この記事では、Palo Alto と IoT 用のMicrosoft Defenderを統合する方法について説明します。Palo Alto と Defender for IoT の両方の情報を 1 か所で表示したり、Defender for IoT データを使用して Palo Alto でブロック アクションを構成したりする方法について説明します。
Defender for IoT と Palo Alto の両方の情報を一緒に表示すると、SOC アナリストは多次元可視性を備え、重要な脅威をより迅速にブロックできます。
注:
Defender for IoT は、2025 年 12 月 1 日に Palo Alto 統合を廃止する予定です
クラウドベースの統合
ヒント
クラウドベースのセキュリティ統合は、一元化されたシンプルなセンサー管理や一元化されたセキュリティ監視など、オンプレミス ソリューションに比していくつかの利点を提供します。
その他の利点としては、リアルタイム監視、効率的なリソースの使用、スケーラビリティと堅牢性の向上、セキュリティ上の脅威に対する保護の強化、メンテナンスと更新の簡素化、サードパーティ ソリューションとのシームレスな統合などがあります。
クラウドに接続された OT センサーを Palo Alto と統合する場合は、Defender for IoT をMicrosoft Sentinelに接続することをお勧めします。
次の 1 つ以上のソリューションをインストールして、Palo Alto と Defender for IoT の両方のデータをMicrosoft Sentinelで表示します。
Microsoft Sentinelは、セキュリティ情報イベント管理 (SIEM) セキュリティ オーケストレーション自動応答 (SOAR) 用のスケーラブルなクラウド サービスです。 SOC チームは、IoT と Microsoft Sentinel のMicrosoft Defender間の統合を使用して、ネットワーク間でデータを収集し、脅威を検出して調査し、インシデントに対応できます。
Microsoft Sentinel、Defender for IoT データ コネクタとソリューションは、すぐに使用できるセキュリティ コンテンツを SOC チームに提供し、OT セキュリティ アラートを表示、分析、対応し、広範な組織の脅威コンテンツで生成されたインシデントを理解するのに役立ちます。
詳細については、以下を参照してください:
オンプレミスの統合
エアギャップされたローカルで管理された OT センサーを使用している場合は、Defender for IoT と Palo Alto の情報を同じ場所で表示するためのオンプレミス ソリューションが必要です。
このような場合は、Syslog ファイルを Palo Alto に直接送信するように OT センサーを構成するか、Defender for IoT の組み込み API を使用することをお勧めします。
詳細については、以下を参照してください:
オンプレミス統合 (レガシ)
このセクションでは、Palo Alto ネットワークの NMS と Panorama に新しいポリシーを自動的に作成する従来のオンプレミス統合を使用して、Palo Alto と IoT 用のMicrosoft Defenderを統合して使用する方法について説明します。
重要
従来の Palo Alto Panorama 統合は、センサー バージョン 23.1.3 を使用して 2024 年 10 月までサポートされており、今後の主要なソフトウェア バージョンではサポートされません。 レガシ統合を使用しているお客様の場合は、次のいずれかの方法に移行することをお勧めします。
- セキュリティ ソリューションをクラウドベースのシステムと統合する場合は、Microsoft Sentinel経由でデータ コネクタを使用することをお勧めします。
- オンプレミス統合の場合は、syslog イベントを転送するように OT センサーを構成 するか、Defender for IoT API を使用することをお勧めします。
次の表に、この統合が意図されているインシデントを示します。
| インシデントの種類 | 説明 |
|---|---|
| 未承認の PLC の変更 | ラダー ロジックまたはデバイスのファームウェアの更新。 このアラートは、正当なアクティビティ、またはデバイスを侵害しようとする試みを表すことができます。 たとえば、リモート アクセス トロイの木馬 (RAT) などの悪意のあるコードや、スピン タービンなどの物理プロセスが安全でない方法で動作する原因となるパラメーターなどです。 |
