Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Questo articolo descrive come integrare Palo Alto con Microsoft Defender per IoT, per visualizzare le informazioni su Palo Alto e Defender per IoT in un'unica posizione o usare i dati di Defender per IoT per configurare le azioni di blocco in Palo Alto.
La visualizzazione di entrambe le informazioni di Defender per IoT e Palo Alto offre agli analisti SOC una visibilità multidimensionale in modo che possano bloccare più rapidamente le minacce critiche.
Nota
Defender per IoT prevede di ritirare l'integrazione di Palo Alto il 1° dicembre 2025
Integrazioni basate sul cloud
Consiglio
Le integrazioni di sicurezza basate sul cloud offrono diversi vantaggi rispetto alle soluzioni locali, ad esempio la gestione centralizzata e più semplice dei sensori e il monitoraggio centralizzato della sicurezza.
Altri vantaggi includono il monitoraggio in tempo reale, l'uso efficiente delle risorse, una maggiore scalabilità e robustezza, una migliore protezione dalle minacce alla sicurezza, una manutenzione e aggiornamenti semplificati e un'integrazione senza problemi con soluzioni di terze parti.
Se si sta integrando un sensore OT connesso al cloud con Palo Alto, è consigliabile connettere Defender per IoT a Microsoft Sentinel.
Installare una o più delle soluzioni seguenti per visualizzare i dati di Palo Alto e Defender per IoT in Microsoft Sentinel.
Microsoft Sentinel è un servizio cloud scalabile per la gestione degli eventi delle informazioni di sicurezza (SIEM, Security Information Event Management) security orchestration automated response (SOAR). I team SOC possono usare l'integrazione tra Microsoft Defender per IoT e Microsoft Sentinel per raccogliere dati nelle reti, rilevare e analizzare le minacce e rispondere agli eventi imprevisti.
In Microsoft Sentinel, il connettore dati e la soluzione Defender per IoT visualizzano contenuti di sicurezza predefiniti per i team SOC, consentendo loro di visualizzare, analizzare e rispondere agli avvisi di sicurezza OT e comprendere gli eventi imprevisti generati nei contenuti più ampi delle minacce dell'organizzazione.
Per altre informazioni, vedere:
- Esercitazione: Connettere Microsoft Defender per IoT con Microsoft Sentinel
- Esercitazione: Analizzare e rilevare le minacce per i dispositivi IoT
Integrazioni locali
Se si usa un sensore OT gestito dall'aria e gestito localmente, è necessaria una soluzione locale per visualizzare le informazioni di Defender per IoT e Palo Alto nella stessa posizione.
In questi casi, è consigliabile configurare il sensore OT per inviare i file syslog direttamente a Palo Alto o usare l'API predefinita di Defender per IoT.
Per altre informazioni, vedere:
Integrazione locale (legacy)
Questa sezione descrive come integrare e usare Palo Alto con Microsoft Defender per IoT usando l'integrazione locale legacy, che crea automaticamente nuovi criteri in NMS e Panorama di Palo Alto Network.
Importante
L'integrazione legacy di Palo Alto Panorama è supportata fino a ottobre 2024 con sensore versione 23.1.3 e non sarà supportata nelle prossime versioni principali del software. Per i clienti che usano l'integrazione legacy, è consigliabile passare a uno dei metodi seguenti:
- Se si integra la soluzione di sicurezza con sistemi basati sul cloud, è consigliabile usare i connettori dati tramite Microsoft Sentinel.
- Per le integrazioni locali, è consigliabile configurare il sensore OT per inoltrare gli eventi syslog o usare le API di Defender per IoT.
