ClearPass'ı IoT için Microsoft Defender ile tümleştirme

Makale
11/08/2023

Dikkat

Bu makalede, Kullanım Süresi Sonu (EOL) durumuna yakın bir Linux dağıtımı olan CentOS'a başvuruda bulunur. Lütfen kullanımınızı ve buna uygun planlamayı göz önünde bulundurun. Daha fazla bilgi için bkz . CentOS Kullanım Süresi Sonu kılavuzu.

Bu makalede, Hem ClearPass hem de IoT için Defender bilgilerini tek bir yerde görüntülemek için Aruba ClearPass'ı IoT için Microsoft Defender ile tümleştirme açıklanmaktadır.

Hem IoT için Defender hem de ClearPass bilgilerini birlikte görüntülemek, SOC analistlerine endüstriyel ortamlarda dağıtılan özelleştirilmiş OT protokolleri ve cihazlar üzerinde çok boyutlu görünürlük ve şüpheli veya anormal davranışları hızla algılamak için ICS kullanan davranış analizi sağlar.

Bulut tabanlı tümleştirmeler

İpucu

Bulut tabanlı güvenlik tümleştirmeleri, merkezi, daha basit sensör yönetimi ve merkezi güvenlik izleme gibi şirket içi çözümlere göre çeşitli avantajlar sağlar.

Diğer avantajlar arasında gerçek zamanlı izleme, verimli kaynak kullanımı, artırılmış ölçeklenebilirlik ve sağlamlık, güvenlik tehditlerine karşı geliştirilmiş koruma, basitleştirilmiş bakım ve güncelleştirmeler ve üçüncü taraf çözümlerle sorunsuz tümleştirme yer alır.

Buluta bağlı bir OT sensörünü Aruba ClearPass ile tümleştiriyorsanız Microsoft Sentinel'e bağlanmanızı ve ardından Aruba ClearPass veri bağlayıcısını yüklemenizi öneririz.

Microsoft Sentinel, güvenlik bilgileri olay yönetimi (SIEM) güvenlik düzenleme otomatik yanıtı (SOAR) için ölçeklenebilir bir bulut hizmetidir. SOC ekipleri, ağlar arasında veri toplamak, tehditleri algılamak ve araştırmak ve olaylara yanıt vermek için IoT için Microsoft Defender ile Microsoft Sentinel arasındaki tümleştirmeyi kullanabilir.

Microsoft Sentinel'de IoT için Defender veri bağlayıcısı ve çözümü, SOC ekiplerine kullanıma hazır güvenlik içeriği sunarak OT güvenlik uyarılarını görüntülemelerine, analiz etmelerine ve yanıtlamalarına ve daha geniş kapsamlı kurumsal tehdit içeriklerinde oluşturulan olayları anlamalarına yardımcı olur.

Daha fazla bilgi için bkz.

Şirket içi tümleştirmeler

Havayla kaplı, yerel olarak yönetilen bir OT sensörüyle çalışıyorsanız IoT için Defender ve Splunk bilgilerini aynı yerde görüntülemek için bir şirket içi çözüme ihtiyacınız vardır.

Bu gibi durumlarda, OT algılayıcınızı syslog dosyalarını doğrudan ClearPass'a gönderecek şekilde yapılandırmanızı veya IoT'nin yerleşik API'sinde Defender'ı kullanmanızı öneririz.

Daha fazla bilgi için bkz.

Şirket içi tümleştirme (eski)

Bu bölümde, eski, şirket içi tümleştirmeyi kullanarak IoT için Defender ve ClearPass İlke Yöneticisi'nin (CPPM) nasıl tümleştirilip tümleştirilmez olduğu açıklanır.

Önemli

Eski Aruba ClearPass tümleştirmesi, algılayıcı sürümü 23.1.3 kullanılarak Ekim 2024'e kadar desteklenir ve gelecek ana yazılım sürümlerinde desteklenmeyecektir... Eski tümleştirmeyi kullanan müşteriler için aşağıdaki yöntemlerden birine geçmenizi öneririz:

Güvenlik çözümünüzü bulut tabanlı sistemlerle tümleştiriyorsanız Microsoft Sentinel aracılığıyla veri bağlayıcıları kullanmanızı öneririz.
Şirket içi tümleştirmeler için, OT algılayıcınızı syslog olaylarını iletecek şekilde yapılandırmanızı veya IoT API'leri için Defender'ı kullanmanızı öneririz.

