Integrare CyberArk con Microsoft Defender per IoT

Questo articolo illustra come integrare e usare CyberArk con Microsoft Defender per IoT.

Defender per IoT offre piattaforme di cybersecurity ICS e IIoT con analisi delle minacce e machine learning in grado di riconoscere ICS.

Gli attori delle minacce usano credenziali di accesso remoto compromesse per accedere alle reti dell'infrastruttura critiche tramite connessioni DESKTOP remoto e VPN. Usando connessioni attendibili, questo approccio ignora facilmente qualsiasi sicurezza perimetrale OT. Le credenziali vengono in genere rubate agli utenti con privilegi, ad esempio i tecnici di controllo e il personale di manutenzione del partner, che richiedono l'accesso remoto per eseguire attività quotidiane.

L'integrazione di Defender per IoT insieme a CyberARK consente di:

• Ridurre i rischi ot da accessi remoti non autorizzati

• Fornire monitoraggio continuo e sicurezza degli accessi con privilegi per OT

• Migliorare la risposta agli eventi imprevisti, la ricerca delle minacce e la modellazione delle minacce

L'appliance Defender per IoT è connessa alla rete OT tramite una porta SPAN (porta mirror) nei dispositivi di rete, ad esempio commutatori e router, tramite una connessione unidirezionale (in ingresso) alle interfacce di rete dedicate nell'appliance Defender per IoT.

Nell'appliance Defender per IoT è disponibile anche un'interfaccia di rete dedicata per la gestione centralizzata e l'accesso alle API. Questa interfaccia viene usata anche per comunicare con la soluzione PSM CyberArk distribuita nel data center dell'organizzazione per gestire gli utenti con privilegi e proteggere le connessioni di accesso remoto.

Questo articolo illustra come:

Prerequisiti

Prima di iniziare, assicurarsi di avere i prerequisiti seguenti:

• CyberARK versione 2.0.

• Verificare di avere accesso all'interfaccia della riga di comando a tutte le appliance Defender per IoT nell'azienda.

• Un account Azure. Se non si dispone già di un account Azure, è possibile creare il proprio account gratuito Azure oggi.

• Accesso a un sensore OT Defender per IoT come utente Amministrazione. Per altre informazioni, vedere Utenti e ruoli locali per il monitoraggio OT con Defender per IoT.

Configurare PSM CyberArk

CyberArk deve essere configurato per consentire la comunicazione con Defender per IoT. Questa comunicazione viene eseguita configurando PSM.

Per configurare PSM:

1. Individuare e aprire il c:\Program Files\PrivateArk\Server\dbparam.xml file.

2. Aggiungere i parametri seguenti:

   [SYSLOG] UseLegacySyslogFormat=Yes SyslogTranslatorFile=Syslog\CyberX.xsl SyslogServerIP=<CyberX Server IP> SyslogServerProtocol=UDP SyslogMessageCodeFilter=319,320,295,378,380

3. Salvare il file, quindi chiuderlo.

4. Inserire il file CyberX.xsl di configurazione syslog di Defender per IoT in c:\Program Files\PrivateArk\Server\Syslog\CyberX.xsl.

5. Aprire Amministrazione centrale server.

6. Selezionare l'opzione Arresta semaforo per arrestare il server.

7. Selezionare l'opzione Avvia semaforo per avviare il server.

Abilitare l'integrazione in Defender per IoT

Per abilitare l'integrazione, è necessario abilitare Syslog Server nel sensore OT. Per impostazione predefinita, il server Syslog è in ascolto dell'indirizzo IP del sistema usando la porta 514 UDP.

Per configurare Defender per IoT:

1. Accedere al sensore OT e quindi passare a Impostazioni di sistema.

2. Attivare o disattivare il server Syslog.

   

3. (Facoltativo) Modificare la porta accedendo al sistema tramite l'interfaccia della riga di comando, passando a /var/cyberx/properties/syslog.propertiese quindi passando a listener: 514/udp.

Visualizzare e gestire i rilevamenti

L'integrazione tra Microsoft Defender per IoT e CyberArk PSM viene eseguita tramite messaggi syslog. Questi messaggi vengono inviati dalla soluzione PSM a Defender per IoT, notificando a Defender per IoT eventuali sessioni remote o errori di verifica.

Una volta che la piattaforma Defender per IoT riceve questi messaggi da PSM, li correla con i dati visualizzati nella rete. Pertanto, la convalida che tutte le connessioni di accesso remoto alla rete sono state generate dalla soluzione PSM e non da un utente non autorizzato.

Visualizzare gli avvisi

Ogni volta che la piattaforma Defender per IoT identifica le sessioni remote che non sono state autorizzate da PSM, genera un oggetto Unauthorized Remote Session. Per facilitare l'indagine immediata, l'avviso mostra anche gli indirizzi IP e i nomi dei dispositivi di origine e di destinazione.

Per visualizzare gli avvisi:

1. Accedere al sensore OT e quindi selezionare Avvisi.

2. Nell'elenco degli avvisi selezionare l'avviso denominato Sessione remota non autorizzata.

Sequenza temporale eventi

Ogni volta che PSM autorizza una connessione remota, è visibile nella pagina Sequenza temporale eventi di Defender per IoT. La pagina Sequenza temporale eventi mostra una sequenza temporale di tutti gli avvisi e le notifiche.

Per visualizzare la sequenza temporale dell'evento:

1. Accedere al sensore di rete e quindi selezionare Sequenza temporale eventi.

2. Individuare qualsiasi evento denominato Sessione remota PSM.

Controllo & forense

Gli amministratori possono controllare e analizzare le sessioni di accesso remoto eseguendo query sulla piattaforma Defender per IoT tramite l'interfaccia di data mining predefinita. Queste informazioni possono essere usate per identificare tutte le connessioni di accesso remoto che si sono verificate, inclusi dettagli forensi come da o verso dispositivi, protocolli (RDP o SSH), utenti di origine e di destinazione, timestamp e se le sessioni sono state autorizzate tramite PSM.

Per controllare e analizzare:

1. Accedere al sensore di rete e quindi selezionare Data mining.

2. Selezionare Accesso remoto.

Arrestare l'integrazione

In qualsiasi momento, è possibile interrompere la comunicazione dell'integrazione.

Per arrestare l'integrazione:

1. Nel sensore OT passare a Impostazioni di sistema.

2. Impostare l'opzione Server Syslog su Disattivato .

   

Passaggi successivi