Nella tabella seguente vengono illustrati gli eventi imprevisti a cui questa integrazione è destinata:
| Tipo di evento imprevisto | Descrizione |
|---|---|
| Modifiche plc non autorizzate | Aggiornamento della logica ladder o del firmware di un dispositivo. Questo avviso può rappresentare un'attività legittima o un tentativo di compromettere il dispositivo. Ad esempio, codice dannoso, ad esempio un trojan di accesso remoto (RAT) o parametri che causano il funzionamento del processo fisico, ad esempio una turbina rotante, in modo non sicuro. |
| Violazione del protocollo | Struttura di pacchetti o valore di campo che viola la specifica del protocollo. Questo avviso può rappresentare un'applicazione non configurata correttamente o un tentativo dannoso di compromettere il dispositivo. Ad esempio, causando una condizione di overflow del buffer nel dispositivo di destinazione. |
| ARRESTO PLC | Comando che causa l'arresto del funzionamento del dispositivo, rischiando così il processo fisico controllato dal PLC. |
| Malware industriale trovato nella rete ICS | Malware che manipola i dispositivi ICS usando i protocolli nativi, ad esempio TRITON e Industroyer. Defender per IoT rileva anche il malware IT spostato lateralmente nell'ambiente ICS e SCADA. Ad esempio, Conficker, WannaCry e NotPetya. |
| Analisi di malware | Strumenti di ricognizione che raccolgono dati sulla configurazione del sistema in una fase di preattacco. Ad esempio, Havex Trojan analizza le reti industriali per i dispositivi che usano OPC, un protocollo standard usato dai sistemi SCADA basati su Windows per comunicare con i dispositivi ICS. |
Quando Defender per IoT rileva un caso d'uso preconfigurato, il pulsante Blocca origine viene aggiunto all'avviso. Quindi, quando l'utente di Defender per IoT seleziona il pulsante Blocca origine , Defender per IoT crea criteri in Panorama inviando la regola di inoltro predefinita.
Il criterio viene applicato solo quando l'amministratore di Panorama lo esegue il push nel ngfw pertinente nella rete.
Nelle reti IT potrebbero essere presenti indirizzi IP dinamici. Pertanto, per tali subnet, i criteri devono essere basati sul nome di dominio completo (nome DNS) e non sull'indirizzo IP. Defender per IoT esegue la ricerca inversa e associa i dispositivi con indirizzo IP dinamico al relativo FQDN (nome DNS) ogni numero di ore configurato.
Inoltre, Defender per IoT invia un messaggio di posta elettronica all'utente panorama pertinente per notificare che un nuovo criterio creato da Defender per IoT è in attesa dell'approvazione. La figura seguente presenta l'architettura di integrazione di Defender per IoT e Panorama:
Prerequisiti
Prima di iniziare, assicurarsi di avere i prerequisiti seguenti:
- Conferma da parte dell'amministratore di Panorama per consentire il blocco automatico.
- Accesso a un sensore OT Defender per IoT come utente Amministrazione.
Configurare la ricerca DNS
Il primo passaggio nella creazione dei criteri di blocco di Panorama in Defender per IoT consiste nel configurare la ricerca DNS.
Per configurare la ricerca DNS:
Accedere al sensore OT e selezionare Impostazioni >di sistemaMonitoraggio rete>Ricerca inversa DNS.
Attivare l'interruttore Abilitato per attivare la ricerca.
Nel campo Schedule Reverse Lookup (Pianifica ricerca inversa ) definire le opzioni di pianificazione:
- In base a orari specifici: specificare quando eseguire la ricerca inversa ogni giorno.
- Per intervalli fissi (in ore): impostare la frequenza per l'esecuzione della ricerca inversa.
Selezionare + Aggiungi server DNS e quindi aggiungere i dettagli seguenti:
Parametro Descrizione Indirizzo server DNS Immettere l'indirizzo IP o il nome di dominio completo del server DNS di rete. Porta server DNS Immettere la porta usata per eseguire query sul server DNS. Numero di etichette Per configurare la risoluzione fqdn DNS, aggiungere il numero di etichette di dominio da visualizzare.
Da sinistra a destra vengono visualizzati fino a 30 caratteri.Subnet Impostare l'intervallo di subnet degli indirizzi IP dinamici.
Intervallo che Defender per IoT inverte la ricerca del relativo indirizzo IP nel server DNS in modo che corrisponda al nome di dominio completo corrente.Per assicurarsi che le impostazioni DNS siano corrette, selezionare Test. Il test garantisce che l'indirizzo IP del server DNS e la porta del server DNS siano impostati correttamente.
Seleziona Salva.
