Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
En este artículo se describe cómo integrar Palo Alto con Microsoft Defender para IoT, con el fin de ver la información de Palo Alto y Defender para IoT en un solo lugar, o usar datos de Defender para IoT para configurar acciones de bloqueo en Palo Alto.
La visualización conjunta de la información de Defender para IoT y Palo Alto proporciona a los analistas de SOC visibilidad multidimensional para que puedan bloquear las amenazas críticas más rápido.
Nota:
Defender para IoT planea retirar la integración de Palo Alto el 1 de diciembre de 2025
Integraciones basadas en la nube
Sugerencia
Las integraciones de seguridad basadas en la nube proporcionan varias ventajas con respecto a las soluciones locales, como la administración centralizada, más sencilla de los sensores y la supervisión centralizada de la seguridad.
Otras ventajas incluyen la supervisión en tiempo real, el uso eficaz de recursos, el aumento de la escalabilidad y la solidez, la protección mejorada contra amenazas de seguridad, el mantenimiento y las actualizaciones simplificados, y la integración sin problemas con soluciones de terceros.
Si va a integrar un sensor OT conectado a la nube con Palo Alto, se recomienda conectar Defender para IoT a Microsoft Sentinel.
Instale una o varias de las siguientes soluciones para ver los datos de Palo Alto y Defender para IoT en Microsoft Sentinel.
Microsoft Sentinel es un servicio en la nube escalable para la respuesta automatizada de orquestación de seguridad (SOAR) de administración de eventos de información de seguridad (SIEM). Los equipos de SOC pueden usar la integración entre Microsoft Defender para IoT y Microsoft Sentinel para recopilar datos entre redes, detectar e investigar amenazas y responder a incidentes.
En Microsoft Sentinel, el conector de datos y la solución de Defender para IoT ofrecen contenido de seguridad de fábrica a los equipos de SOC, lo que les ayuda a ver, analizar y responder a las alertas de seguridad de OT y a comprender los incidentes generados en el contenido de amenazas de la organización más amplio.
Para más información, vea:
- Tutorial: Conexión de Microsoft Defender para IoT con Microsoft Sentinel
- Tutorial: Investigación y detección de amenazas para dispositivos IoT
Integraciones locales
Si trabaja con un sensor OT administrado por aire y administrado localmente, necesitará una solución local para ver la información de Defender para IoT y Palo Alto en el mismo lugar.
En tales casos, se recomienda configurar el sensor ot para enviar archivos syslog directamente a Palo Alto o usar la API integrada de Defender para IoT.
Para más información, vea:
Integración local (heredada)
En esta sección se describe cómo integrar y usar Palo Alto con Microsoft Defender para IoT mediante la integración local heredada, que crea automáticamente nuevas directivas en NMS y Panorama de Palo Alto Network.
Importante
La integración heredada de Palo Alto Panorama se admite hasta octubre de 2024 mediante la versión del sensor 23.1.3 y no se admitirá en las próximas versiones de software principales. Para los clientes que usan la integración heredada, se recomienda pasar a uno de los métodos siguientes:
- Si va a integrar la solución de seguridad con sistemas basados en la nube, se recomienda usar conectores de datos a través de Microsoft Sentinel.
- En el caso de las integraciones locales, se recomienda configurar el sensor ot para reenviar eventos de Syslog o usar las API de Defender para IoT.
