Integracja rozwiązania ClearPass z usługą Microsoft Defender dla IoT
Uwaga
W tym artykule odwołuje się do systemu CentOS — dystrybucji systemu Linux, która zbliża się do stanu zakończenia życia (EOL). Rozważ odpowiednie użycie i planowanie. Aby uzyskać więcej informacji, zobacz wskazówki dotyczące zakończenia życia systemu CentOS.
W tym artykule opisano, jak zintegrować aplikację Factory ClearPass z usługą Microsoft Defender dla IoT, aby wyświetlić zarówno informacje ClearPass, jak i Defender for IoT w jednym miejscu.
Wyświetlanie zarówno informacji usługi Defender for IoT, jak i ClearPass razem zapewnia analitykom SOC wgląd w wyspecjalizowane protokoły OT i urządzenia wdrożone w środowiskach przemysłowych wraz z analizą behawioralną z obsługą ICS w celu szybkiego wykrywania podejrzanych lub nietypowych zachowań.
Integracje oparte na chmurze
Napiwek
Integracje zabezpieczeń oparte na chmurze zapewniają kilka korzyści w przypadku rozwiązań lokalnych, takich jak scentralizowane, prostsze zarządzanie czujnikami i scentralizowane monitorowanie zabezpieczeń.
Inne korzyści obejmują monitorowanie w czasie rzeczywistym, efektywne wykorzystanie zasobów, zwiększoną skalowalność i niezawodność, lepszą ochronę przed zagrożeniami bezpieczeństwa, uproszczoną konserwację i aktualizacje oraz bezproblemową integrację z rozwiązaniami innych firm.
W przypadku integracji czujnika OT połączonego z chmurą z rozwiązaniem ClearPass zalecamy nawiązanie połączenia z usługą Microsoft Sentinel, a następnie zainstalowanie łącznika danych Firmy ClearPass.
Microsoft Sentinel to skalowalna usługa w chmurze do zarządzania zdarzeniami zabezpieczeń (SIEM) automatycznego reagowania na zdarzenia zabezpieczeń (SOAR). Zespoły SOC mogą używać integracji między usługą Microsoft Defender for IoT i usługą Microsoft Sentinel w celu zbierania danych między sieciami, wykrywania i badania zagrożeń oraz reagowania na zdarzenia.
W usłudze Microsoft Sentinel łącznik danych usługi Defender for IoT i rozwiązanie wyprowadzają wbudowaną zawartość zabezpieczeń do zespołów SOC, ułatwiając im wyświetlanie, analizowanie i reagowanie na alerty zabezpieczeń OT oraz zrozumienie wygenerowanych zdarzeń w szerszej zawartości zagrożeń organizacyjnych.
Aby uzyskać więcej informacji, zobacz:
- Samouczek: Połączenie usługi Microsoft Defender dla IoT z usługą Microsoft Sentinel
- Samouczek: badanie i wykrywanie zagrożeń dla urządzeń IoT
- Dokumentacja usługi Microsoft Sentinel.
Integracje lokalne
Jeśli pracujesz z czujnikiem OT zarządzanym lokalnie, potrzebujesz lokalnego rozwiązania do wyświetlania informacji o usłudze Defender for IoT i Splunk w tym samym miejscu.
W takich przypadkach zalecamy skonfigurowanie czujnika OT w celu wysyłania plików dziennika systemowego bezpośrednio do rozwiązania ClearPass lub używania wbudowanego interfejsu API usługi Defender for IoT.
Aby uzyskać więcej informacji, zobacz:
- Przekazywanie lokalnych informacji o alertach OT
- Dokumentacja interfejsu API usługi Defender for IoT
Integracja lokalna (starsza wersja)
W tej sekcji opisano sposób integrowania usług Defender dla IoT i ClearPass Policy Manager (CPPM) przy użyciu starszej integracji lokalnej.