| プロトコル違反 | プロトコルの仕様に違反するパケット構造またはフィールド値。 このアラートは、誤って構成されたアプリケーション、またはデバイスを侵害しようとする悪意のある試みを表している可能性があります。 たとえば、ターゲット デバイスでバッファー オーバーフロー状態を引き起こします。 |
| PLC 停止 | デバイスの機能を停止させ、PLC によって制御されている物理プロセスを危険にさらすコマンド。 |
| ICS ネットワークで見つかった産業用マルウェア | TRITON や Industroyer などのネイティブ プロトコルを使用して ICS デバイスを操作するマルウェア。 Defender for IoT では、ICS と SCADA 環境に横方向に移動した IT マルウェアも検出されます。 たとえば、Conficker、WannaCry、NotPetya などです。 |
| マルウェアのスキャン | 事前攻撃フェーズでシステム構成に関するデータを収集する偵察ツール。 たとえば、Havex トロイの木馬は、WINDOWS ベースの SCADA システムが ICS デバイスと通信するために使用する標準プロトコルである OPC を使用するデバイスの産業用ネットワークをスキャンします。 |
Defender for IoT で構成済みのユース ケースが検出されると、[ソースの ブロック ] ボタンがアラートに追加されます。 次に、Defender for IoT ユーザーが [ソースのブロック ] ボタンを選択すると、Defender for IoT は定義済みの転送規則を送信して Panorama にポリシーを作成します。
ポリシーは、Panorama 管理者がネットワーク内の関連する NGFW にプッシュした場合にのみ適用されます。
IT ネットワークでは、動的 IP アドレスが存在する可能性があります。 そのため、これらのサブネットのポリシーは、IP アドレスではなく FQDN (DNS 名) に基づいている必要があります。 Defender for IoT は逆引き参照を実行し、動的 IP アドレスを持つデバイスを構成された時間ごとに FQDN (DNS 名) に一致します。
さらに、Defender for IoT は関連する Panorama ユーザーに電子メールを送信し、Defender for IoT によって作成された新しいポリシーが承認を待っていることを通知します。 次の図は、Defender for IoT と Panorama の統合アーキテクチャを示しています。
前提条件
開始する前に、次の前提条件があることを確認してください。
- 自動ブロックを許可するパノラマ管理者による確認。
- 管理 ユーザーとしての Defender for IoT OT センサーへのアクセス。
DNS 参照を構成する
Defender for IoT でパノラマ ブロック ポリシーを作成する最初の手順は、DNS 参照を構成することです。
DNS 参照を構成するには:
OT センサーにサインインし、[ システム設定>ネットワーク監視>DNS 逆引き参照] を選択します。
[ 有効] トグルをオンにして、ルックアップをアクティブにします。
[ 逆引き参照のスケジュール ] フィールドで、スケジュール オプションを定義します。
- 特定の時刻: 逆引き参照を毎日実行するタイミングを指定します。
- 固定間隔 (時間単位): 逆引き参照を実行する頻度を設定します。
[ + DNS サーバーの追加] を選択し、次の詳細を追加します。
パラメーター 説明 DNS サーバー アドレス ネットワーク DNS サーバーの IP アドレスまたは FQDN を入力します。 DNS サーバー ポート DNS サーバーのクエリに使用するポートを入力します。 ラベルの数 DNS FQDN 解決を構成するには、表示するドメイン ラベルの数を追加します。
最大 30 文字が左から右に表示されます。サブネット 動的 IP アドレス サブネット範囲を設定します。
Defender for IoT が逆引きする範囲は、現在の FQDN 名と一致するように DNS サーバー内の IP アドレスを参照します。DNS 設定が正しいことを確認するには、[ テスト] を選択します。 このテストでは、DNS サーバーの IP アドレスと DNS サーバー ポートが正しく設定されていることを確認します。