Önkoşullar

Başlamadan önce aşağıdaki önkoşullara sahip olduğunuzdan emin olun:

Önkoşul	Açıklama
Aruba ClearPass gereksinimleri	CPPM, önceden yüklenmiş yazılıma sahip donanım gereçleri üzerinde veya aşağıdaki hiper yöneticiler altında bir Sanal Makine olarak çalışır. - VMware ESXi 5.5, 6.0, 6.5, 6.6 veya üzeri. - Microsoft Hyper-V Server 2012 R2 veya 2016 R2. - Microsoft Windows Server 2012 R2 veya 2016 R2 üzerinde Hyper-V. - CentOS 7.5 veya üzeri üzerinde KVM. VMware Player gibi bir istemci bilgisayarda çalışan hiper yöneticiler desteklenmez.
IoT için Defender gereksinimleri	- IoT için Defender sürüm 2.5.1 veya üzeri. - IoT için Defender OT algılayıcısına Yönetici kullanıcı olarak erişim.

Önkoşul

Açıklama

Aruba ClearPass gereksinimleri

CPPM, önceden yüklenmiş yazılıma sahip donanım gereçleri üzerinde veya aşağıdaki hiper yöneticiler altında bir Sanal Makine olarak çalışır.
- VMware ESXi 5.5, 6.0, 6.5, 6.6 veya üzeri.
- Microsoft Hyper-V Server 2012 R2 veya 2016 R2.
- Microsoft Windows Server 2012 R2 veya 2016 R2 üzerinde Hyper-V.
- CentOS 7.5 veya üzeri üzerinde KVM.

VMware Player gibi bir istemci bilgisayarda çalışan hiper yöneticiler desteklenmez.

IoT için Defender gereksinimleri

- IoT için Defender sürüm 2.5.1 veya üzeri.
- IoT için Defender OT algılayıcısına Yönetici kullanıcı olarak erişim.

ClearPass API kullanıcısı oluşturma

İki ürün arasındaki iletişim kanalının bir parçası olarak, IoT için Defender birçok API kullanır (hem TIPS hem de REST). İpuçları API'lerine erişim, kullanıcı adı ve parola bileşimi kimlik bilgileri aracılığıyla doğrulanır. Bu kullanıcı kimliğinin en düşük erişim düzeylerine sahip olması gerekir. Super Yönetici istrator profili kullanmayın, bunun yerine aşağıda gösterildiği gibi API Yönetici istrator kullanın.

ClearPass API kullanıcısı oluşturmak için:

Yönetici Istration>Users and Privileges(Kullanıcılar ve Ayrıcalıklar) öğesini ve ardından EKLE'yi seçin.

Yönetici Kullanıcı Ekle iletişim kutusunda aşağıdaki parametreleri ayarlayın:

Parametre	Açıklama
UserID	Kullanıcı kimliğini girin.
Ad	Kullanıcı adını girin.
Parola	Parolayı girin.
Kullanıcıyı Etkinleştir	Bu seçeneğin etkinleştirildiğini doğrulayın.
Ayrıcalık Düzeyi	API Yönetici istrator'ı seçin.

Ekle'yi seçin.

ClearPass işleç profili oluşturma

IoT için Defender, tümleştirmenin bir parçası olarak REST API'yi kullanır. REST API'lerinin kimliği OAuth çerçevesi altında doğrulanır. IoT için Defender ile eşitlemek için bir API İstemcisi oluşturmanız gerekir.

API İstemcisi için REST API'ye erişimin güvenliğini sağlamak için kısıtlı erişim işleci profili oluşturun.

ClearPass işleç profili oluşturmak için:

İşleç Profilini Düzenle penceresine gidin.

