Integrace CyberArku s Microsoft Defenderem pro IoT

Tento článek vám pomůže naučit se integrovat a používat CyberArk s Microsoft Defenderem pro IoT.

Defender for IoT poskytuje platformy ICS a IIoT pro kybernetickou bezpečnost s využitím analýzy hrozeb s podporou ICS a strojového učení.

Aktéři hrozeb používají pro přístup k kritickým sítím infrastruktury prostřednictvím vzdálených klientských počítačů a připojení VPN přihlašovací údaje ke vzdálenému přístupu. Díky použití důvěryhodných připojení tento přístup snadno obchází veškeré zabezpečení hraniční sítě OT. Přihlašovací údaje jsou obvykle odcizeny od privilegovaných uživatelů, jako jsou řídicí technici a pracovníci údržby partnerů, kteří k provádění každodenních úloh vyžadují vzdálený přístup.

Integrace Defenderu pro IoT spolu s CyberARK umožňuje:

• Omezení rizik OT z neoprávněného vzdáleného přístupu

• Zajištění nepřetržitého monitorování a zabezpečení privilegovaného přístupu pro OT

• Vylepšení reakce na incidenty, proaktivního vyhledávání hrozeb a modelování hrozeb

Zařízení Defender for IoT je připojené k síti OT přes port SPAN (zrcadlový port) na síťových zařízeních, jako jsou přepínače a směrovače, prostřednictvím jednosměrného (příchozího) připojení k vyhrazeným síťovým rozhraním v zařízení Defender for IoT.

Vyhrazené síťové rozhraní je také k dispozici v zařízení Defender for IoT pro centralizovanou správu a přístup k rozhraní API. Toto rozhraní se také používá pro komunikaci s řešením CyberArk PSM nasazeným v datovém centru organizace ke správě privilegovaných uživatelů a zabezpečení připojení vzdáleného přístupu.

V tomto článku získáte informace o těchto tématech:

• Konfigurace PSM v CyberArku
• Povolení integrace v Defenderu pro IoT
• Zobrazení a správa detekcí
• Zastavení integrace

Požadavky

Než začnete, ujistěte se, že máte následující požadavky:

• CyberARK verze 2.0.

• Ověřte, že máte přístup rozhraní příkazového řádku ke všem zařízením Defender for IoT ve vašem podniku.

• Účet Azure. Pokud ještě nemáte účet Azure, můžete si ještě dnes vytvořit bezplatný účet Azure.

• Přístup k senzoru OT Defenderu for IoT jako Správa uživatel Další informace najdete v tématu Místní uživatelé a role pro monitorování OT pomocí Defenderu pro IoT.

Konfigurace PSM CyberArk

CyberArk musí být nakonfigurovaný tak, aby umožňoval komunikaci s Defenderem pro IoT. Tato komunikace se provádí konfigurací PSM.

Konfigurace PSM:

1. Vyhledejte a otevřete c:\Program Files\PrivateArk\Server\dbparam.xml soubor.

2. Přidejte následující parametry:

   [SYSLOG] UseLegacySyslogFormat=Yes SyslogTranslatorFile=Syslog\CyberX.xsl SyslogServerIP=<CyberX Server IP> SyslogServerProtocol=UDP SyslogMessageCodeFilter=319,320,295,378,380

3. Uložte soubor a zavřete ho.

4. Umístěte konfigurační soubor CyberX.xsl defenderu pro IoT syslog do c:\Program Files\PrivateArk\Server\Syslog\CyberX.xslsložky .

5. Otevřete centrální Správa serveru.

6. Výběrem možnosti Zastavit semafor zastavte server.

7. Výběrem možnosti Spustit semafor spusťte server.

Povolení integrace v Defenderu pro IoT

Aby bylo možné povolit integraci, musí být server Syslog povolený v programu Defender pro místní konzolu pro správu IoT. Ve výchozím nastavení server Syslog naslouchá IP adrese systému pomocí portu 514 UDP.

Konfigurace Defenderu pro IoT:

1. Přihlaste se k místní konzole pro správu Defenderu for IoT a přejděte na systémovou Nastavení.

2. Přepněte server Syslog na Zapnuto.

   

3. (Volitelné) Port můžete změnit tak, že se přihlásíte k systému přes rozhraní příkazového řádku, přejdete na /var/cyberx/properties/syslog.propertiesa pak přejdete na listener: 514/udp.

Zobrazení a správa detekcí

Integrace mezi Microsoft Defenderem pro IoT a CyberArk PSM se provádí prostřednictvím zpráv syslogu. Tyto zprávy odesílá řešení PSM do programu Defender for IoT a upozorní Defender for IoT na případné vzdálené relace nebo selhání ověřování.

Jakmile platforma Defender for IoT přijme tyto zprávy z PSM, koreluje je s daty, která vidí v síti. Ověření, že všechna připojení vzdáleného přístupu k síti byla generována řešením PSM, a ne neoprávněným uživatelem.

Zobrazení upozornění

Pokaždé, když platforma Defender for IoT identifikuje vzdálené relace, které psM neautorizoval, vydá Unauthorized Remote Sessionchybu . Aby se usnadnilo okamžité šetření, zobrazí se v upozornění také IP adresy a názvy zdrojových a cílových zařízení.

Zobrazení výstrah:

1. Přihlaste se k místní konzole pro správu a pak vyberte Výstrahy.

2. V seznamu výstrah vyberte výstrahu s názvem Neautorizovaná vzdálená relace.

   

Časová osa události

Kdykoli PSM autorizuje vzdálené připojení, zobrazí se na stránce Časová osa událostí Defenderu pro IoT. Na stránce Časová osa události se zobrazuje časová osa všech upozornění a oznámení.

Zobrazení časové osy události:

1. Přihlaste se k síťovému senzoru a vyberte časovou osu události.

2. Vyhledejte libovolnou událost s názvem PSM Remote Session.

Auditování a forenzní analýza

Správa istrátory můžou auditovat a zkoumat relace vzdáleného přístupu dotazováním platformy Defender for IoT prostřednictvím integrovaného rozhraní pro dolování dat. Tyto informace se dají použít k identifikaci všech připojení vzdáleného přístupu, ke kterým došlo, včetně forenzních podrobností, jako jsou z nebo do zařízení, protokolů (RDP nebo SSH), zdrojových a cílových uživatelů, časových razítek a toho, jestli byly relace autorizované pomocí PSM.

Auditování a prošetření:

1. Přihlaste se ke svému síťovému senzoru a pak vyberte Dolování dat.

2. Vyberte vzdálený přístup.

Zastavení integrace

V jakémkoli okamžiku můžete integraci zastavit v komunikaci.

Zastavení integrace:

1. V místní konzole pro správu Defenderu pro IoT přejděte na systémovou Nastavení.

2. Přepněte možnost Syslog Server na vypnuto .

   

Další kroky

Integrace s Microsoftem a partnerskými službami