[保存] を選択します。
完了したら、必要に応じて転送ルールを作成し続けます。
指定した Palo Alto ファイアウォールによる即時ブロックを構成する
特定の Palo Alto ファイアウォールにブロック コマンドを直接送信するように Defender for IoT 転送ルールを構成することで、マルウェア関連のアラートなどの場合に自動ブロックを構成します。
Defender for IoT は、重大な脅威を識別すると、感染したソースをブロックするオプションを含むアラートを送信します。 アラートの詳細で [ブロック ソース ] を選択すると、転送ルールがアクティブになり、指定した Palo Alto ファイアウォールにブロック コマンドが送信されます。
転送ルールを作成する場合:
[ アクション ] 領域で、Palo Alto NGFW のサーバー、ホスト、ポート、資格情報を定義します。
Palo Alto ファイアウォールによる疑わしいソースのブロックを許可するには、次のオプションを構成します。
パラメーター 説明 無効な関数コードをブロックする プロトコル違反 - ICS プロトコル仕様に違反しているフィールド値が正しくありません (潜在的な悪用)。 未承認の PLC プログラミング/ファームウェア更新プログラムをブロックする 不正な PLC の変更。 許可されていない PLC の停止をブロックする PLC 停止 (ダウンタイム)。 マルウェア関連のアラートをブロックする 産業用マルウェアの試行のブロック (TRITON、NotPetya など)。
[ 自動ブロック] オプションを選択できます。
その場合、ブロックは自動的かつすぐに実行されます。未承認のスキャンをブロックする 未承認のスキャン (偵察の可能性)。
詳細については、「 オンプレミス OT アラート情報を転送する」を参照してください。
Palo Alto ファイアウォールを使用して疑わしいトラフィックをブロックする
Palo Alto ファイアウォールを使用して疑わしいトラフィックをブロックするように Defender for IoT 転送ルールを構成します。
転送ルールを作成する場合:
[ アクション ] 領域で、Palo Alto NGFW のサーバー、ホスト、ポート、資格情報を定義します。
ブロックの実行方法を次のように定義します。
- IP アドレス別: 常に IP アドレスに基づいて Panorama にブロック ポリシーを作成します。
- FQDN または IP アドレス別: 存在する場合は FQDN に基づいて Panorama にブロック ポリシーを作成し、それ以外の場合は IP アドレスによってブロック ポリシーを作成します。
[Email] フィールドに、ポリシー通知メールのメール アドレスを入力します。
注:
Defender for IoT でメール サーバーが構成されていることを確認します。 電子メール アドレスが入力されていない場合、Defender for IoT は通知メールを送信しません。
Palo Alto Panorama による疑わしいソースのブロックを許可するには、次のオプションを構成します。
パラメーター 説明 無効な関数コードをブロックする プロトコル違反 - ICS プロトコル仕様に違反しているフィールド値が正しくありません (潜在的な悪用)。 未承認の PLC プログラミング/ファームウェア更新プログラムをブロックする 不正な PLC の変更。 許可されていない PLC の停止をブロックする PLC 停止 (ダウンタイム)。 マルウェア関連のアラートをブロックする 産業用マルウェアの試行のブロック (TRITON、NotPetya など)。
[ 自動ブロック] オプションを選択できます。
その場合、ブロックは自動的かつすぐに実行されます。未承認のスキャンをブロックする 未承認のスキャン (偵察の可能性)。
詳細については、「 オンプレミス OT アラート情報を転送する」を参照してください。
特定の疑わしいソースをブロックする
転送ルールを作成したら、次の手順を使用して、特定の疑わしいソースをブロックします。
OT センサーの [アラート] ページで、Palo Alto 統合に関連するアラートを見つけて選択します。
疑わしいソースを自動的にブロックするには、[ ソースのブロック] を選択します。
[ 確認してください ] ダイアログ ボックスで、[ OK] を選択します。
疑わしいソースが Palo Alto ファイアウォールによってブロックされるようになりました。