CyberArk と Microsoft Defender for IoT の統合

この記事では、CyberArk と ioT 用のMicrosoft Defenderを統合して使用する方法について説明します。

Defender for IoT は、ICS 対応の脅威分析と機械学習を使用して、ICS と IIoT のサイバーセキュリティ プラットフォームを提供します。

脅威アクターは、侵害されたリモート アクセス資格情報を使用して、リモート デスクトップと VPN 接続を介して重要なインフラストラクチャ ネットワークにアクセスしています。 信頼された接続を使用することで、この方法では OT 境界セキュリティを簡単にバイパスできます。 資格情報は通常、コントロール エンジニアやパートナー メンテナンス担当者など、特権ユーザーから盗まれ、日常的なタスクを実行するためにリモート アクセスが必要です。

Defender for IoT と CyberARK の統合により、次のことができます。

• 未承認のリモート アクセスによる OT リスクを軽減する

• OT の継続的な監視と特権アクセス セキュリティの提供

• インシデント対応、脅威ハンティング、脅威モデリングを強化する

Defender for IoT アプライアンスは、スイッチやルーターなどのネットワーク デバイス上の SPAN ポート (ミラー ポート) を介して、Defender for IoT アプライアンス上の専用ネットワーク インターフェイスへの一方向 (受信) 接続を介して OT ネットワークに接続されます。

専用ネットワーク インターフェイスは、一元管理と API アクセスのための Defender for IoT アプライアンスにも用意されています。 このインターフェイスは、特権ユーザーとセキュリティで保護されたリモート アクセス接続を管理するために、organizationのデータ センターにデプロイされている CyberArk PSM ソリューションとの通信にも使用されます。

この記事では、次の方法について説明します。

前提条件

開始する前に、次の前提条件があることを確認してください。

• CyberARK バージョン 2.0。

• エンタープライズ内のすべての Defender for IoT アプライアンスに CLI アクセス権があることを確認します。

• Azure アカウント。 Azureアカウントをお持ちでない場合は、今すぐAzure無料アカウントを作成できます。

• 管理 ユーザーとしての Defender for IoT OT センサーへのアクセス。 詳細については、「 Defender for IoT を使用した OT 監視のオンプレミス ユーザーとロール」を参照してください。

PSM CyberArk を構成する

Defender for IoT との通信を許可するように CyberArk を構成する必要があります。 この通信は、PSM を構成することによって実現されます。

PSM を構成するには:

1. c:\Program Files\PrivateArk\Server\dbparam.xml ファイルを見つけて開きます。

2. 次のパラメーターを追加します。

   [SYSLOG] UseLegacySyslogFormat=Yes SyslogTranslatorFile=Syslog\CyberX.xsl SyslogServerIP=<CyberX Server IP> SyslogServerProtocol=UDP SyslogMessageCodeFilter=319,320,295,378,380

3. ファイルを保存し、閉じます。

4. Defender for IoT syslog 構成ファイル CyberX.xsl を c:\Program Files\PrivateArk\Server\Syslog\CyberX.xsl に配置します。

5. サーバーの全体管理を開きます。

6. [トラフィック ライトの停止] を選択して、サーバーを停止します。

7. [ トラフィック ライトの開始 ] を選択してサーバーを起動します。

Defender for IoT で統合を有効にする

統合を有効にするには、OT センサーで Syslog サーバーを有効にする必要があります。 既定では、Syslog サーバーはポート 514 UDP を使用してシステムの IP アドレスをリッスンします。

Defender for IoT を構成するには:

1. OT センサーにサインインし 、[システム設定] に移動します。

2. Syslog サーバーを [オン] に切り替えます。

   

3. (省略可能)CLI を使用してシステムにサインインし、 /var/cyberx/properties/syslog.propertiesに移動し、 listener: 514/udpに変更してポートを変更します。

検出の表示と管理

IoT 用Microsoft Defenderと CyberArk PSM の統合は、syslog メッセージを介して実行されます。 これらのメッセージは、PSM ソリューションによって Defender for IoT に送信され、リモート セッションまたは検証エラーが Defender for IoT に通知されます。

Defender for IoT プラットフォームは、PSM からこれらのメッセージを受信すると、ネットワークに表示されるデータと関連付けられます。 したがって、ネットワークへのリモート アクセス接続が、承認されていないユーザーではなく PSM ソリューションによって生成されたことを検証します。

警告を表示する

Defender for IoT プラットフォームは、PSM によって承認されていないリモート セッションを識別するたびに、 Unauthorized Remote Sessionを発行します。 即時調査を容易にするために、アラートには、送信元および宛先デバイスの IP アドレスと名前も表示されます。

アラートを表示するには:

1. OT センサーにサインインし、[アラート] を選択 します。

2. アラートの一覧から、[ 未承認のリモート セッション] というタイトルのアラートを選択します。

イベントのタイムライン

PSM がリモート接続を承認するたびに、Defender for IoT イベント タイムライン ページに表示されます。 [イベント タイムライン] ページには、すべてのアラートと通知のタイムラインが表示されます。

イベント タイムラインを表示するには:

1. ネットワーク センサーにサインインし、[イベント タイムライン] を選択します。

2. PSM リモート セッションというタイトルのイベントを見つけます。

フォレンジック & 監査

管理者は、組み込みのデータ マイニング インターフェイスを使用して Defender for IoT プラットフォームにクエリを実行することで、リモート アクセス セッションを監査および調査できます。 この情報を使用して、発生したすべてのリモート アクセス接続 (デバイスとの間のフォレンジックの詳細、プロトコル (RDP、SSH)、送信元と宛先のユーザー、タイム スタンプ、PSM を使用してセッションが承認されたかどうかなど) を識別できます。

監査と調査を行う方法:

1. ネットワーク センサーにサインインし、[ データ マイニング] を選択します。

2. [ リモート アクセス] を選択します。

統合を停止する

いつでも、統合の通信を停止できます。

統合を停止するには:

1. OT センサーで、[ システム設定] に移動します。

2. [Syslog サーバー] オプションを [オフ] に切り替えます。

   

次の手順