Integración de CyberArk con Microsoft Defender para IoT

Este artículo le ayuda a aprender a integrar y usar CyberArk con Microsoft Defender para IoT.

Defender para IoT ofrece plataformas de ciberseguridad ICS e IIoT con análisis de amenazas y aprendizaje automático compatibles con ICS.

Los actores de amenazas usan credenciales de acceso remoto en peligro para acceder a redes de infraestructura críticas a través de conexiones VPN y escritorio remoto. Mediante el uso de conexiones de confianza, este enfoque omite fácilmente cualquier seguridad perimetral de OT. Las credenciales suelen ser robadas a usuarios con privilegios, como ingenieros de control y personal de mantenimiento de asociados, que requieren acceso remoto para realizar tareas diarias.

La integración de Defender para IoT junto con CyberARK le permite:

• Reducir los riesgos de OT frente al acceso remoto no autorizado

• Proporcionar supervisión continua y seguridad de acceso con privilegios para OT

• Mejora de la respuesta a incidentes, la búsqueda de amenazas y el modelado de amenazas

El dispositivo de Defender para IoT está conectado a la red OT a través de un puerto SPAN (puerto reflejado) en dispositivos de red, como conmutadores y enrutadores, a través de una conexión unidireccional (entrante) a las interfaces de red dedicadas en el dispositivo de Defender para IoT.

También se proporciona una interfaz de red dedicada en el dispositivo de Defender para IoT para la administración centralizada y el acceso a la API. Esta interfaz también se usa para comunicarse con la solución CyberArk PSM que se implementa en el centro de datos de la organización para administrar usuarios con privilegios y proteger las conexiones de acceso remoto.

En este artículo, aprenderá a:

Requisitos previos

Antes de empezar, asegúrese de que tiene los siguientes requisitos previos:

• CyberARK versión 2.0.

• Compruebe que tiene acceso de la CLI a todos los dispositivos de Defender para IoT de la empresa.

• Una cuenta de Azure. Si aún no tiene una cuenta de Azure, puede crear su Azure cuenta gratuita hoy mismo.

• Acceso a un sensor ot de Defender para IoT como usuario Administración. Para obtener más información, consulte Usuarios y roles locales para la supervisión de OT con Defender para IoT.

Configuración de CyberArk de PSM

CyberArk debe configurarse para permitir la comunicación con Defender para IoT. Esta comunicación se logra mediante la configuración de PSM.

Para configurar PSM:

1. Busque y abra el c:\Program Files\PrivateArk\Server\dbparam.xml archivo.

2. Agregue los parámetros siguientes:

   [SYSLOG] UseLegacySyslogFormat=Yes SyslogTranslatorFile=Syslog\CyberX.xsl SyslogServerIP=<CyberX Server IP> SyslogServerProtocol=UDP SyslogMessageCodeFilter=319,320,295,378,380

3. Guarde el archivo y ciérrelo.

4. Coloque el archivo CyberX.xsl de configuración de Syslog de Defender para IoT en c:\Program Files\PrivateArk\Server\Syslog\CyberX.xsl.

5. Abra la Administración central del servidor.

6. Seleccione Stop Traffic Light (Detener semáforo ) para detener el servidor.

7. Seleccione Start Traffic Light (Iniciar semáforo ) para iniciar el servidor.

Habilitación de la integración en Defender para IoT

Para habilitar la integración, el servidor syslog debe estar habilitado en el sensor OT. De forma predeterminada, el servidor syslog escucha la dirección IP del sistema mediante el puerto 514 UDP.

Para configurar Defender para IoT:

1. Inicie sesión en el sensor OT y vaya a Configuración del sistema.

2. Cambie el servidor de Syslog a Activado.

   

3. (Opcional) Cambie el puerto iniciando sesión en el sistema a través de la CLI, navegando a y, a /var/cyberx/properties/syslog.propertiescontinuación, cambiando a listener: 514/udp.

Visualización y administración de detecciones

La integración entre Microsoft Defender para IoT y CyberArk PSM se realiza a través de mensajes de Syslog. La solución PSM envía estos mensajes a Defender para IoT y notifica a Defender para IoT cualquier sesión remota o errores de comprobación.

Una vez que la plataforma Defender para IoT recibe estos mensajes de PSM, los correlaciona con los datos que ve en la red. Por lo tanto, validar que las conexiones de acceso remoto a la red las generó la solución PSM y no un usuario no autorizado.

Ver alertas

Cada vez que la plataforma Defender para IoT identifica sesiones remotas que PSM no ha autorizado, emite un Unauthorized Remote Session. Para facilitar la investigación inmediata, la alerta también muestra las direcciones IP y los nombres de los dispositivos de origen y destino.

Para ver las alertas:

1. Inicie sesión en el sensor OT y seleccione Alertas.

2. En la lista de alertas, seleccione la alerta denominada Sesión remota no autorizada.

Línea de tiempo de eventos

Cada vez que PSM autoriza una conexión remota, es visible en la página Escala de tiempo de eventos de Defender para IoT. La página Escala de tiempo de eventos muestra una escala de tiempo de todas las alertas y notificaciones.

Para ver la escala de tiempo del evento:

1. Inicie sesión en el sensor de red y seleccione Escala de tiempo de eventos.

2. Busque cualquier evento denominado Sesión remota de PSM.

Auditoría & forense

Los administradores pueden auditar e investigar las sesiones de acceso remoto consultando la plataforma defender para IoT a través de su interfaz de minería de datos integrada. Esta información se puede usar para identificar todas las conexiones de acceso remoto que se han producido, incluidos los detalles forenses, como desde o hacia dispositivos, protocolos (RDP o SSH), usuarios de origen y destino, marcas de tiempo y si las sesiones se autorizaron mediante PSM.

Para auditar e investigar:

1. Inicie sesión en el sensor de red y seleccione Minería de datos.

2. Seleccione Acceso remoto.

Detener la integración

En cualquier momento, puede impedir que la integración se comunique.

Para detener la integración:

1. En el sensor OT, vaya a Configuración del sistema.

2. Cambie la opción Servidor de Syslog a Desactivado .

   

Pasos siguientes