Integre o CyberArk com o Microsoft Defender para IoT
Este artigo ajuda você a aprender como integrar e usar o CyberArk com o Microsoft Defender para IoT.
O Defender for IoT oferece plataformas de segurança cibernética ICS e IIoT com análise de ameaças e aprendizado de máquina com reconhecimento de ICS.
Os agentes de ameaças estão usando credenciais de acesso remoto comprometidas para acessar redes de infraestrutura crítica por meio de área de trabalho remota e conexões VPN. Ao usar conexões confiáveis, essa abordagem ignora facilmente qualquer segurança de perímetro OT. As credenciais geralmente são roubadas de usuários privilegiados, como engenheiros de controle e pessoal de manutenção de parceiros, que precisam de acesso remoto para executar tarefas diárias.
A integração do Defender for IoT com o CyberARK permite:
Reduza os riscos de OT de acesso remoto não autorizado
Fornecer monitoramento contínuo e segurança de acesso privilegiado para OT
Melhore a resposta a incidentes, a caça a ameaças e a modelagem de ameaças
O dispositivo Defender for IoT está conectado à rede OT por meio de uma porta SPAN (porta espelho) em dispositivos de rede, como switches e roteadores, por meio de uma conexão unidirecional (entrada) com as interfaces de rede dedicadas no dispositivo Defender for IoT.
Uma interface de rede dedicada também é fornecida no dispositivo Defender for IoT para gerenciamento centralizado e acesso à API. Essa interface também é usada para se comunicar com a solução CyberArk PSM que é implantada no data center da organização para gerenciar usuários privilegiados e conexões de acesso remoto seguras.
Neste artigo, vai aprender a:
- Configurar o PSM no CyberArk
- Habilite a integração no Defender for IoT
- Exibir e gerenciar deteções
- Pare a integração
Pré-requisitos
Antes de começar, certifique-se de que tem os seguintes pré-requisitos:
CyberARK versão 2.0.
Verifique se você tem acesso à CLI a todos os dispositivos Defender for IoT em sua empresa.
Uma conta do Azure. Se você ainda não tiver uma conta do Azure, poderá criar sua conta gratuita do Azure hoje.
Acesso a um sensor OT do Defender for IoT como usuário Admin. Para obter mais informações, consulte Usuários e funções locais para monitoramento de OT com o Defender for IoT.
Configurar o PSM CyberArk
O CyberArk deve ser configurado para permitir a comunicação com o Defender for IoT. Essa comunicação é realizada configurando o PSM.
Para configurar o PSM:
Localize e abra o
c:\Program Files\PrivateArk\Server\dbparam.xml
arquivo.Adicione os seguintes parâmetros:
[SYSLOG]
UseLegacySyslogFormat=Yes
SyslogTranslatorFile=Syslog\CyberX.xsl
SyslogServerIP=<CyberX Server IP>
SyslogServerProtocol=UDP
SyslogMessageCodeFilter=319,320,295,378,380
Salve o arquivo e feche-o.
Coloque o arquivo
CyberX.xsl
de configuração syslog do Defender for IoT emc:\Program Files\PrivateArk\Server\Syslog\CyberX.xsl
.Abra a Administração Central do Servidor.
Selecione o semáforo Stop para parar o servidor.
Selecione o semáforo Iniciar para iniciar o servidor.
Habilite a integração no Defender for IoT
Para habilitar a integração, o Syslog Server precisa ser habilitado no console de gerenciamento local do Defender for IoT. Por padrão, o servidor Syslog escuta o endereço IP do sistema usando a porta 514 UDP.
Para configurar o Defender para IoT:
Inicie sessão na consola de gestão local do Defender for IoT e, em seguida, navegue até Definições do Sistema.
Alterne o servidor Syslog para Ativado.
(Opcional) Altere a porta iniciando sessão no sistema através da CLI, navegando para e alterando para
/var/cyberx/properties/syslog.properties
listener: 514/udp
.
Exibir e gerenciar deteções
A integração entre o Microsoft Defender for IoT e o CyberArk PSM é realizada através de mensagens syslog. Essas mensagens são enviadas pela solução PSM para o Defender for IoT, notificando o Defender for IoT sobre quaisquer sessões remotas ou falhas de verificação.
Uma vez que a plataforma Defender for IoT recebe essas mensagens do PSM, ela as correlaciona com os dados que vê na rede. Assim, validando que quaisquer ligações de acesso remoto à rede foram geradas pela solução PSM e não por um utilizador não autorizado.
Ver alertas
Sempre que a plataforma Defender for IoT identifica sessões remotas que não foram autorizadas pelo PSM, emite um Unauthorized Remote Session
arquivo . Para facilitar a investigação imediata, o alerta também mostra os endereços IP e nomes dos dispositivos de origem e destino.
Para visualizar alertas:
Inicie sessão na consola de gestão local e, em seguida, selecione Alertas.
Na lista de alertas, selecione o alerta intitulado Sessão remota não autorizada.
Cronograma do evento
Sempre que o PSM autoriza uma conexão remota, ela fica visível na página Linha do tempo do evento do Defender for IoT. A página Linha do tempo do evento mostra uma linha do tempo de todos os alertas e notificações.
Para visualizar a linha do tempo do evento:
Inicie sessão no sensor de rede e, em seguida, selecione Linha cronológica do evento.
Localize qualquer evento intitulado PSM Remote Session.
Auditoria e perícia forense
Os administradores podem auditar e investigar sessões de acesso remoto consultando a plataforma Defender for IoT por meio de sua interface de mineração de dados integrada. Essas informações podem ser usadas para identificar todas as conexões de acesso remoto que ocorreram, incluindo detalhes forenses, como de ou para dispositivos, protocolos (RDP ou SSH), usuários de origem e destino, carimbos de data/hora e se as sessões foram autorizadas usando o PSM.
Para auditar e investigar:
Inicie sessão no sensor de rede e, em seguida, selecione Mineração de dados.
Selecione Acesso Remoto.
Parar a integração
A qualquer momento, você pode interromper a integração de se comunicar.
Para interromper a integração:
No console de gerenciamento local do Defender for IoT, navegue até Configurações do Sistema.
Alterne a opção Syslog Server para Off .