Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
In diesem Artikel wird beschrieben, wie Sie Palo Alto in Microsoft Defender für IoT integrieren, um Palo Alto- und Defender für IoT-Informationen an einem zentralen Ort anzuzeigen oder Defender für IoT-Daten zum Konfigurieren von Blockierungsaktionen in Palo Alto zu verwenden.
Durch das gemeinsame Anzeigen von Defender für IoT- und Palo Alto-Informationen erhalten SOC-Analysten mehrdimensionale Sichtbarkeit, sodass sie kritische Bedrohungen schneller blockieren können.
Hinweis
Defender für IoT plant die Einstellung der Palo Alto-Integration am 1. Dezember 2025
Cloudbasierte Integrationen
Tipp
Cloudbasierte Sicherheitsintegrationen bieten mehrere Vorteile gegenüber lokalen Lösungen, z. B. zentralisierte, einfachere Sensorverwaltung und zentralisierte Sicherheitsüberwachung.
Weitere Vorteile sind Echtzeitüberwachung, effiziente Ressourcennutzung, erhöhte Skalierbarkeit und Stabilität, verbesserter Schutz vor Sicherheitsbedrohungen, vereinfachte Wartung und Updates sowie eine nahtlose Integration in Drittanbieterlösungen.
Wenn Sie einen mit der Cloud verbundenen OT-Sensor in Palo Alto integrieren, empfehlen wir Ihnen, Defender für IoT mit Microsoft Sentinel zu verbinden.
Installieren Sie eine oder mehrere der folgenden Lösungen, um Palo Alto- und Defender für IoT-Daten in Microsoft Sentinel anzuzeigen.
Microsoft Sentinel ist ein skalierbarer Clouddienst für security information event management (SIEM) Security Orchestration Automated Response (SOAR). SOC-Teams können die Integration zwischen Microsoft Defender für IoT und Microsoft Sentinel nutzen, um Netzwerkübergreifende Daten zu sammeln, Bedrohungen zu erkennen und zu untersuchen und auf Vorfälle zu reagieren.
In Microsoft Sentinel stellt der Defender für IoT-Datenconnector und die -Lösung sofort einsatzbereite Sicherheitsinhalte für SOC-Teams bereit und hilft ihnen dabei, OT-Sicherheitswarnungen anzuzeigen, zu analysieren und darauf zu reagieren und die generierten Vorfälle in den umfassenderen Bedrohungsinhalten der Organisation zu verstehen.
Weitere Informationen finden Sie unter:
- Tutorial: Verbinden von Microsoft Defender für IoT mit Microsoft Sentinel
- Tutorial: Untersuchen und Erkennen von Bedrohungen für IoT-Geräte
Lokale Integrationen
Wenn Sie mit einem air-gapped, lokal verwalteten OT-Sensor arbeiten, benötigen Sie eine lokale Lösung, um Defender für IoT- und Palo Alto-Informationen an derselben Stelle anzuzeigen.
In solchen Fällen empfiehlt es sich, Ihren OT-Sensor so zu konfigurieren, dass Syslog-Dateien direkt an Palo Alto gesendet werden, oder die integrierte API von Defender für IoT verwenden.
Weitere Informationen finden Sie unter:
Lokale Integration (Legacy)
In diesem Abschnitt wird beschrieben, wie Sie Palo Alto mit Microsoft Defender für IoT mithilfe der älteren lokalen Integration integrieren und verwenden, die automatisch neue Richtlinien in nms und Panorama des Palo Alto Network erstellt.
Wichtig
Die Ältere Palo Alto Panorama-Integration wird bis Oktober 2024 mit Sensorversion 23.1.3 unterstützt und wird in zukünftigen Hauptsoftwareversionen nicht unterstützt. Kunden, die die Legacyintegration verwenden, empfehlen wir, zu einer der folgenden Methoden zu wechseln:
- Wenn Sie Ihre Sicherheitslösung in cloudbasierte Systeme integrieren, empfiehlt es sich, Datenconnectors über Microsoft Sentinel zu verwenden.
- Für lokale Integrationen wird empfohlen, entweder Ihren OT-Sensor für die Weiterleitung von Syslog-Ereignissen zu konfigurieren oder Defender für IoT-APIs zu verwenden.