Aşağıdakiler dışında tüm seçenekleri Erişim Yok olarak ayarlayın:

Parametre	Açıklama
API Hizmetleri	Erişime İzin Ver olarak ayarlayın
İlke Yöneticisi	Aşağıdakileri ayarlayın: - Sözlükler: Okuma, Yazma, Silme olarak ayarlanmış öznitelikler - Sözlükler: Parmak İzleri Okuma, Yazma, Silme olarak ayarlanmış - Kimlik: Okuma, Yazma, Silme olarak ayarlanmış uç noktalar

ClearPass OAuth API istemcisi oluşturma

Ana pencerede Yönetici istrator>API Services>API İstemcileri'ni seçin.
API İstemcisi Oluştur sekmesinde aşağıdaki parametreleri ayarlayın:
- İşletim Modu: Bu parametre ClearPass'a YAPıLAN API çağrıları için kullanılır. ClearPass REST API – İstemci'yi seçin.
- İşleç Profili: Daha önce oluşturduğunuz profili kullanın.
- Verme Türü: İstemci kimlik bilgilerini (grant_type = client_credentials) ayarlayın.
İstemci Gizli Dizisini ve İstemci Kimliğini kaydettiğinizden emin olun. Örneğin, defender-rest.
İlke Yöneticisi'nde, sonraki adıma geçmeden önce aşağıdaki bilgi listesini topladığınızdan emin olun.
- CPPM UserID
- CPPM Kullanıcı Kimliği Parolası
- CPPM OAuth2 API İstemci Kimliği
- CPPM OAuth2 API İstemci Gizli Anahtarı

ClearPass ile tümleştirmek için IoT için Defender'ı yapılandırma

Cihaz envanterini ClearPass'ta görüntülemeyi etkinleştirmek için IoT-ClearPass eşitlemesi için Defender'ı ayarlamanız gerekir. Eşitleme yapılandırması tamamlandığında, IoT için Defender platformu yeni uç noktaları keşfederken ClearPass policy Manager EndpointDb'yi güncelleştirir.

IoT için Defender algılayıcısı üzerinde ClearPass eşitlemesini yapılandırmak için:

IoT için Defender algılayıcısında Sistem ayarları>Tümleştirmeler>ClearPass'ı seçin.

Aşağıdaki parametreleri ayarlayın:

Parametre	Açıklama
Eşitlemeyi Etkinleştir	IoT için Defender ile ClearPass arasında eşitlemeyi etkinleştirmek için açın.
Eşitleme Sıklığı (dakika)	Eşitleme sıklığını dakika cinsinden tanımlayın. Varsayılan değer 60 dakikadır. En az 5 dakikadır.
ClearPass Konağı	IoT için Defender'ın eşitlendiği ClearPass sisteminin IP adresi.
İstemci kimliği	Verileri IoT için Defender ile eşitlemek için ClearPass'ta oluşturulan istemci kimliği.
İstemci Gizli Dizisi	Verileri IoT için Defender ile eşitlemek için ClearPass'ta oluşturulan istemci gizli dizisi.
Kullanıcı adı	ClearPass yönetici kullanıcısı.
Parola	ClearPass yönetici parolası.

Kaydet'i seçin.

ClearPass iletme kuralı tanımlama

Aruba'da IoT için Defender tarafından bulunan uyarıları görüntülemeyi etkinleştirmek için iletme kuralını ayarlamanız gerekir. Bu kural, IoT için Defender güvenlik altyapıları tarafından tanımlanan ICS ve SCADA güvenlik tehditleri hakkında hangi bilgilerin ClearPass'a gönderileceğini tanımlar.

Daha fazla bilgi için bkz . Şirket içi tümleştirmeler.

IoT için ClearPass ve Defender iletişimlerini izleme

Eşitleme başladıktan sonra, uç nokta verileri doğrudan İlke Yöneticisi EndpointDb'ye doldurulur, tümleştirme yapılandırma ekranından son güncelleştirme zamanını görüntüleyebilirsiniz.

ClearPass'a son eşitleme zamanını gözden geçirmek için:

IoT için Defender algılayıcısında oturum açın.
Sistem ayarları>Tümleştirmeleri>ClearPass'ı seçin.

Eşitleme çalışmıyorsa veya bir hata gösteriyorsa, büyük olasılıkla bazı bilgileri yakalamayı kaçırmışsınızdır. Kaydedilen verileri yeniden denetleyin.

Ayrıca, Konuk> Yönetici Istrasyon>Desteği>Uygulama Günlüğü'nden IoT için Defender ile ClearPass arasındaki API çağrılarını görüntüleyebilirsiniz.

Örneğin, IoT için Defender ile ClearPass arasındaki API günlükleri:

Sonraki adımlar

Microsoft ve iş ortağı hizmetleriyle tümleştirmeler

Share via