En la tabla siguiente se muestran los incidentes para los que está pensada esta integración:
| Tipo de incidente | Descripción |
|---|---|
| Cambios de PLC no autorizados | Actualización de la lógica de escalera o firmware de un dispositivo. Esta alerta puede representar una actividad legítima o un intento de poner en peligro el dispositivo. Por ejemplo, código malintencionado, como un troyano de acceso remoto (RAT) o parámetros que hacen que el proceso físico, como una turbina giratoria, funcione de forma no segura. |
| Infracción del protocolo | Estructura de paquetes o valor de campo que infringe la especificación del protocolo. Esta alerta puede representar una aplicación mal configurada o un intento malintencionado de poner en peligro el dispositivo. Por ejemplo, provocar una condición de desbordamiento de búfer en el dispositivo de destino. |
| PLC Stop | Un comando que hace que el dispositivo deje de funcionar, lo que arriesga el proceso físico que está siendo controlado por el PLC. |
| Malware industrial encontrado en la red ICS | Malware que manipula dispositivos ICS mediante sus protocolos nativos, como TRITON e Industroyer. Defender para IoT también detecta malware de TI que se ha movido lateralmente al entorno de ICS y SCADA. Por ejemplo, Conficker, WannaCry y NotPetya. |
| Examen de malware | Herramientas de reconocimiento que recopilan datos sobre la configuración del sistema en una fase previa al ataque. Por ejemplo, el troyano Havex examina las redes industriales en busca de dispositivos que usan OPC, que es un protocolo estándar utilizado por los sistemas SCADA basados en Windows para comunicarse con dispositivos ICS. |
Cuando Defender para IoT detecta un caso de uso preconfigurado, el botón Bloquear origen se agrega a la alerta. A continuación, cuando el usuario de Defender para IoT selecciona el botón Bloquear origen , Defender para IoT crea directivas en Panorama mediante el envío de la regla de reenvío predefinida.
La directiva solo se aplica cuando el administrador de Panorama la inserta en el NGFW pertinente de la red.
En las redes de TI, puede haber direcciones IP dinámicas. Por lo tanto, para esas subredes, la directiva debe basarse en el FQDN (nombre DNS) y no en la dirección IP. Defender para IoT realiza búsquedas inversas y coincide con los dispositivos con dirección IP dinámica con su FQDN (nombre DNS) cada número de horas configurado.
Además, Defender para IoT envía un correo electrónico al usuario de Panorama correspondiente para notificar que una nueva directiva creada por Defender para IoT está esperando la aprobación. En la ilustración siguiente se presenta la arquitectura de integración de Defender para IoT y Panorama:
Requisitos previos
Antes de empezar, asegúrese de que tiene los siguientes requisitos previos:
- Confirmación por parte del administrador de Panorama para permitir el bloqueo automático.
- Acceso a un sensor ot de Defender para IoT como usuario Administración.
Configuración de la búsqueda de DNS
El primer paso para crear directivas de bloqueo de Panorama en Defender para IoT es configurar la búsqueda dns.
Para configurar la búsqueda dns:
Inicie sesión en el sensor OT y seleccione Configuración del sistema Network> monitoringDNS Reverse Lookup (Búsqueda inversa de DNSde supervisión> de red).
Active el botón de alternancia Habilitado para activar la búsqueda.
En el campo Programar búsqueda inversa , defina las opciones de programación:
- Por horas específicas: especifique cuándo realizar la búsqueda inversa diariamente.
- Por intervalos fijos (en horas): establezca la frecuencia para realizar la búsqueda inversa.
Seleccione + Agregar servidor DNS y agregue los detalles siguientes:
Parámetro Descripción Dirección del servidor DNS Escriba la dirección IP o el FQDN del servidor DNS de red. Puerto del servidor DNS Escriba el puerto usado para consultar el servidor DNS. Número de etiquetas Para configurar la resolución del FQDN de DNS, agregue el número de etiquetas de dominio que se van a mostrar.
Se muestran hasta 30 caracteres de izquierda a derecha.Subredes Establezca el intervalo de subred de direcciones IP dinámicas.
Intervalo en el que Defender para IoT invierte la búsqueda de su dirección IP en el servidor DNS para que coincida con su nombre FQDN actual.Para asegurarse de que la configuración de DNS es correcta, seleccione Probar. La prueba garantiza que la dirección IP del servidor DNS y el puerto del servidor DNS se establecen correctamente.
Haga clic en Guardar.