Die folgende Tabelle zeigt, für welche Incidents diese Integration vorgesehen ist:
| Incidenttyp | Beschreibung |
|---|---|
| Nicht autorisierte SPS-Änderungen | Ein Update der Leiterlogik oder Firmware eines Geräts. Diese Warnung kann eine legitime Aktivität oder einen Versuch darstellen, das Gerät zu kompromittieren. Beispielsweise bösartiger Code, z. B. ein Remotezugriffs-Trojaner (RAT), oder Parameter, die dazu führen, dass der physische Prozess, z. B. eine sich drehende Turbine, unsicher funktioniert. |
| Protokollverletzung | Eine Paketstruktur oder ein Feldwert, der gegen die Protokollspezifikation verstößt. Diese Warnung kann eine falsch konfigurierte Anwendung oder einen böswilligen Versuch darstellen, das Gerät zu kompromittieren. Dies verursacht z. B. eine Pufferüberlaufbedingung im Zielgerät. |
| SPS-Stopp | Ein Befehl, der bewirkt, dass das Gerät nicht mehr funktioniert und dadurch den physischen Prozess riskiert, der von der SPS gesteuert wird. |
| Industrielle Schadsoftware im ICS-Netzwerk gefunden | Schadsoftware, die ICS-Geräte mit ihren nativen Protokollen wie TRITON und Industroyer manipuliert. Defender für IoT erkennt auch IT-Schadsoftware, die seitlich in die ICS- und SCADA-Umgebung verschoben wurde. Beispiel: Conficker, WannaCry und NotPetya. |
| Scannen von Schadsoftware | Reconnaissance-Tools, die Daten zur Systemkonfiguration in einer Vorangriffsphase sammeln. Der Havex-Trojaner scannt beispielsweise industrielle Netzwerke nach Geräten mithilfe von OPC, einem Standardprotokoll, das von Windows-basierten SCADA-Systemen für die Kommunikation mit ICS-Geräten verwendet wird. |
Wenn Defender für IoT einen vorkonfigurierten Anwendungsfall erkennt, wird der Warnung die Schaltfläche Quelle blockieren hinzugefügt. Wenn der Defender für IoT-Benutzer dann die Schaltfläche Quelle blockieren auswählt, erstellt Defender für IoT Richtlinien für Panorama, indem die vordefinierte Weiterleitungsregel gesendet wird.
Die Richtlinie wird nur angewendet, wenn der Panorama-Administrator sie an die relevante NGFW im Netzwerk pusht.
In IT-Netzwerken gibt es möglicherweise dynamische IP-Adressen. Daher muss die Richtlinie für diese Subnetze auf dem FQDN (DNS-Name) und nicht auf der IP-Adresse basieren. Defender für IoT führt reverse lookup durch und gleicht Geräte mit dynamischer IP-Adresse mit ihrem FQDN (DNS-Name) jede konfigurierte Anzahl von Stunden ab.
Darüber hinaus sendet Defender für IoT eine E-Mail an den relevanten Panorama-Benutzer, um zu benachrichtigen, dass eine von Defender für IoT erstellte neue Richtlinie auf die Genehmigung wartet. Die folgende Abbildung zeigt die Integrationsarchitektur von Defender für IoT und Panorama:
Voraussetzungen
Stellen Sie zunächst sicher, dass die folgenden Voraussetzungen erfüllt sind:
- Bestätigung durch den Panorama-Administrator, die automatische Blockierung zuzulassen.
- Zugriff auf einen Defender für IoT OT-Sensor als Admin Benutzer.
Konfigurieren der DNS-Suche
Der erste Schritt beim Erstellen von Panorama-Blockierungsrichtlinien in Defender für IoT besteht darin, die DNS-Suche zu konfigurieren.
So konfigurieren Sie die DNS-Suche:
Melden Sie sich bei Ihrem OT-Sensor an, und wählen Sie Systemeinstellungen>Netzwerküberwachung>DNS Reverse Lookup aus.
Aktivieren Sie die Umschaltfläche Aktiviert , um die Suche zu aktivieren.
Definieren Sie im Feld Reverse Lookup planen die Planungsoptionen:
- Nach bestimmten Zeiten: Geben Sie an, wann das Reverse-Lookup täglich ausgeführt werden soll.
- Nach festen Intervallen (in Stunden): Legen Sie die Häufigkeit für die Durchführung des Reverse-Lookups fest.
Wählen Sie + DNS-Server hinzufügen aus, und fügen Sie dann die folgenden Details hinzu:
Parameter Beschreibung DNS-Serveradresse Geben Sie die IP-Adresse oder den FQDN des DNS-Netzwerkservers ein. DNS-Serverport Geben Sie den Port ein, der zum Abfragen des DNS-Servers verwendet wird. Anzahl der Bezeichnungen Fügen Sie zum Konfigurieren der DNS-FQDN-Auflösung die Anzahl der anzuzeigenden Domänenbezeichnungen hinzu.
Von links nach rechts werden bis zu 30 Zeichen angezeigt.Subnetze Legen Sie den Subnetzbereich für dynamische IP-Adressen fest.
Der Bereich, für den Defender für IoT die IP-Adresse auf dem DNS-Server umdreht, um dem aktuellen FQDN-Namen zu entsprechen.Um sicherzustellen, dass Ihre DNS-Einstellungen korrekt sind, wählen Sie Testen aus. Der Test stellt sicher, dass die IP-Adresse des DNS-Servers und der DNS-Serverport ordnungsgemäß festgelegt sind.
Klicken Sie auf Speichern.
