Muistiinpano
Tämän sivun käyttö edellyttää valtuutusta. Voit yrittää kirjautua sisään tai vaihtaa hakemistoa.
Tämän sivun käyttö edellyttää valtuutusta. Voit yrittää vaihtaa hakemistoa.
Tämän artikkelin avulla opit integroimaan CyberArkin ja Microsoft Defender IoT:lle ja käyttämään sitä.
Defender for IoT tarjoaa ICS- ja IIoT-kyberturvallisuusympäristöjä ICS-tietoisen uhka-analytiikan ja koneoppimisen avulla.
Uhkatoimijat käyttävät vaarantuneita etäkäytön tunnistetietoja kriittisten infrastruktuuriverkkojen käyttämiseen etätyöpöydän ja VPN-yhteyksien kautta. Luotettujen yhteyksien avulla tämä lähestymistapa ohittaa helposti kaikki OT-edustasuojauksen. Tunnistetiedot varastetaan yleensä etuoikeutetuilta käyttäjiltä, kuten ohjausteknikoilta ja kumppanien huoltohenkilöstöltä, jotka tarvitsevat etäyhteyden päivittäisiin tehtäviin.
Defender for IoT -integroinnin ja CyberARKin avulla voit tehdä seuraavaa:
Luvattomasta etäkäytöstä aiheutuvien OT-riskien vähentäminen
Jatkuvan seurannan ja erityisoikeuksien suojauksen tarjoaminen OT:lle
Tapausten käsittelyn, uhkien metsästyksen ja uhkien mallinnuksen tehostaminen
Defender for IoT -laite on yhdistetty OT-verkkoon verkkolaitteiden SPAN-portin (peiliportti), kuten kytkimien ja reitittimien, kautta yksisuuntaisen (saapuvan) yhteyden kautta Defender for IoT -laitteen erillisiin verkkoliitäntöihin.
Defender for IoT -laitteessa on myös erillinen verkkoliittymä keskitettyä hallintaa ja ohjelmointirajapinnan käyttöä varten. Tätä liittymää käytetään myös kommunikoinnissa organisaation palvelinkeskuksessa käyttöönotetun CyberArkin PSM-ratkaisun kanssa, jolla hallitaan etuoikeutettuja käyttäjiä ja suojataan etäyhteyksiä.
Tässä artikkelissa opit
- PSM:n määrittäminen CyberArkissa
- Integroinnin ottaminen käyttöön IoT:n Defenderissä
- Tunnistusten tarkasteleminen ja hallinta
- Lopeta integrointi
Ennakkovaatimukset
Ennen kuin aloitat, varmista, että sinulla on seuraavat edellytykset:
CyberARK versio 2.0.
Varmista, että sinulla on CLI-käyttöoikeus kaikkiin Defender for IoT -laitteisiin yrityksessäsi.
Azure tili. Jos sinulla ei vielä ole Azure tiliä, voit luoda Azure ilmaisen tilisi jo tänään.
Defender for IoT OT -tunnistimen käyttö Hallinta käyttäjänä. Lisätietoja on artikkelissa Paikalliset käyttäjät ja roolit OT-valvontaa varten Defender for IoT:n kanssa.
PSM CyberArkin määrittäminen
CyberArk on määritettävä sallimaan viestintä Defenderin kanssa IoT:lle. Tämä viestintä toteutetaan määrittämällä PSM.
Psm:n määrittäminen:
Etsi ja avaa
c:\Program Files\PrivateArk\Server\dbparam.xmltiedosto.Lisää seuraavat parametrit:
[SYSLOG]UseLegacySyslogFormat=YesSyslogTranslatorFile=Syslog\CyberX.xslSyslogServerIP=<CyberX Server IP>SyslogServerProtocol=UDPSyslogMessageCodeFilter=319,320,295,378,380Tallenna tiedosto ja sulje se.
Aseta Defender for IoT syslog -määritystiedosto
CyberX.xslkohtaanc:\Program Files\PrivateArk\Server\Syslog\CyberX.xsl.Avaa palvelimen keskitetty hallinta.
Pysäytä palvelin valitsemalla Pysäytä liikennevalo.Käynnistä palvelin valitsemalla Käynnistä liikennevalo .
Integroinnin ottaminen käyttöön IoT:n Defenderissä
Integroinnin mahdollistamiseksi Syslog-palvelin on otettava käyttöön OT-tunnistimella. Syslog-palvelin kuuntelee oletusarvoisesti järjestelmän IP-osoitetta portin 514 UDP avulla.
Defenderin määrittäminen IoT:lle:
Kirjaudu sisään ot-tunnistimeen ja siirry järjestelmäasetuksiin.
Vaihda Syslog-palvelimen arvoksi Käytössä.
(Valinnainen) Muuta porttia kirjautumalla järjestelmään komentorivikäyttöliittymän kautta, siirtymällä kohteeseen
/var/cyberx/properties/syslog.propertiesja vaihtamalla sitten arvoonlistener: 514/udp.
Tunnistusten tarkasteleminen ja hallinta
IoT:n ja CyberArkin PSM:n Microsoft Defender integrointi suoritetaan syslog-viestien kautta. PSM-ratkaisu lähettää nämä viestit Defender for IoT:lle ilmoittaen Defenderille IoT:lle etäistunnoista tai vahvistusvirheistä.
Kun Defender for IoT -ympäristö vastaanottaa nämä viestit PSM:ltä, se korreloi ne verkossa näkemänsä tiedon kanssa. Näin ollen vahvistetaan, että PSM-ratkaisu ei muodostanut verkkoyhteyksiä etäyhteyksiin valtuuttamattoman käyttäjän sijaan.
Näytä ilmoitukset
Aina kun Defender for IoT -ympäristö tunnistaa etäistunnot, joita PSM ei ole sallinut, se antaa kohteen Unauthorized Remote Session. Välittömän tutkinnan helpottamiseksi ilmoitus näyttää myös lähde- ja kohdelaitteiden IP-osoitteet ja nimet.
Ilmoitusten tarkasteleminen:
Kirjaudu sisään OT-tunnistimeen ja valitse sitten Hälytykset.
Valitse ilmoitusluettelosta ilmoitus nimeltä Valtuuttamaton etäistunto.
Tapahtuman aikajana
Aina kun PSM valtuuttaa etäyhteyden, se näkyy IoT:n puolustajan tapahtuman aikajanasivulla. Tapahtuman aikajana -sivulla näkyy kaikkien ilmoitusten aikajana.
Tapahtuman aikajanan tarkasteleminen:
Kirjaudu sisään verkkotunnistimeen ja valitse tapahtuman aikajana.
Etsi tapahtuma nimeltä PSM-etäistunto.
Auditing & forensics
Järjestelmänvalvojat voivat valvoa ja tutkia etäkäyttöistuntoja kyselemällä Defender for IoT -ympäristöstä sen sisäänrakennetun tietojen louhintaliittymän kautta. Näiden tietojen avulla voidaan tunnistaa kaikki tapahtuneet etäkäyttöyhteydet, mukaan lukien rikostekniset tiedot, kuten laitteet, protokollat (RDP tai SSH), lähde- ja kohdekäyttäjät, aikaleimat ja onko istunnot sallittu psm:n avulla.
Voit valvoa ja tutkia seuraavia:
Kirjaudu sisään verkkotunnistimeen ja valitse sitten Tietojen louhinta.
Valitse Etäkäyttö.
Lopeta integrointi
Voit milloin tahansa estää integrointia kommunikoimasta.
Integroinnin lopettaminen:
Siirry OT-tunnistimella kohtaan Järjestelmäasetukset.
Vaihda Syslog Server -asetuksen arvoksi Ei käytössä .