Ważne
Starsza integracja z rozwiązaniemAssa ClearPass jest obsługiwana do października 2024 r. przy użyciu czujnika w wersji 23.1.3 i nie będzie obsługiwana w nadchodzących głównych wersjach oprogramowania. W przypadku klientów korzystających ze starszej integracji zalecamy przejście do jednej z następujących metod:
- Jeśli integrujesz rozwiązanie zabezpieczeń z systemami opartymi na chmurze, zalecamy używanie łączników danych za pośrednictwem usługi Microsoft Sentinel.
- W przypadku integracji lokalnych zalecamy skonfigurowanie czujnika OT w celu przesyłania dalej zdarzeń dziennika systemowego lub używania interfejsów API usługi Defender dla IoT.
Wymagania wstępne
Przed rozpoczęciem upewnij się, że masz następujące wymagania wstępne:
| Wymaganie wstępne | opis |
|---|---|
| Wymagania Firmy ClearPass | CPPM działa na urządzeniach sprzętowych ze wstępnie zainstalowanym oprogramowaniem lub jako maszyna wirtualna w ramach następujących funkcji hypervisor. - VMware ESXi 5.5, 6.0, 6.5, 6.6 lub nowszy. - Microsoft Hyper-V Server 2012 R2 lub 2016 R2. - Funkcja Hyper-V w systemie Microsoft Windows Server 2012 R2 lub 2016 R2. - KVM w systemie CentOS 7.5 lub nowszym. Funkcje hypervisor uruchamiane na komputerze klienckim, takim jak VMware Player, nie są obsługiwane. |
| Wymagania usługi Defender dla IoT | — Defender dla IoT w wersji 2.5.1 lub nowszej. — Dostęp do czujnika usługi Defender for IoT OT jako użytkownik Administracja. |
Tworzenie użytkownika interfejsu API ClearPass
W ramach kanału komunikacji między dwoma produktami usługa Defender dla IoT używa wielu interfejsów API (zarówno TIPS, jak i REST). Dostęp do interfejsów API PORAD jest weryfikowany za pośrednictwem poświadczeń kombinacji nazwy użytkownika i hasła. Ten identyfikator użytkownika musi mieć minimalne poziomy dostępu. Nie używaj profilu Super Administracja istrator, ale zamiast tego używaj Administracja istratora interfejsu API, jak pokazano poniżej.
Aby utworzyć użytkownika interfejsu API ClearPass:
Wybierz pozycję Administracja istration>Użytkownicy i uprawnienia, a następnie wybierz pozycję DODAJ.
W oknie dialogowym Dodawanie użytkownika Administracja ustaw następujące parametry:
Parametr Opis UserID Wprowadź identyfikator użytkownika. Nazwa/nazwisko Wprowadź nazwę użytkownika. Hasło Wprowadź hasło. Przyznawać Sprawdź, czy ta opcja jest włączona. Poziom uprawnień Wybierz pozycję Administracja istrator interfejsu API. Wybierz Dodaj.
Tworzenie profilu operatora ClearPass
Usługa Defender dla IoT używa interfejsu API REST w ramach integracji. Interfejsy API REST są uwierzytelniane w ramach platformy OAuth. Aby przeprowadzić synchronizację z usługą Defender dla IoT, należy utworzyć klienta interfejsu API.
Aby zabezpieczyć dostęp do interfejsu API REST dla klienta interfejsu API, utwórz profil operatora z ograniczeniami dostępu.
Aby utworzyć profil operatora ClearPass:
Przejdź do okna Edytowanie profilu operatora.
Ustaw wszystkie opcje na Wartość Brak dostępu z wyjątkiem następujących opcji:
Parametr Opis Usługi interfejsu API Ustaw wartość Zezwalaj na dostęp Menedżer zasad Ustaw następujące ustawienia:
- Słowniki: atrybuty ustawione na odczyt, zapis, usuwanie
- Słowniki: odciski palców ustawione na odczyt, zapis, usuwanie
- Tożsamość: punkty końcowe ustawione na odczyt, zapis, usuwanie
Tworzenie klienta interfejsu API OAuth aplikacji ClearPass
W oknie głównym wybierz pozycję Administracja istrator API Clients (Klienci interfejsu API usług API services usługi>Administracja istrator).>
Na karcie Tworzenie klienta interfejsu API ustaw następujące parametry:
Tryb operacyjny: ten parametr jest używany w przypadku wywołań interfejsu API do biblioteki ClearPass. Wybierz pozycję ClearPass REST API — Klient.