Wenn Sie fertig sind, fahren Sie fort, indem Sie nach Bedarf Weiterleitungsregeln erstellen:
- Konfigurieren der sofortigen Blockierung durch eine angegebene Palo Alto-Firewall
- Blockieren sie verdächtigen Datenverkehr mit der Palo Alto-Firewall
Konfigurieren der sofortigen Blockierung durch eine angegebene Palo Alto-Firewall
Konfigurieren Sie die automatische Blockierung in Fällen wie schadsoftwarebezogenen Warnungen, indem Sie eine Defender für IoT-Weiterleitungsregel so konfigurieren, dass ein Blockierungsbefehl direkt an eine bestimmte Palo Alto-Firewall gesendet wird.
Wenn Defender für IoT eine kritische Bedrohung identifiziert, sendet es eine Warnung, die eine Option zum Blockieren der infizierten Quelle enthält. Wenn Sie in den Details der Warnung Quelle blockieren auswählen, wird die Weiterleitungsregel aktiviert, die den Blockierungsbefehl an die angegebene Palo Alto-Firewall sendet.
Beim Erstellen Ihrer Weiterleitungsregel:
Definieren Sie im Bereich Aktionen den Server, den Host, den Port und die Anmeldeinformationen für palo Alto NGFW.
Konfigurieren Sie die folgenden Optionen, um das Blockieren verdächtiger Quellen durch die Palo Alto-Firewall zuzulassen:
Parameter Beschreibung Blockieren ungültiger Funktionscodes Protokollverletzungen: Unzulässiger Feldwert, der gegen die ICS-Protokollspezifikation verstößt (potenzieller Exploit). Nicht autorisierte SPS-Programmierung/Firmwareupdates blockieren Nicht autorisierte SPS-Änderungen. Blockieren eines nicht autorisierten SPS-Stopps SPS-Stopp (Downtime). Blockieren von Warnungen im Zusammenhang mit Schadsoftware Blockieren industrieller Schadsoftwareversuche (TRITON, NotPetya usw.).
Sie können die Option Automatische Blockierung auswählen.
In diesem Fall wird die Blockierung automatisch und sofort ausgeführt.Nicht autorisierte Überprüfungen blockieren Nicht autorisierte Überprüfung (potenzielle Reconnaissance).
Weitere Informationen finden Sie unter Weiterleiten von lokalen OT-Warnungsinformationen.
Blockieren sie verdächtigen Datenverkehr mit der Palo Alto-Firewall
Konfigurieren Sie eine Defender für IoT-Weiterleitungsregel, um verdächtigen Datenverkehr mit der Palo Alto-Firewall zu blockieren.
Beim Erstellen Ihrer Weiterleitungsregel:
Definieren Sie im Bereich Aktionen den Server, den Host, den Port und die Anmeldeinformationen für palo Alto NGFW.
Definieren Sie wie folgt, wie die Blockierung ausgeführt wird:
- Nach IP-Adresse: Erstellt immer blockierende Richtlinien für Panorama basierend auf der IP-Adresse.
- Nach FQDN oder IP-Adresse: Erstellt Blockierende Richtlinien für Panorama basierend auf dem FQDN, sofern vorhanden, andernfalls nach der IP-Adresse.
Geben Sie im Feld Email die E-Mail-Adresse für die Richtlinienbenachrichtigung ein.
Hinweis
Stellen Sie sicher, dass Sie einen E-Mail-Server in Defender für IoT konfiguriert haben. Wenn keine E-Mail-Adresse eingegeben wird, sendet Defender für IoT keine Benachrichtigungs-E-Mail.
Konfigurieren Sie die folgenden Optionen, um das Blockieren der verdächtigen Quellen durch palo Alto Panorama zuzulassen:
Parameter Beschreibung Blockieren ungültiger Funktionscodes Protokollverletzungen: Unzulässiger Feldwert, der gegen die ICS-Protokollspezifikation verstößt (potenzieller Exploit). Nicht autorisierte SPS-Programmierung/Firmwareupdates blockieren Nicht autorisierte SPS-Änderungen. Blockieren eines nicht autorisierten SPS-Stopps SPS-Stopp (Downtime). Blockieren von Warnungen im Zusammenhang mit Schadsoftware Blockieren industrieller Schadsoftwareversuche (TRITON, NotPetya usw.).
Sie können die Option Automatische Blockierung auswählen.
In diesem Fall wird die Blockierung automatisch und sofort ausgeführt.Nicht autorisierte Überprüfungen blockieren Nicht autorisierte Überprüfung (potenzielle Reconnaissance).
Weitere Informationen finden Sie unter Weiterleiten von lokalen OT-Warnungsinformationen.
Blockieren bestimmter verdächtiger Quellen
Nachdem Sie Ihre Weiterleitungsregel erstellt haben, führen Sie die folgenden Schritte aus, um bestimmte verdächtige Quellen zu blockieren:
Suchen Sie auf der Seite Warnungen des OT-Sensors die Warnung im Zusammenhang mit der Palo Alto-Integration, und wählen Sie sie aus.
Um die verdächtige Quelle automatisch zu blockieren, wählen Sie Quelle blockieren aus.
Wählen Sie im Dialogfeld Bitte bestätigen die Option OK aus.
Die verdächtige Quelle wird jetzt von der Palo Alto-Firewall blockiert.