Bemærk
Adgang til denne side kræver godkendelse. Du kan prøve at logge på eller ændre mapper.
Adgang til denne side kræver godkendelse. Du kan prøve at ændre mapper.
I denne artikel beskrives det, hvordan du integrerer Palo Alto med Microsoft Defender til IoT for at få vist både Palo Alto- og Defender for IoT-oplysninger på et enkelt sted, eller du kan bruge Defender for IoT-data til at konfigurere blokeringshandlinger i Palo Alto.
Visning af både Defender for IoT- og Palo Alto-oplysninger giver SOC-analytikere flerdimensionel synlighed, så de kan blokere kritiske trusler hurtigere.
Bemærk!
Defender for IoT planlægger at trække Palo Alto-integrationen tilbage den 1. december 2025
Cloudbaserede integrationer
Tip
Cloudbaserede sikkerhedsintegrationer giver flere fordele i forhold til løsninger i det lokale miljø, f.eks. centraliseret, enklere sensoradministration og centraliseret sikkerhedsovervågning.
Andre fordele omfatter overvågning i realtid, effektiv ressourceanvendelse, øget skalerbarhed og robusthed, forbedret beskyttelse mod sikkerhedstrusler, forenklet vedligeholdelse og opdateringer og problemfri integration med tredjepartsløsninger.
Hvis du integrerer en cloudforbundet OT-sensor med Palo Alto, anbefaler vi, at du forbinder Defender for IoT med Microsoft Sentinel.
Installér en eller flere af følgende løsninger for at få vist både Palo Alto- og Defender for IoT-data i Microsoft Sentinel.
Microsoft Sentinel er en skalerbar cloudtjeneste til SIEM (Security Information Event Management) SOAR (Security Orchestration Automated Response). SOC-teams kan bruge integrationen mellem Microsoft Defender til IoT og Microsoft Sentinel til at indsamle data på tværs af netværk, registrere og undersøge trusler og reagere på hændelser.
I Microsoft Sentinel sender Defender for IoT-dataconnector og -løsningen standardsikkerhedsindhold til SOC-teams, hvilket hjælper dem med at få vist, analysere og reagere på ot-sikkerhedsbeskeder og forstå de genererede hændelser i det bredere organisatoriske trusselsindhold.
Du kan finde flere oplysninger under:
- Selvstudium: Opret forbindelse Microsoft Defender til IoT med Microsoft Sentinel
- Selvstudium: Undersøg og registrer trusler for IoT-enheder
Integrationer i det lokale miljø
Hvis du arbejder med en luftspaltet, lokalt administreret OT-sensor, skal du bruge en løsning i det lokale miljø for at få vist oplysningerne om Defender for IoT og Palo Alto på samme sted.
I sådanne tilfælde anbefaler vi, at du konfigurerer din OT-sensor til at sende syslog-filer direkte til Palo Alto eller bruger Defender til IoT's indbyggede API.
Du kan finde flere oplysninger under:
Integration i det lokale miljø (ældre)
I dette afsnit beskrives det, hvordan du integrerer og bruger Palo Alto med Microsoft Defender til IoT ved hjælp af den ældre integration i det lokale miljø, hvilket automatisk opretter nye politikker i Palo Alto Network's NMS og Panorama.
Vigtigt!
Den ældre Palo Alto Panorama-integration understøttes indtil oktober 2024 ved hjælp af sensorversion 23.1.3 og understøttes ikke i kommende større softwareversioner. For kunder, der bruger den ældre integration, anbefaler vi, at du flytter til en af følgende metoder:
- Hvis du integrerer din sikkerhedsløsning med cloudbaserede systemer, anbefaler vi, at du bruger dataconnectors via Microsoft Sentinel.
- I forbindelse med integrationer i det lokale miljø anbefaler vi, at du enten konfigurerer din OT-sensor til at videresende syslog-hændelser eller bruger Defender til IoT-API'er.