Al termine, continuare creando regole di inoltro in base alle esigenze:
- Configurare il blocco immediato da parte di un firewall Palo Alto specificato
- Bloccare il traffico sospetto con il firewall Palo Alto
Configurare il blocco immediato da parte di un firewall Palo Alto specificato
Configurare il blocco automatico in casi come gli avvisi correlati al malware configurando una regola di inoltro di Defender per IoT per inviare un comando di blocco direttamente a un firewall Palo Alto specifico.
Quando Defender per IoT identifica una minaccia critica, invia un avviso che include un'opzione per bloccare l'origine infetta. Se si seleziona Blocca origine nei dettagli dell'avviso, viene attivata la regola di inoltro, che invia il comando di blocco al firewall Palo Alto specificato.
Quando si crea la regola di inoltro:
Nell'area Azioni definire il server, l'host, la porta e le credenziali per Palo Alto NGFW.
Configurare le opzioni seguenti per consentire il blocco delle origini sospette da parte del firewall Palo Alto:
Parametro Descrizione Blocca codici funzione non validi Violazioni del protocollo - Valore di campo non valido che viola la specifica del protocollo ICS (potenziale exploit). Bloccare gli aggiornamenti del firmware/programmazione PLC non autorizzati Modifiche PLC non autorizzate. Bloccare l'arresto plc non autorizzato Arresto PLC (tempo di inattività). Bloccare gli avvisi correlati al malware Blocco di tentativi di malware industriale (TRITON, NotPetya e così via).
È possibile selezionare l'opzione Blocco automatico.
In tal caso, il blocco viene eseguito automaticamente e immediatamente.Bloccare l'analisi non autorizzata Analisi non autorizzata (potenziale ricognizione).
Per altre informazioni, vedere Inoltrare informazioni sull'avviso OT locale.
Bloccare il traffico sospetto con il firewall Palo Alto
Configurare una regola di inoltro di Defender per IoT per bloccare il traffico sospetto con il firewall Palo Alto.
Quando si crea la regola di inoltro:
Nell'area Azioni definire il server, l'host, la porta e le credenziali per Palo Alto NGFW.
Definire la modalità di esecuzione del blocco, come indicato di seguito:
- Per indirizzo IP: crea sempre criteri di blocco in Panorama in base all'indirizzo IP.
- Per FQDN o indirizzo IP: crea criteri di blocco in Panorama in base all'FQDN, se presente, in caso contrario dall'indirizzo IP.
Nel campo Email immettere l'indirizzo di posta elettronica per il messaggio di posta elettronica di notifica dei criteri.
Nota
Assicurarsi di aver configurato un server di posta in Defender per IoT. Se non viene immesso alcun indirizzo di posta elettronica, Defender per IoT non invia un messaggio di posta elettronica di notifica.
Configurare le opzioni seguenti per consentire il blocco delle origini sospette da parte di Palo Alto Panorama:
Parametro Descrizione Blocca codici funzione non validi Violazioni del protocollo - Valore di campo non valido che viola la specifica del protocollo ICS (potenziale exploit). Bloccare gli aggiornamenti del firmware/programmazione PLC non autorizzati Modifiche PLC non autorizzate. Bloccare l'arresto plc non autorizzato Arresto PLC (tempo di inattività). Bloccare gli avvisi correlati al malware Blocco di tentativi di malware industriale (TRITON, NotPetya e così via).
È possibile selezionare l'opzione Blocco automatico.
In tal caso, il blocco viene eseguito automaticamente e immediatamente.Bloccare l'analisi non autorizzata Analisi non autorizzata (potenziale ricognizione).
Per altre informazioni, vedere Inoltrare informazioni sull'avviso OT locale.
Bloccare origini sospette specifiche
Dopo aver creato la regola di inoltro, seguire questa procedura per bloccare origini sospette specifiche:
Nella pagina Avvisi del sensore OT individuare e selezionare l'avviso relativo all'integrazione di Palo Alto.
Per bloccare automaticamente l'origine sospetta, selezionare Blocca origine.
Nella finestra di dialogo Conferma selezionare OK.
L'origine sospetta è ora bloccata dal firewall Palo Alto.