CyberArk integreren met Microsoft Defender voor IoT

In dit artikel leert u hoe u CyberArk kunt integreren en gebruiken met Microsoft Defender voor IoT.

Defender for IoT biedt ICS- en IIoT-cyberbeveiligingsplatforms met ICS-bewuste bedreigingsanalyses en machine learning.

Bedreigingsactoren gebruiken gecompromitteerde referenties voor externe toegang om toegang te krijgen tot kritieke infrastructuurnetwerken via extern bureaublad- en VPN-verbindingen. Door vertrouwde verbindingen te gebruiken, wordt met deze aanpak eenvoudig ot-perimeterbeveiliging omzeild. Referenties worden meestal gestolen van bevoegde gebruikers, zoals controletechnici en onderhoudspersoneel van partners, die externe toegang nodig hebben om dagelijkse taken uit te voeren.

Met de Defender for IoT-integratie en CyberARK kunt u het volgende doen:

• Risico's van onbevoegde externe toegang verminderen

• Continue bewaking en beveiliging van bevoegde toegang bieden voor OT

• Incidentrespons, opsporing van bedreigingen en bedreigingsmodellering verbeteren

Het Defender for IoT-apparaat is verbonden met het OT-netwerk via een SPAN-poort (mirrorpoort) op netwerkapparaten, zoals switches en routers, via een eenrichtingsverbinding (inkomende) verbinding met de toegewezen netwerkinterfaces op het Defender for IoT-apparaat.

Er is ook een toegewezen netwerkinterface beschikbaar in het Defender for IoT-apparaat voor gecentraliseerd beheer en API-toegang. Deze interface wordt ook gebruikt voor de communicatie met de CyberArk PSM-oplossing die is geïmplementeerd in het datacenter van de organisatie om bevoegde gebruikers te beheren en externe toegangsverbindingen te beveiligen.

In dit artikel leert u het volgende:

Vereisten

Voordat u begint, moet u ervoor zorgen dat u aan de volgende vereisten voldoet:

• CyberARK versie 2.0.

• Controleer of u CLI-toegang hebt tot alle Defender for IoT-apparaten in uw onderneming.

• Een Azure-account. Als u nog geen Azure-account hebt, kunt u vandaag nog uw Azure gratis account maken.

• Toegang tot een Defender for IoT OT-sensor als een Beheer gebruiker. Zie On-premises gebruikers en rollen voor OT-bewaking met Defender for IoT voor meer informatie.

PSM CyberArk configureren

CyberArk moet worden geconfigureerd om communicatie met Defender for IoT toe te staan. Deze communicatie wordt tot stand gebracht door PSM te configureren.

PSM configureren:

1. Zoek en open het c:\Program Files\PrivateArk\Server\dbparam.xml bestand.

2. Voeg de volgende parameters toe:

   [SYSLOG] UseLegacySyslogFormat=Yes SyslogTranslatorFile=Syslog\CyberX.xsl SyslogServerIP=<CyberX Server IP> SyslogServerProtocol=UDP SyslogMessageCodeFilter=319,320,295,378,380

3. Sla het bestand op en sluit het.

4. Plaats het syslog-configuratiebestand CyberX.xsl defender voor IoT in c:\Program Files\PrivateArk\Server\Syslog\CyberX.xsl.

5. Open de server centraal beheer.

6. Selecteer Stop Traffic Light om de server te stoppen.

7. Selecteer verkeerslicht starten om de server te starten.

De integratie inschakelen in Defender for IoT

Om de integratie in te schakelen, moet Syslog Server zijn ingeschakeld in de OT-sensor. Standaard luistert de Syslog-server naar het IP-adres van het systeem met behulp van poort 514 UDP.

Defender for IoT configureren:

1. Meld u aan bij uw OT-sensor en navigeer vervolgens naar Systeeminstellingen.

2. Zet de Syslog-server op Aan.

   

3. (Optioneel) Wijzig de poort door u aan te melden bij het systeem via de CLI, te navigeren naar /var/cyberx/properties/syslog.propertiesen vervolgens over te schakelen naar listener: 514/udp.

Detecties weergeven en beheren

De integratie tussen Microsoft Defender voor IoT en CyberArk PSM wordt uitgevoerd via syslog-berichten. Deze berichten worden door de PSM-oplossing verzonden naar Defender for IoT, waarbij Defender voor IoT op de hoogte wordt gesteld van eventuele externe sessies of verificatiefouten.

Zodra het Defender for IoT-platform deze berichten van PSM heeft ontvangen, worden ze gecorreleerd met de gegevens die het in het netwerk ziet. Hiermee wordt geverifieerd dat eventuele RAS-verbindingen met het netwerk zijn gegenereerd door de PSM-oplossing en niet door een onbevoegde gebruiker.

Waarschuwingen weergeven

Wanneer het Defender for IoT-platform externe sessies identificeert die niet zijn geautoriseerd door PSM, geeft het een uit Unauthorized Remote Session. Om direct onderzoek mogelijk te maken, worden in de waarschuwing ook de IP-adressen en namen van de bron- en doelapparaten weergegeven.

Waarschuwingen weergeven:

1. Meld u aan bij uw OT-sensor en selecteer vervolgens Waarschuwingen.

2. Selecteer in de lijst met waarschuwingen de waarschuwing met de titel Niet-geautoriseerde externe sessie.

Tijdlijn van het evenement

Wanneer PSM een externe verbinding autoriseert, wordt deze weergegeven op de pagina Defender for IoT-gebeurtenistijdlijn. Op de pagina Gebeurtenistijdlijn ziet u een tijdlijn van alle waarschuwingen en meldingen.

De tijdlijn van de gebeurtenis weergeven:

1. Meld u aan bij uw netwerksensor en selecteer vervolgens Tijdlijn van gebeurtenis.

2. Zoek een gebeurtenis met de titel PSM Remote Session.

Forensische & controleren

Beheerders kunnen externe toegangssessies controleren en onderzoeken door een query uit te voeren op het Defender for IoT-platform via de ingebouwde interface voor gegevensanalyse. Deze informatie kan worden gebruikt om alle externe toegangsverbindingen te identificeren die zijn opgetreden, inclusief forensische gegevens zoals van of naar apparaten, protocollen (RDP of SSH), bron- en doelgebruikers, tijdstempels en of de sessies zijn geautoriseerd met BEHULP van PSM.

Controleren en onderzoeken:

1. Meld u aan bij uw netwerksensor en selecteer vervolgens Gegevensanalyse.

2. Selecteer Externe toegang.

De integratie stoppen

Op elk gewenst moment kunt u de communicatie van de integratie stoppen.

De integratie stoppen:

1. Navigeer in de OT-sensor naar Systeeminstellingen.

2. Zet de optie Syslog Server op Uit .

   

Volgende stappen