Partilhar via

Integre Palo Alto com o Microsoft Defender for IoT

  • Artigo

Este artigo descreve como integrar Palo Alto com o Microsoft Defender for IoT, a fim de exibir informações de Palo Alto e Defender for IoT em um único lugar, ou usar dados do Defender for IoT para configurar ações de bloqueio em Palo Alto.

A visualização conjunta das informações do Defender for IoT e de Palo Alto fornece aos analistas SOC visibilidade multidimensional para que possam bloquear ameaças críticas mais rapidamente.

Integrações baseadas na nuvem

Gorjeta

As integrações de segurança baseadas na nuvem oferecem vários benefícios em relação às soluções locais, como gerenciamento centralizado e mais simples de sensores e monitoramento de segurança centralizado.

Outros benefícios incluem monitoramento em tempo real, uso eficiente de recursos, maior escalabilidade e robustez, proteção aprimorada contra ameaças à segurança, manutenção e atualizações simplificadas e integração perfeita com soluções de terceiros.

Se você estiver integrando um sensor OT conectado à nuvem com Palo Alto, recomendamos que conecte o Defender for IoT ao Microsoft Sentinel.

Instale uma ou mais das seguintes soluções para visualizar os dados do Palo Alto e do Defender for IoT no Microsoft Sentinel.

Solução Microsoft Sentinel Saber mais
Solução PAN-OS de Palo Alto Conector Palo Alto Networks (Firewall) para Microsoft Sentinel
Solução Palo Alto Networks Cortex Data Lake Conector Palo Alto Networks Cortex Data Lake (CDL) para Microsoft Sentinel
Solução Palo Alto Prisma Cloud CSPM Conector Palo Alto Prisma Cloud CSPM (usando o Azure Function) para Microsoft Sentinel

O Microsoft Sentinel é um serviço de nuvem escalável para gerenciamento de eventos de segurança (SIEM), orquestração de segurança, resposta automatizada (SOAR). As equipes de SOC podem usar a integração entre o Microsoft Defender for IoT e o Microsoft Sentinel para coletar dados em redes, detetar e investigar ameaças e responder a incidentes.

No Microsoft Sentinel, o conector de dados e a solução Defender for IoT trazem conteúdo de segurança pronto para uso para as equipes SOC, ajudando-as a visualizar, analisar e responder a alertas de segurança OT e entender os incidentes gerados no conteúdo mais amplo de ameaças organizacionais.

Para obter mais informações, consulte:

Integrações locais

Se você estiver trabalhando com um sensor OT air-gapped, gerenciado localmente, precisará de uma solução local para visualizar as informações do Defender for IoT e Palo Alto no mesmo lugar.

Nesses casos, recomendamos que você configure seu sensor OT para enviar arquivos syslog diretamente para Palo Alto ou use a API integrada do Defender for IoT.

Para obter mais informações, consulte:

Integração local (legado)

Esta seção descreve como integrar e usar Palo Alto com o Microsoft Defender for IoT usando a integração legada, local, que cria automaticamente novas políticas no NMS e Panorama da Rede Palo Alto.

Importante

A integração legada do Palo Alto Panorama é suportada até outubro de 2024 usando a versão 23.1.3 do sensor e não será suportada nas próximas versões principais de software. Para clientes que usam a integração herdada, recomendamos mudar para um dos seguintes métodos:

  • Se estiver a integrar a sua solução de segurança com sistemas baseados na nuvem, recomendamos que utilize conectores de dados através do Microsoft Sentinel.
  • Para integrações locais, recomendamos que você configure seu sensor OT para encaminhar eventos syslog ou use APIs do Defender for IoT.