Profil operatora: użyj utworzonego wcześniej profilu.
Typ udzielania: ustaw poświadczenia klienta (grant_type = client_credentials).
Upewnij się, że zarejestrowano klucz tajny klienta i identyfikator klienta. Na przykład
defender-rest.W Menedżerze zasad upewnij się, że zebrano następującą listę informacji przed przejściem do następnego kroku.
CPPM UserID
Hasło identyfikatora użytkownika CPPM
IDENTYFIKATOR klienta interfejsu API OAuth2 CPPM
CPPM OAuth2 API Client Secret
Konfigurowanie usługi Defender dla IoT do integracji z rozwiązaniem ClearPass
Aby włączyć wyświetlanie spisu urządzeń w rozwiązaniu ClearPass, należy skonfigurować synchronizację usługi Defender dla IoT-ClearPass. Po zakończeniu konfiguracji synchronizacji platforma Defender for IoT aktualizuje bazę danych EndpointDb programu ClearPass Policy Manager podczas odnajdywania nowych punktów końcowych.
Aby skonfigurować synchronizację clearPass na czujniku usługi Defender dla IoT:
W czujniku defender for IoT wybierz pozycję Integracja>ustawień>systemowych ClearPass.
Ustaw następujące parametry:
Parametr Opis Włączanie synchronizacji Przełącz się, aby włączyć synchronizację między usługą Defender dla IoT i aplikacją ClearPass. Częstotliwość synchronizacji (w minutach) Zdefiniuj częstotliwość synchronizacji w minutach. Wartość domyślna to 60 minut. Minimalna wartość to 5 minut. ClearPass Host Adres IP systemu ClearPass, z którym usługa Defender dla IoT jest zsynchronizowana. Client ID Identyfikator klienta utworzony w usłudze ClearPass na potrzeby synchronizowania danych z usługą Defender for IoT. Client Secret (Wpis tajny klienta) Klucz tajny klienta utworzony w usłudze ClearPass na potrzeby synchronizowania danych z usługą Defender dla IoT. Nazwa użytkownika Użytkownik administratora aplikacji ClearPass. Hasło Hasło administratora ClearPass. Wybierz pozycję Zapisz.
Definiowanie reguły przekazywania ClearPass
Aby włączyć wyświetlanie alertów wykrytych przez usługę Defender dla IoT w Usłudze Intune, należy ustawić regułę przekazywania. Ta reguła określa, które informacje o zabezpieczeniach ICS i SCADA zidentyfikowane przez aparaty zabezpieczeń usługi Defender for IoT są wysyłane do rozwiązania ClearPass.
Aby uzyskać więcej informacji, zobacz Integracje lokalne.
Monitorowanie komunikacji ClearPass i Defender dla IoT
Po rozpoczęciu synchronizacji dane punktu końcowego są wypełniane bezpośrednio w bazie danych EndpointDb programu Policy Manager, można wyświetlić czas ostatniej aktualizacji na ekranie konfiguracji integracji.
Aby przejrzeć czas ostatniej synchronizacji z aplikacją ClearPass:
Zaloguj się do czujnika usługi Defender for IoT.
Wybierz pozycję Integracje>ustawień>systemowych ClearPass.
Jeśli synchronizacja nie działa lub wyświetla błąd, prawdopodobnie pominięto przechwycenie niektórych informacji. Sprawdź ponownie zarejestrowane dane.
Ponadto można wyświetlić wywołania interfejsu API między usługą Defender for IoT i aplikacją ClearPass z poziomu dziennika aplikacji obsługi gościa> Administracja istration.>>
Na przykład dzienniki interfejsu API między usługą Defender dla IoT i aplikacją ClearPass:
