Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Cet article vous aide à apprendre à intégrer et à utiliser CyberArk avec Microsoft Defender pour IoT.
Defender pour IoT fournit des plateformes de cybersécurité ICS et IIoT avec l’analytique des menaces prenant en charge ICS et le Machine Learning.
Les acteurs des menaces utilisent des informations d’identification d’accès à distance compromises pour accéder à des réseaux d’infrastructure critiques via des connexions Bureau à distance et VPN. En utilisant des connexions approuvées, cette approche contourne facilement toute sécurité de périmètre OT. Les informations d’identification sont généralement volées aux utilisateurs privilégiés, tels que les ingénieurs de contrôle et le personnel de maintenance des partenaires, qui ont besoin d’un accès à distance pour effectuer des tâches quotidiennes.
L’intégration de Defender pour IoT avec CyberARK vous permet d’effectuer les opérations suivantes :
Réduire les risques OT liés à l’accès à distance non autorisé
Fournir une surveillance continue et une sécurité d’accès privilégié pour OT
Améliorer la réponse aux incidents, la chasse aux menaces et la modélisation des menaces
Le Appliance Defender pour IoT est connecté au réseau OT via un port SPAN (port miroir) sur les appareils réseau, tels que les commutateurs et les routeurs, via une connexion unidirectionnel (entrante) aux interfaces réseau dédiées sur le Appliance Defender pour IoT.
Une interface réseau dédiée est également fournie dans le Appliance Defender pour IoT pour la gestion centralisée et l’accès aux API. Cette interface est également utilisée pour communiquer avec la solution CyberArk PSM déployée dans le centre de données du organization pour gérer les utilisateurs privilégiés et sécuriser les connexions d’accès à distance.
Dans cet article, vous allez apprendre à :
- Configurer PSM dans CyberArk
- Activer l’intégration dans Defender pour IoT
- Afficher et gérer les détections
- Arrêter l’intégration
Configuration requise
Avant de commencer, vérifiez que vous disposez des prérequis suivants :
CyberARK version 2.0.
Vérifiez que vous disposez d’un accès CLI à toutes les appliances Defender pour IoT de votre entreprise.
Un compte Azure. Si vous n’avez pas encore de compte Azure, vous pouvez créer votre compte Azure gratuit dès aujourd’hui.
Accès à un capteur OT Defender pour IoT en tant qu’utilisateur Administration. Pour plus d’informations, consultez Utilisateurs et rôles locaux pour la supervision OT avec Defender pour IoT.
Configurer PSM CyberArk
CyberArk doit être configuré pour autoriser la communication avec Defender pour IoT. Cette communication s’effectue en configurant PSM.
Pour configurer PSM :
Recherchez et ouvrez le
c:\Program Files\PrivateArk\Server\dbparam.xmlfichier.Ajoutez les paramètres suivants :
[SYSLOG]UseLegacySyslogFormat=YesSyslogTranslatorFile=Syslog\CyberX.xslSyslogServerIP=<CyberX Server IP>SyslogServerProtocol=UDPSyslogMessageCodeFilter=319,320,295,378,380Enregistrez le fichier, puis fermez-le.
Placez le fichier
CyberX.xslde configuration syslog Defender pour IoT dansc:\Program Files\PrivateArk\Server\Syslog\CyberX.xsl.Ouvrez l’Administration centrale du serveur.
Sélectionnez Arrêter le
feu de trafic pour arrêter le serveur.Sélectionnez Démarrer le feu de trafic pour démarrer le serveur.
Activer l’intégration dans Defender pour IoT
Pour activer l’intégration, le serveur Syslog doit être activé dans le capteur OT. Par défaut, le serveur Syslog écoute l’adresse IP du système à l’aide du port UDP 514.
Pour configurer Defender pour IoT :
Connectez-vous à votre capteur OT, puis accédez à Paramètres système.
Basculez le serveur Syslog sur Activé.
(Facultatif) Modifiez le port en vous connectant au système via l’interface CLI, en accédant à
/var/cyberx/properties/syslog.properties, puis en remplaçantlistener: 514/udppar .
Afficher et gérer les détections
L’intégration entre Microsoft Defender pour IoT et CyberArk PSM s’effectue via des messages syslog. Ces messages sont envoyés par la solution PSM à Defender pour IoT, informant Defender pour IoT des échecs de session à distance ou de vérification.
Une fois que la plateforme Defender pour IoT reçoit ces messages de PSM, elle les met en corrélation avec les données qu’elle voit dans le réseau. Ainsi, valider que toutes les connexions d’accès à distance au réseau ont été générées par la solution PSM et non par un utilisateur non autorisé.
Afficher les alertes
Chaque fois que la plateforme Defender pour IoT identifie des sessions à distance qui n’ont pas été autorisées par PSM, elle émet un Unauthorized Remote Session. Pour faciliter l’examen immédiat, l’alerte affiche également les adresses IP et les noms des appareils source et de destination.
Pour afficher les alertes :
Connectez-vous à votre capteur OT, puis sélectionnez Alertes.
Dans la liste des alertes, sélectionnez l’alerte intitulée Session à distance non autorisée.
Chronologie des événements
Chaque fois que PSM autorise une connexion à distance, elle est visible dans la page Chronologie des événements Defender pour IoT. La page Chronologie de l’événement affiche un chronologie de toutes les alertes et notifications.
Pour afficher le chronologie d’événement :
Connectez-vous à votre capteur réseau, puis sélectionnez Chronologie d’événements.
Recherchez n’importe quel événement intitulé Session à distance PSM.
Audit & investigation
Les administrateurs peuvent auditer et examiner les sessions d’accès à distance en interrogeant la plateforme Defender pour IoT via son interface d’exploration de données intégrée. Ces informations peuvent être utilisées pour identifier toutes les connexions d’accès à distance qui se sont produites, y compris des détails d’investigation tels que des appareils ou vers des appareils, des protocoles (RDP ou SSH), des utilisateurs sources et de destination, des horodatages et si les sessions ont été autorisées à l’aide de PSM.
Pour auditer et examiner :
Connectez-vous à votre capteur réseau, puis sélectionnez Exploration de données.
Sélectionnez Accès à distance.
Arrêter l’intégration
À tout moment, vous pouvez empêcher l’intégration de communiquer.
Pour arrêter l’intégration :
Dans le capteur OT, accédez à Paramètres système.
Basculez l’option Serveur Syslog sur Désactivé .