A tabela a seguir mostra a quais incidentes essa integração se destina:

Tipo de incidente Description
Alterações não autorizadas no PLC Uma atualização para a lógica ladder, ou firmware de um dispositivo. Este alerta pode representar uma atividade legítima ou uma tentativa de comprometer o dispositivo. Por exemplo, código mal-intencionado, como um Trojan de Acesso Remoto (RAT), ou parâmetros que fazem com que o processo físico, como uma turbina giratória, opere de maneira insegura.
Violação de protocolo Uma estrutura de pacote ou valor de campo que viola a especificação do protocolo. Esse alerta pode representar um aplicativo mal configurado ou uma tentativa maliciosa de comprometer o dispositivo. Por exemplo, causando uma condição de estouro de buffer no dispositivo de destino.
Paragem PLC Um comando que faz com que o dispositivo pare de funcionar, arriscando assim o processo físico que está a ser controlado pelo PLC.
Malware industrial encontrado na rede ICS Malware que manipula dispositivos ICS usando seus protocolos nativos, como TRITON e Industroyer. O Defender for IoT também deteta malware de TI que se moveu lateralmente para o ambiente ICS e SCADA. Por exemplo, Conficker, WannaCry e NotPetya.
Verificação de malware Ferramentas de reconhecimento que coletam dados sobre a configuração do sistema em uma fase de pré-ataque. Por exemplo, o Trojan Havex verifica redes industriais em busca de dispositivos usando OPC, que é um protocolo padrão usado por sistemas SCADA baseados em Windows para se comunicar com dispositivos ICS.

Quando o Defender for IoT deteta um caso de uso pré-configurado, o botão Bloquear origem é adicionado ao alerta. Em seguida, quando o usuário do Defender for IoT seleciona o botão Bloquear origem, o Defender for IoT cria políticas no Panorama enviando a regra de encaminhamento predefinida.

A política é aplicada somente quando o administrador do Panorama a envia por push para o NGFW relevante na rede.

Nas redes de TI, pode haver endereços IP dinâmicos. Portanto, para essas sub-redes, a política deve ser baseada no FQDN (nome DNS) e não no endereço IP. O Defender for IoT realiza pesquisa inversa e faz a correspondência entre dispositivos com endereço IP dinâmico e seu FQDN (nome DNS) a cada número de horas configurado.

Além disso, o Defender for IoT envia um e-mail para o usuário relevante do Panorama para notificar que uma nova política criada pelo Defender for IoT está aguardando a aprovação. A figura abaixo apresenta a arquitetura de integração do Defender for IoT e Panorama:

Diagram of the Defender for IoT-Panorama Integration Architecture.

Pré-requisitos

Antes de começar, certifique-se de que tem os seguintes pré-requisitos:

  • Confirmação pelo Administrador do Panorama para permitir o bloqueio automático.
  • Acesso a um sensor OT do Defender for IoT como usuário Admin.

Configurar pesquisa de DNS

A primeira etapa na criação de políticas de bloqueio de panorama no Defender for IoT é configurar a pesquisa de DNS.

Para configurar a pesquisa de DNS:

  1. Inicie sessão no seu sensor OT e selecione Definições do>sistema Monitorização de>rede Pesquisa inversa de DNS.

  2. Ative a alternância Ativado para ativar a pesquisa.

  3. No campo Agendar Pesquisa Inversa, defina as opções de agendamento:

    • Por horários específicos: especifique quando realizar a pesquisa inversa diariamente.
    • Por intervalos fixos (em horas): defina a frequência para realizar a pesquisa inversa.

  4. Selecione + Adicionar servidor DNS e, em seguida, adicione os seguintes detalhes:

    Parâmetro Description
    Endereço do servidor DNS Insira o endereço IP ou o FQDN do servidor DNS da rede.
    Porta do servidor DNS Insira a porta usada para consultar o servidor DNS.
    Número de etiquetas Para configurar a resolução de FQDN DNS, adicione o número de rótulos de domínio a serem exibidos.
    Até 30 caracteres são exibidos da esquerda para a direita.
    Sub-redes Defina o intervalo de sub-rede de endereço IP dinâmico.
    O intervalo em que o Defender for IoT reverte a pesquisa de seu endereço IP no servidor DNS para corresponder ao nome FQDN atual.

  5. Para garantir que as configurações de DNS estejam corretas, selecione Testar. O teste garante que o endereço IP do servidor DNS e a porta do servidor DNS estejam definidos corretamente.

