrivateArk\Server\Syslog\CyberX.xsl
.Otwórz Administracja istration Central serwera.
Wybierz pozycję Zatrzymaj sygnalizację świetlną, aby zatrzymać serwer.
Wybierz pozycję Uruchom usługę Traffic Light , aby uruchomić serwer.
Włączanie integracji w usłudze Defender dla IoT
Aby umożliwić integrację, serwer Syslog musi być włączony w lokalnej konsoli zarządzania usługi Defender for IoT. Domyślnie serwer Syslog nasłuchuje adresu IP systemu przy użyciu portu 514 UDP.
Aby skonfigurować usługę Defender dla IoT:
Zaloguj się do lokalnej konsoli zarządzania usługi Defender for IoT, a następnie przejdź do pozycji System Ustawienia.
Przełącz serwer syslog na wł.
(Opcjonalnie) Zmień port, logując się do systemu za pośrednictwem interfejsu wiersza polecenia, przechodząc do
/var/cyberx/properties/syslog.properties
adresu , a następnie zmieniając wartość nalistener: 514/udp
.
Wyświetlanie wykryć i zarządzanie nimi
Integracja między usługą Microsoft Defender dla IoT i cyberArk PSM jest wykonywana za pośrednictwem komunikatów dziennika systemowego. Te komunikaty są wysyłane przez rozwiązanie PSM do usługi Defender dla IoT, powiadamiając usługę Defender dla IoT o wszelkich sesjach zdalnych lub niepowodzeniach weryfikacji.
Gdy platforma Defender for IoT odbiera te komunikaty z programu PSM, koreluje je z danymi widocznymi w sieci. W związku z tym sprawdzanie, czy wszystkie połączenia dostępu zdalnego z siecią zostały wygenerowane przez rozwiązanie PSM, a nie przez nieautoryzowanego użytkownika.
Wyświetlanie alertów
Za każdym razem, gdy platforma Defender for IoT identyfikuje sesje zdalne, które nie zostały autoryzowane przez program PSM, wystawiają element Unauthorized Remote Session
. Aby ułatwić natychmiastowe badanie, alert pokazuje również adresy IP i nazwy urządzeń źródłowych i docelowych.
Aby wyświetlić alerty:
Zaloguj się do lokalnej konsoli zarządzania, a następnie wybierz pozycję Alerty.
Z listy alertów wybierz alert zatytułowany Nieautoryzowana sesja zdalna.
Oś czasu zdarzenia
Za każdym razem, gdy program PSM autoryzuje połączenie zdalne, jest widoczny na stronie Oś czasu zdarzeń usługi Defender dla IoT. Na stronie Oś czasu zdarzenia jest wyświetlana oś czasu wszystkich alertów i powiadomień.
Aby wyświetlić oś czasu zdarzenia:
Zaloguj się do czujnika sieciowego, a następnie wybierz pozycję Oś czasu zdarzenia.
Znajdź dowolne zdarzenie o nazwie Sesja zdalna programu PSM.
Inspekcja i śledcze
Administracja istratorzy mogą przeprowadzać inspekcję i badać sesje dostępu zdalnego, wysyłając zapytanie do platformy Defender for IoT za pośrednictwem wbudowanego interfejsu wyszukiwania danych. Te informacje mogą służyć do identyfikowania wszystkich połączeń dostępu zdalnego, które wystąpiły, w tym szczegółowych informacji kryminalistycznych, takich jak z urządzeń lub do urządzeń, protokołów (RDP lub SSH), użytkowników źródłowych i docelowych, sygnatur czasowych i czy sesje zostały autoryzowane przy użyciu programu PSM.
Aby przeprowadzić inspekcję i zbadać:
Zaloguj się do czujnika sieciowego, a następnie wybierz pozycję Wyszukiwania danych.
Wybierz pozycję Dostęp zdalny.
Zatrzymaj integrację
W dowolnym momencie można zatrzymać integrację z komunikacją.
Aby zatrzymać integrację:
W lokalnej konsoli zarządzania usługi Defender for IoT przejdź do pozycji System Ustawienia.
Przełącz opcję Serwer syslog na Wyłączone .