I følgende tabel kan du se, hvilke hændelser denne integration er beregnet til:
| Hændelsestype | Beskrivelse |
|---|---|
| Uautoriserede PLC-ændringer | En opdatering af stigelogikken eller firmwaren for en enhed. Denne besked kan repræsentere legitim aktivitet eller et forsøg på at kompromittere enheden. For eksempel skadelig kode, f.eks. en RAT (Remote Access Trojan), eller parametre, der medfører, at den fysiske proces, f.eks. en roterende turbine, fungerer på en usikker måde. |
| Protokolovertrædelse | En pakkestruktur eller feltværdi, der ikke overholder protokolspecifikationen. Denne besked kan repræsentere et forkert konfigureret program eller et ondsindet forsøg på at kompromittere enheden. Det kan f.eks. medføre en bufferoverløbsbetingelse på destinationsenheden. |
| PLC Stop | En kommando, der får enheden til at holde op med at fungere og dermed risikere den fysiske proces, der styres af PLC. |
| Industriel malware fundet i ICS-netværket | Malware, der manipulerer ICS-enheder ved hjælp af deres oprindelige protokoller, f.eks TRITON og Industroyer. Defender for IoT registrerer også it-malware, der er flyttet lateralt til ICS og SCADA-miljøet. Det kan f.eks. være Conficker, WannaCry og NotPetya. |
| Scanning af malware | Reconnaissance-værktøjer, der indsamler data om systemkonfiguration i en forudtilkædningsfase. For eksempel scanner Havex Trojan industrielle netværk for enheder, der bruger OPC, som er en standardprotokol, der bruges af Windows-baserede SCADA-systemer til at kommunikere med ICS-enheder. |
Når Defender for IoT registrerer en forudkonfigureret use case, føjes knappen Bloker kilde til beskeden. Når Defender for IoT-brugeren derefter vælger knappen Bloker kilde , opretter Defender for IoT politikker for Panorama ved at sende den foruddefinerede videresendelsesregel.
Politikken anvendes kun, når Panorama-administratoren pusher den til den relevante NGFW i netværket.
I it-netværk kan der være dynamiske IP-adresser. Derfor skal politikken for disse undernet være baseret på FQDN (DNS-navn) og ikke IP-adressen. Defender for IoT udfører omvendt opslag og matcher enheder med dynamisk IP-adresse med deres FQDN (DNS-navn) hvert konfigureret antal timer.
Derudover sender Defender for IoT en mail til den relevante Panorama-bruger for at give besked om, at en ny politik, der er oprettet af Defender for IoT, venter på godkendelse. I figuren nedenfor vises Defender for IoT- og Panorama-integrationsarkitekturen:
Forudsætninger
Før du begynder, skal du sørge for, at du har følgende forudsætninger:
- Bekræftelse fra Panorama-administratoren for at tillade automatisk blokering.
- Adgang til en Defender for IoT OT-sensor som Administration bruger.
Konfigurer DNS-opslag
Det første trin i oprettelsen af panoramablokeringspolitikker i Defender for IoT er at konfigurere DNS-opslag.
Sådan konfigurerer du DNS-opslag:
Log på din OT-sensor, og vælg Systemindstillinger>Netværk, der overvåger>OMVENDT DNS-opslag.
Aktivér til/fra-knappen Aktiveret for at aktivere opslaget.
I feltet Planlæg omvendt opslag skal du definere planlægningsindstillingerne:
- Efter bestemte tidspunkter: Angiv, hvornår det omvendte opslag skal udføres dagligt.
- Efter faste intervaller (i timer): Angiv hyppigheden for udførelse af det omvendte opslag.
Vælg + Tilføj DNS-server, og tilføj derefter følgende oplysninger:
Parameter Beskrivelse DNS-serveradresse Angiv IP-adressen eller FQDN for netværkets DNS-server. DNS-serverport Angiv den port, der bruges til at forespørge PÅ DNS-serveren. Antal navne Hvis du vil konfigurere DNS FQDN-opløsningen, skal du tilføje det antal domænemærkater, der skal vises.
Der vises op til 30 tegn fra venstre mod højre.Undernet Angiv undernetområdet dynamisk IP-adresse.
Det område, som Defender for IoT vender, opslager deres IP-adresse på DNS-serveren, så det svarer til deres aktuelle FQDN-navn.Hvis du vil sikre dig, at dine DNS-indstillinger er korrekte, skal du vælge Test. Testen sikrer, at DNS-serverens IP-adresse og DNS-serverport er angivet korrekt.
Vælg Gem.