  6. Selecione Guardar.

Quando terminar, continue criando regras de encaminhamento conforme necessário:

Configurar o bloqueio imediato por um firewall Palo Alto especificado

Configure o bloqueio automático em casos como alertas relacionados a malware, configurando uma regra de encaminhamento do Defender for IoT para enviar um comando de bloqueio diretamente para um firewall Palo Alto específico.

Quando o Defender for IoT identifica uma ameaça crítica, ele envia um alerta que inclui uma opção de bloquear a fonte infetada. Selecionar Bloquear origem nos detalhes do alerta ativa a regra de encaminhamento, que envia o comando de bloqueio para o firewall Palo Alto especificado.

Ao criar sua regra de encaminhamento:

  1. Na área Ações, defina o servidor, host, porta e credenciais para o NGFW de Palo Alto.

  2. Configure as seguintes opções para permitir o bloqueio das fontes suspeitas pelo firewall de Palo Alto:

    Parâmetro Description
    Bloquear códigos de função ilegais Violações de protocolo - Valor de campo ilegal violando especificação de protocolo ICS (exploração potencial).
    Bloquear programação PLC não autorizada / atualizações de firmware Alterações não autorizadas do PLC.
    Bloquear parada PLC não autorizada Paragem do PLC (tempo de inatividade).
    Bloquear alertas relacionados a malware Bloqueio de tentativas de malware industrial (TRITON, NotPetya, etc.).

    Você pode selecionar a opção de Bloqueio automático.
    Nesse caso, o bloqueio é executado de forma automática e imediata.
    Bloquear varredura não autorizada Varredura não autorizada (potencial reconhecimento).

Para obter mais informações, consulte Encaminhar informações de alerta de OT local.

Bloqueie tráfego suspeito com o firewall de Palo Alto

Configure uma regra de encaminhamento do Defender for IoT para bloquear tráfego suspeito com o firewall Palo Alto.

Ao criar sua regra de encaminhamento:

  1. Na área Ações, defina o servidor, host, porta e credenciais para o NGFW de Palo Alto.

  2. Defina como o bloqueio é executado, da seguinte forma:

    • Por Endereço IP: Sempre cria políticas de bloqueio no Panorama com base no endereço IP.
    • Por FQDN ou Endereço IP: Cria políticas de bloqueio no Panorama com base no FQDN, caso exista, caso contrário, pelo Endereço IP.

  3. No campo E-mail, insira o endereço de e-mail do e-mail de notificação da política.

    Nota

    Certifique-se de ter configurado um servidor de email no Defender para IoT. Se nenhum endereço de e-mail for inserido, o Defender for IoT não enviará um e-mail de notificação.

  4. Configure as seguintes opções para permitir o bloqueio das fontes suspeitas pelo Panorama de Palo Alto:

    Parâmetro Description
    Bloquear códigos de função ilegais Violações de protocolo - Valor de campo ilegal violando especificação de protocolo ICS (exploração potencial).
    Bloquear programação PLC não autorizada / atualizações de firmware Alterações não autorizadas do PLC.
    Bloquear parada PLC não autorizada Paragem do PLC (tempo de inatividade).
    Bloquear alertas relacionados a malware Bloqueio de tentativas de malware industrial (TRITON, NotPetya, etc.).

    Você pode selecionar a opção de Bloqueio automático.
    Nesse caso, o bloqueio é executado de forma automática e imediata.
    Bloquear varredura não autorizada Varredura não autorizada (potencial reconhecimento).

Para obter mais informações, consulte Encaminhar informações de alerta de OT local.

Bloquear fontes suspeitas específicas

Depois de criar sua regra de encaminhamento, use as seguintes etapas para bloquear fontes específicas e suspeitas:

  1. Na página Alertas do sensor OT, localize e selecione o alerta relacionado à integração de Palo Alto.

  2. Para bloquear automaticamente a fonte suspeita, selecione Bloquear fonte.

  3. Na caixa de diálogo Confirmar, selecione OK.

A fonte suspeita está agora bloqueada pelo firewall de Palo Alto.

Próximo passo

Integrações com a Microsoft e serviços de parceiros