Compartilhar via


Integrar o CyberArk ao Microsoft Defender para IoT

Este artigo ajuda você a aprender como integrar e usar o CyberArk com o Microsoft Defender para IoT.

O Defender para IoT oferece as plataformas de segurança cibernética de ICS e IIoT com análise de ameaças e reconhecimento de ICS e aprendizado de máquina.

Os atores de ameaças estão usando credenciais de acesso remoto comprometidas para acessar redes de infraestrutura críticas por meio de conexões VPN e de área de trabalho remota. Usando conexões confiáveis, essa abordagem ignora com facilidade qualquer segurança de perímetro de OT. As credenciais são normalmente roubadas de usuários privilegiados, como engenheiros de controle e funcionários da manutenção de parceiros, que precisam de acesso remoto para executar tarefas cotidianas.

A integração do Defender para IoT juntamente com o CyberARK permite a você:

  • Reduzir os riscos de OT ocasionados por acesso remoto não autorizado

  • Fornecer monitoramento contínuo e segurança de acesso privilegiado para OT

  • Aprimorar a resposta a incidentes e a busca e a modelagem de ameaças

O dispositivo Defender para IoT está conectado à rede de OT por meio de uma porta SPAN (porta de espelhamento) em dispositivos de rede, como comutadores e roteadores, por meio de uma conexão unidirecional (entrada) para as interfaces de rede dedicadas no dispositivo Defender para IoT.

Um adaptador de rede dedicado também é fornecido no dispositivo Defender para IoT a fim de proporcionar gerenciamento centralizado e acesso à API. Essa interface também é usada para se comunicar com a solução PSM do CyberArk, que é implantada no data center da organização a fim de gerenciar usuários com privilégios e conexões de acesso remoto seguras.

The CyberArk PSM solution deployment

Neste artigo, você aprenderá como:

  • Configurar o PSM no CyberArk
  • Habilitar a integração no Defender para IoT
  • Exibir e gerenciar detecções
  • Parar a integração

Pré-requisitos

Antes de iniciar, verifique se você cumpre os seguintes pré-requisitos:

Configurar o PSM do CyberArk

O CyberArk deve ser configurado para permitir a comunicação com o Defender para IoT. Essa comunicação é alcançada configurando o PSM.

Para configurar o PSM:

  1. Localize e abra o arquivo c:\Program Files\PrivateArk\Server\dbparam.xml.

  2. Adicione os parâmetros a seguir:

    [SYSLOG] UseLegacySyslogFormat=Yes SyslogTranslatorFile=Syslog\CyberX.xsl SyslogServerIP=<CyberX Server IP> SyslogServerProtocol=UDP SyslogMessageCodeFilter=319,320,295,378,380

  3. Salve o arquivo e feche-o.

  4. Coloque o arquivo de configuração do syslog do Defender para IoT CyberX.xsl em c:\Program Files\PrivateArk\Server\Syslog\CyberX.xsl.

  5. Abra a Administração Central do Servidor.

  6. Selecione Parar o Sinal Vermelho para interromper o servidor.

  7. Selecione o Sinal Verde para iniciar o servidor.

Habilitar a integração no Defender para IoT

Para habilitar a integração, o Servidor Syslog precisa ser habilitado no console de gerenciamento local do Defender para IoT. Por padrão, o Servidor Syslog escuta o endereço IP do sistema usando a porta UDP 514.

Para configurar o Defender para IoT:

  1. Entre no console de gerenciamento local do Defender para IoT e navegue até Configurações do Sistema.

  2. Alterne o Servidor Syslog para Ativado.

    Screenshot of the syslog server toggled to on.

  3. (Opcional) Altere a porta entrando no sistema por meio da CLI, navegue até /var/cyberx/properties/syslog.properties e altere para listener: 514/udp.

Exibir e gerenciar detecções

A integração entre o Microsoft Defender para IoT e o PSM do CyberArk é executada por meio das mensagens do syslog. Essas mensagens são enviadas pela solução PSM do Defender para IoT, notificando o Defender para IoT sobre sessões remotas ou falhas de verificação.

Após a plataforma Defender para IoT receber essas mensagens do PSM, ela as correlaciona com os dados que vê na rede. Assim, ela valida que foi a solução PSM, e não um usuário não autorizado, que gerou as conexões de acesso remoto à rede.

Exibir alertas

Sempre que a plataforma Defender para IoT identifica sessões remotas que não foram autorizadas pelo PSM, ela emite um Unauthorized Remote Session. Para facilitar a investigação imediata, o alerta também mostra os endereços IP e os nomes dos dispositivos de origem e de destino.

Para exibir os alertas:

  1. Entre no console de gerenciamento local e selecione Alertas.

  2. Na lista de alertas, selecione o alerta intitulado Sessão remota não autorizada.

    The Unauthorized Remote Session alert.

Linha do tempo do evento

Sempre que o PSM autoriza uma conexão remota, ele fica visível na página de Linha do Tempo de Eventos do Defender para IoT. A página da Linha do Tempo de Eventos mostra uma Linha do Tempo com todos os alertas e as notificações.

Para exibir a Linha do Tempo de Eventos:

  1. Entre no sensor de rede e selecione Linha do tempo de eventos.

  2. Localize qualquer evento intitulado Remote Session do PSM.

Auditoria e forenses

Os administradores podem auditar e investigar as sessões de acesso remoto consultando a plataforma Defender para IoT por meio da interface interna de mineração de dados. Essas informações podem ser usadas para identificar todas as conexões de acesso remoto que ocorreram, incluindo detalhes forenses, por exemplo, de/para dispositivos, protocolos (RDP ou SSH), usuários de origem e destino, carimbos de data/hora e se as sessões foram autorizadas usando o PSM.

Para auditar e investigar:

  1. Entre no sensor de rede e selecione Mineração de dados.

  2. Selecione Acesso Remoto.

Parar a integração

A qualquer momento você pode parar a comunicação da integração.

Para parar a integração:

  1. No console de gerenciamento local do Defender para IoT, navegue até as Configurações do Sistema.

  2. Alterne a opção do Servidor Syslog para Desativado.

    A view of th Server status.

Próximas etapas