Når du er færdig, skal du fortsætte med at oprette regler for videresendelse efter behov:
- Konfigurer øjeblikkelig blokering af en angivet Palo Alto-firewall
- Bloker mistænkelig trafik med Palo Alto-firewallen
Konfigurer øjeblikkelig blokering af en angivet Palo Alto-firewall
Konfigurer automatisk blokering i tilfælde som malwarerelaterede beskeder ved at konfigurere en defender for IoT-videresendelsesregel for at sende en blokeringskommando direkte til en bestemt Palo Alto-firewall.
Når Defender for IoT identificerer en kritisk trussel, sender den en besked, der indeholder en mulighed for at blokere den inficerede kilde. Hvis du vælger Blokkilde i oplysningerne for beskeden, aktiveres videresendelsesreglen, som sender blokeringskommandoen til den angivne Palo Alto-firewall.
Når du opretter din videresendelsesregel:
I området Handlinger skal du definere serveren, værten, porten og legitimationsoplysningerne for Palo Alto NGFW.
Konfigurer følgende indstillinger for at tillade blokering af mistænkelige kilder af Palo Alto-firewallen:
Parameter Beskrivelse Bloker ulovlige funktionskoder Protokolovertrædelser – Ugyldig feltværdi overtræder ICS-protokolspecifikationen (potentiel udnyttelse). Bloker uautoriseret PLC-programmering/firmwareopdateringer Uautoriseret PLC-ændringer. Bloker uautoriseret PLC-stop PLC stop (nedetid). Bloker malwarerelaterede beskeder Blokering af industrielle malwareforsøg (TRITON, NotPetya osv.).
Du kan vælge indstillingen Automatisk blokering.
I så fald udføres blokeringen automatisk og med det samme.Bloker uautoriseret scanning Uautoriseret scanning (potentiel rekognoscering).
Du kan få flere oplysninger under Videresend beskedoplysninger om OT i det lokale miljø.
Bloker mistænkelig trafik med Palo Alto-firewallen
Konfigurer en defender for IoT-videresendelsesregel for at blokere mistænkelig trafik med Palo Alto-firewallen.
Når du opretter din videresendelsesregel:
I området Handlinger skal du definere serveren, værten, porten og legitimationsoplysningerne for Palo Alto NGFW.
Definer, hvordan blokeringen skal udføres, på følgende måde:
- Efter IP-adresse: Opretter altid blokerende politikker på Panorama baseret på IP-adressen.
- Af FQDN eller IP-adresse: Opretter blokerende politikker på Panorama baseret på FQDN, hvis den findes, ellers af IP-adressen.
I feltet Mail skal du angive mailadressen for mailen med politikmeddelelsen.
Bemærk!
Sørg for, at du har konfigureret en mailserver i Defender for IoT. Hvis der ikke er angivet en mailadresse, sender Defender for IoT ikke en meddelelsesmail.
Konfigurer følgende indstillinger for at tillade blokering af mistænkelige kilder af Palo Alto Panorama:
Parameter Beskrivelse Bloker ulovlige funktionskoder Protokolovertrædelser – Ugyldig feltværdi overtræder ICS-protokolspecifikationen (potentiel udnyttelse). Bloker uautoriseret PLC-programmering/firmwareopdateringer Uautoriseret PLC-ændringer. Bloker uautoriseret PLC-stop PLC stop (nedetid). Bloker malwarerelaterede beskeder Blokering af industrielle malwareforsøg (TRITON, NotPetya osv.).
Du kan vælge indstillingen Automatisk blokering.
I så fald udføres blokeringen automatisk og med det samme.Bloker uautoriseret scanning Uautoriseret scanning (potentiel rekognoscering).
Du kan få flere oplysninger under Videresend beskedoplysninger om OT i det lokale miljø.
Bloker specifikke mistænkelige kilder
Når du har oprettet din videresendelsesregel, kan du bruge følgende trin til at blokere specifikke, mistænkelige kilder:
På siden Beskeder for OT-sensoren skal du finde og vælge den besked, der er relateret til Palo Alto-integrationen.
Hvis du automatisk vil blokere den mistænkelige kilde, skal du vælge Bloker kilde.
Vælg OK i dialogboksen Bekræft.
Den mistænkelige kilde er nu blokeret af Palo Alto firewall.