分享方式:

與 CyberArk 整合適用於 IoT 的 Microsoft Defender

  • 文章

此文章可協助您了解如何整合和使用 CyberArk 與適用於 IoT 的 Microsoft Defender。

適用於 IoT 的 Defender 會提供的 ICS 和 IIoT 網路安全性平台,其中具有 ICS 感知威脅分析和機器學習。

威脅執行者會使用遭入侵的遠端存取認證,透過遠端桌面和 VPN 連線來存取重要的基礎結構網路。 使用信任的連線,此方法可輕鬆地略過任何 OT 周邊安全性。 認證通常遭具特殊權限的使用者竊取,例如控制工程師和合作夥伴維護人員,需要遠端存取才能執行每日工作。

與 CyberARK 整合適用於 IoT 的 Defender 允許您:

  • 降低未經授權的遠端存取 OT 風險

  • 提供 OT 的持續監視和使用權限存取安全性

  • 增強事件回應、威脅搜捕和威脅模型

適用於 IoT 的 Defender 設備透過 SPAN 連接埠 (鏡像埠) 連線到 OT 網路,例如交換器,以及透過單向 (輸入) 連線至適用於 IoT 設備的 Defender 網路絡介面路由器。

專用的網路介面也會在適用於 IoT 設備的 Defender 中提供,以進行集中式管理和 API 存取。 此介面也用於與組織資料中心內部署的 CyberArk PSM 解決方案通訊,以管理具特殊權限的使用者和保護遠端存取的連線。

The CyberArk PSM solution deployment

在本文中,您將學會如何:

  • 在 CyberArk 中設定 PSM
  • 在適用於 IoT 的 Defender 中啟用整合
  • 檢視和管理偵測
  • 停止整合

必要條件

開始之前,請先確定您已擁有下列必要條件:

設定 PSM CyberArk

CyberArk 必須設定為允許與適用於 IoT 的 Defender 通訊。 此通訊為藉由設定 PSM 來完成。

若要設定 PSM

  1. 找出 c:\Program Files\PrivateArk\Server\dbparam.xml 並加以開啟。

  2. 新增下列參數:

    [SYSLOG] UseLegacySyslogFormat=Yes SyslogTranslatorFile=Syslog\CyberX.xsl SyslogServerIP=<CyberX Server IP> SyslogServerProtocol=UDP SyslogMessageCodeFilter=319,320,295,378,380

  3. 儲存檔案,然後將其關閉。

  4. 將適用於 IoT syslog 的 Defender 組態檔案CyberX.xsl置於c:\Program Files\PrivateArk\Server\Syslog\CyberX.xsl中。

  5. 開啟伺服器管理中心

  6. 選取 [停止號誌燈],以停止伺服器。

  7. 選取 [啟動交通燈],以啟動伺服器。

在適用於 IoT 的 Defender 中啟用整合

如要啟用整合,必須在適用於 IoT 的 Defender 內部部署管理主控台內啟用 Syslog 伺服器。 根據預設,Syslog 伺服器會使用埠 514 UDP 接聽系統的 IP 位址。

如要設定適用於 IoT 的 Defender

  1. 登入適用於 IoT 的 Defender 內部部署管理主控台,然後瀏覽至 [系統設定]

  2. 將 Syslog 伺服器切換為 [開啟]

    Screenshot of the syslog server toggled to on.

  3. (選用) 透過 CLI 登入系統、瀏覽至 /var/cyberx/properties/syslog.properties,然後變更為 listener: 514/udp,以變更連接埠。

檢視和管理偵測

適用於 IoT 的 Microsoft Defender 與 CyberArk PSM 間的整合為透過 syslog 訊息執行。 PSM 解決方案會將這些訊息傳送至適用於 IoT 的 Defender、通知適用於 IoT 任何遠端工作階段,或驗證失敗的 Defender。

適用於 IoT 的 Defender 從 PSM 收到這些訊息後,就將訊息與網路上所見的資料相互關聯。 因此,確認對網路的任何遠端存取連線由 PSM 解決方案產生,而不是未獲授權的使用者。

檢視警示

每當適用於 IoT 平台的 Defender 發現不是由 PSM 授權的遠端工作階段時,就會發出 Unauthorized Remote Session。 為協助立即調查,警示也會顯示來源和目的地裝置的 IP 位址和名稱。

若要檢視警示:

  1. 登入內部部署管理主控台,然後選取 [警示]

  2. 從警示清單中,選取標題為 [未經授權遠端工作階段] 的警示。

    The Unauthorized Remote Session alert.

事件時間軸

每當 PSM 授權遠端連線時,就會顯示在適用於 IoT 的 Defender [事件時程表] 頁面。 [事件時程表] 頁面會顯示所有警示和通知的時程表。

如要檢視事件時程表

  1. 登入網路感應器,然後選取 [事件時間軸]

  2. 找出標題為 PSM 遠端工作階段的任何事件。

稽核與鑑識

系統管理員可透過其內建資料採礦介面查詢適用於 IoT 平台的 Defender,藉以稽核及調查遠端存取工作階段。 此項資訊可用來識別發生的所有遠端存取連線,包含從或到裝置、通訊協定 (RDP 或 SSH)、來源和目的地使用者、時間戳記,以及工作階段是否已使用 PSM 獲得授權。

如要稽核並調查

  1. 登入網路感應器,然後選取 [資料採礦]

  2. 選取 [遠端存取]

停止整合

在任何時間點,您都可以從通訊停止整合。

停止整合

  1. 在適用於 IoT 的 Defender 內部部署管理主控台內,瀏覽至 [系統設定]

  2. 將 [Syslog 伺服器] 選項切換為 [關閉]

    A view of th Server status.

下一步

與 Microsoft 和合作夥伴服務的整合