Cuando haya terminado, siga creando reglas de reenvío según sea necesario:
- Configuración del bloqueo inmediato por un firewall de Palo Alto especificado
- Bloquear el tráfico sospechoso con el firewall de Palo Alto
Configuración del bloqueo inmediato por un firewall de Palo Alto especificado
Configure el bloqueo automático en casos como alertas relacionadas con malware mediante la configuración de una regla de reenvío de Defender para IoT para enviar un comando de bloqueo directamente a un firewall de Palo Alto específico.
Cuando Defender para IoT identifica una amenaza crítica, envía una alerta que incluye una opción de bloqueo del origen infectado. Al seleccionar Bloquear origen en los detalles de la alerta, se activa la regla de reenvío, que envía el comando de bloqueo al firewall de Palo Alto especificado.
Al crear la regla de reenvío:
En el área Acciones , defina el servidor, el host, el puerto y las credenciales para el NGFW de Palo Alto.
Configure las siguientes opciones para permitir el bloqueo de los orígenes sospechosos por el firewall de Palo Alto:
Parámetro Descripción Bloquear códigos de función no válidos Infracciones de protocolo: valor de campo no válido que infringe la especificación del protocolo ICS (posible vulnerabilidad de seguridad). Bloquear las actualizaciones de firmware y programación de PLC no autorizadas Cambios de PLC no autorizados. Bloquear la detención de PLC no autorizada Parada de PLC (tiempo de inactividad). Bloquear alertas relacionadas con malware Bloqueo de intentos de malware industrial (TRITON, NotPetya, etc.).
Puede seleccionar la opción Bloqueo automático.
En ese caso, el bloqueo se ejecuta de forma automática e inmediata.Bloquear el examen no autorizado Escaneo no autorizado (posible reconocimiento).
Para obtener más información, consulte Forward on-premises OT alert information (Reenviar información de alertas de OT local).
Bloquear el tráfico sospechoso con el firewall de Palo Alto
Configure una regla de reenvío de Defender para IoT para bloquear el tráfico sospechoso con el firewall de Palo Alto.
Al crear la regla de reenvío:
En el área Acciones , defina el servidor, el host, el puerto y las credenciales para el NGFW de Palo Alto.
Defina cómo se ejecuta el bloqueo, como se indica a continuación:
- Por dirección IP: siempre crea directivas de bloqueo en Panorama en función de la dirección IP.
- Por FQDN o dirección IP: crea directivas de bloqueo en Panorama en función del FQDN si existe; de lo contrario, la dirección IP.
En el campo Email, escriba la dirección de correo electrónico del correo electrónico de notificación de directiva.
Nota:
Asegúrese de que ha configurado un servidor de correo en Defender para IoT. Si no se especifica ninguna dirección de correo electrónico, Defender para IoT no envía un correo electrónico de notificación.
Configure las siguientes opciones para permitir el bloqueo de los orígenes sospechosos por parte del Panorama de Palo Alto:
Parámetro Descripción Bloquear códigos de función no válidos Infracciones de protocolo: valor de campo no válido que infringe la especificación del protocolo ICS (posible vulnerabilidad de seguridad). Bloquear las actualizaciones de firmware y programación de PLC no autorizadas Cambios de PLC no autorizados. Bloquear la detención de PLC no autorizada Parada de PLC (tiempo de inactividad). Bloquear alertas relacionadas con malware Bloqueo de intentos de malware industrial (TRITON, NotPetya, etc.).
Puede seleccionar la opción Bloqueo automático.
En ese caso, el bloqueo se ejecuta de forma automática e inmediata.Bloquear el examen no autorizado Escaneo no autorizado (posible reconocimiento).
Para obtener más información, consulte Forward on-premises OT alert information (Reenviar información de alertas de OT local).
Bloquear orígenes sospechosos específicos
Después de crear la regla de reenvío, siga estos pasos para bloquear orígenes sospechosos específicos:
En la página Alertas del sensor OT, busque y seleccione la alerta relacionada con la integración de Palo Alto.
Para bloquear automáticamente el origen sospechoso, seleccione Bloquear origen.
En el cuadro de diálogo Confirmar, seleccione Aceptar.
El firewall de Palo Alto bloquea ahora el origen sospechoso.