CyberArk を Microsoft Defender for IoT と統合する
この記事は、CyberArk と Microsoft Defender for IoT を統合し、使用する方法を学ぶのに役立ちます。
Defender for IoT は、ICS のほか、ICS 対応の脅威分析と機械学習を備えた IIoT サイバーセキュリティ プラットフォームを提供します。
脅威アクターは、侵害されたリモート アクセス資格情報を使用して、リモート デスクトップおよび VPN 接続経由で重要なインフラストラクチャ ネットワークにアクセスしています。 このアプローチでは、信頼関係接続を使用して、どのような OT 境界セキュリティでも容易にバイパスします。 資格情報は通常、毎日のタスクを実行するためにリモート アクセスを必要とする制御エンジニアやパートナー メンテナンス担当者などの特権ユーザーから盗まれます。
Defender for IoT と CyberARK の統合により、次のことが可能になります。
認可されていないリモート アクセスからの OT リスクを軽減する
OT のための継続的な監視および特権アクセス セキュリティを提供する
インシデント対応、脅威ハンティング、脅威モデリングを強化する
Defender for IoT アプライアンスは、Defender for IoT アプライアンス上の専用ネットワーク インターフェイスへの一方向の (受信) 接続経由で、スイッチやルーターなどのネットワーク デバイス上の SPAN ポート (ミラー ポート) 経由で OT ネットワークに接続されます。
専用ネットワーク インターフェイスはまた、Defender for IoT アプライアンスで一元管理と API アクセスのためにも提供されます。 このインターフェイスは、特権ユーザーを管理したり、リモート アクセス接続をセキュリティで保護したりするために組織のデータ センターにデプロイされた CyberArk PSM ソリューションとの通信にも使用されます。
この記事では、次の方法について説明します。
- CyberArk で PSM を構成する
- Defender for IoT で統合を有効にする
- 検出を表示および管理する
- 統合を停止する
前提条件
開始する前に、以下の前提条件を満たしていることを確認してください。
CyberARK バージョン 2.0。
企業内のすべての Defender for IoT アプライアンスに CLI でアクセスできることを確認します。
Azure アカウント。 Azure アカウントをまだお持ちではない場合は、今すぐ Azure 無料アカウントを作成できます。
管理者ユーザーとして Defender for IoT OT センサーへアクセスする。 詳細については、Defender for IoT を使用した OT 監視のためのオンプレミスのユーザーとロールに関するページを参照してください。
PSM CyberArk を構成する
CyberArk を Defender for IoT との通信を許可するように構成する必要があります。 この通信は、PSM を構成することによって実現されます。
PSM を構成するには:
c:\Program Files\PrivateArk\Server\dbparam.xml
ファイルを見つけて開きます。次のパラメーターを追加します:
[SYSLOG]
UseLegacySyslogFormat=Yes
SyslogTranslatorFile=Syslog\CyberX.xsl
SyslogServerIP=<CyberX Server IP>
SyslogServerProtocol=UDP
SyslogMessageCodeFilter=319,320,295,378,380
ファイルを保存してから閉じます。
Defender for IoT の syslog 構成ファイル
CyberX.xsl
をc:\Program Files\PrivateArk\Server\Syslog\CyberX.xsl
に配置します。Server Central Administration を開きます。
[信号機の停止] を選択してサーバーを停止します。
[信号機の開始] を選択してサーバーを起動します。
Defender for IoT で統合を有効にする
統合を有効にするには、オンプレミスの Defender for IoT 管理コンソールで Syslog サーバーを有効にする必要があります。 既定では、Syslog サーバーは、ポート 514 UDP を使用してシステムの IP アドレスをリッスンします。
Defender for IoT を構成するには:
オンプレミスの Defender for IoT 管理コンソールにサインインし、[システム設定] に移動します。
Syslog サーバーを [オン] に切り替えます。
(省略可能) CLI 経由でシステムにサインインすることによってポートを変更し、
/var/cyberx/properties/syslog.properties
に移動してlistener: 514/udp
に変更します。
検出を表示および管理する
Microsoft Defender for IoT と CyberArk PSM の間の統合は、syslog メッセージ経由で実行されます。 これらのメッセージは、PSM ソリューションによって Defender for IoT に送信され、Defender for IoT にリモート セッションまたは検証エラーを通知します。
Defender for IoT プラットフォームは PSM からこれらのメッセージを受信すると、それをネットワークに表示されているデータに関連付けます。 そのため、ネットワークへのすべてのリモート アクセス接続が、認可されていないユーザーではなく、PSM ソリューションによって生成されたことが検証されます。
アラートを表示する
Defender for IoT プラットフォームは、PSM によって認可されていないリモート セッションを識別するたびに、Unauthorized Remote Session
を発行します。 即座の調査を容易にするために、このアラートには、ソース デバイスと宛先デバイスの IP アドレスと名前も示されます。
アラートを表示するには:
イベント タイムライン
PSM では、リモート接続が認可されるたびに、それが Defender for IoT の [イベント タイムライン] ページに表示されます。 [イベント タイムライン] ページには、すべてのアラートと通知のタイムラインが表示されます。
イベント タイムラインを表示するには:
ネットワーク センサーにサインインし、[イベント タイムライン] を選択します。
[PSM リモート セッション] というタイトルのイベントを見つけます。
監査とフォレンジックス
管理者は、組み込みのデータ マイニング インターフェイスを使用して Defender for IoT プラットフォームにクエリを実行することによって、リモート アクセス セッションを監査および調査できます。 この情報を使用すると、ソースまたは宛先デバイス、プロトコル (RDP または SSH)、ソースと宛先のユーザー、タイムスタンプ、そのセッションが PSM を使用して認可されたかどうかなどのフォレンジックの詳細を含め、発生したすべてのリモート アクセス接続を識別できます。
監査および調査するには:
ネットワーク センサーにサインインし、[データ マイニング] を選択します。
[リモート アクセス] を選択します。
統合を停止する
任意の時点で、統合の通信を停止できます。
統合を停止するには:
オンプレミスの Defender for IoT 管理コンソールで、[システム設定] に移動します。
Syslog サーバーのオプションを [オフ] に切り替えます。