Integrar o CyberArk no Microsoft Defender para IoT

Este artigo ajuda-o a aprender a integrar e utilizar o CyberArk com o Microsoft Defender para IoT.

O Defender para IoT fornece plataformas de cibersegurança ICS e IIoT com análise de ameaças com suporte para ICS e machine learning.

Os atores de ameaças estão a utilizar credenciais de acesso remoto comprometidas para aceder a redes de infraestrutura críticas através do ambiente de trabalho remoto e das ligações VPN. Ao utilizar ligações fidedignas, esta abordagem ignora facilmente qualquer segurança de perímetro OT. Normalmente, as credenciais são roubadas de utilizadores com privilégios, como engenheiros de controlo e pessoal de manutenção de parceiros, que necessitam de acesso remoto para realizar tarefas diárias.

A integração do Defender para IoT juntamente com o CyberARK permite-lhe:

• Reduzir os riscos de OT de acesso remoto não autorizado

• Fornecer monitorização contínua e segurança de acesso privilegiado para OT

• Melhorar a resposta a incidentes, a investigação de ameaças e a modelação de ameaças

A aplicação Defender para IoT está ligada à rede OT através de uma porta SPAN (porta espelhada) em dispositivos de rede, como comutadores e routers, através de uma ligação unidirecional (entrada) às interfaces de rede dedicadas na aplicação Defender para IoT.

Também é fornecida uma interface de rede dedicada na aplicação Defender para IoT para gestão centralizada e acesso à API. Esta interface também é utilizada para comunicar com a solução cyberArk PSM implementada no datacenter da organização para gerir utilizadores com privilégios e proteger ligações de acesso remoto.

Neste artigo, irá aprender a:

Pré-requisitos

Antes de começar, certifique-se de que tem os seguintes pré-requisitos:

• CyberARK versão 2.0.

• Verifique se tem acesso da CLI a todas as aplicações do Defender para IoT na sua empresa.

• Uma conta Azure. Se ainda não tiver uma conta Azure, pode criar a sua conta gratuita Azure hoje.

• Acesso a um sensor OT do Defender para IoT como utilizador Administração. Para obter mais informações, veja Utilizadores e funções no local para monitorização de OT com o Defender para IoT.

Configurar o CyberArk do PSM

O CyberArk tem de ser configurado para permitir a comunicação com o Defender para IoT. Esta comunicação é efetuada através da configuração do PSM.

Para configurar o PSM:

1. Localize e abra o c:\Program Files\PrivateArk\Server\dbparam.xml ficheiro.

2. Adicione os seguintes parâmetros:

   [SYSLOG] UseLegacySyslogFormat=Yes SyslogTranslatorFile=Syslog\CyberX.xsl SyslogServerIP=<CyberX Server IP> SyslogServerProtocol=UDP SyslogMessageCodeFilter=319,320,295,378,380

3. Guarde o ficheiro e, em seguida, feche-o.

4. Coloque o ficheiro CyberX.xsl de configuração do syslog do Defender para IoT no c:\Program Files\PrivateArk\Server\Syslog\CyberX.xsl.

5. Abra a Administração Central do Servidor.

6. Selecione Parar Semáforo para parar o servidor.

7. Selecione Iniciar Semáforo para iniciar o servidor.

Ativar a integração no Defender para IoT

Para ativar a integração, o Servidor Syslog tem de ser ativado no sensor OT. Por predefinição, o Servidor Syslog escuta o endereço IP do sistema através da porta 514 UDP.

Para configurar o Defender para IoT:

1. Inicie sessão no sensor OT e, em seguida, navegue para Definições do Sistema.

2. Alterne o Servidor Syslog para Ativado.

   

3. (Opcional) Altere a porta ao iniciar sessão no sistema através da CLI, navegar para /var/cyberx/properties/syslog.propertiese, em seguida, mudar para listener: 514/udp.

Ver e gerir deteções

A integração entre Microsoft Defender para IoT e CyberArk PSM é efetuada através de mensagens syslog. Estas mensagens são enviadas pela solução PSM para o Defender para IoT, notificando o Defender para IoT de quaisquer sessões remotas ou falhas de verificação.

Assim que a plataforma Defender para IoT receber estas mensagens do PSM, correlaciona-as com os dados que vê na rede. Assim, validar que quaisquer ligações de acesso remoto à rede foram geradas pela solução PSM e não por um utilizador não autorizado.

Ver alertas

Sempre que a plataforma Defender para IoT identifica sessões remotas que não foram autorizadas pelo PSM, emite um Unauthorized Remote Session. Para facilitar a investigação imediata, o alerta também mostra os endereços IP e os nomes dos dispositivos de origem e destino.

Para ver alertas:

1. Inicie sessão no sensor OT e, em seguida, selecione Alertas.

2. Na lista de alertas, selecione o alerta intitulado Sessão Remota Não Autorizada.

Linha cronológica de eventos

Sempre que o PSM autoriza uma ligação remota, esta fica visível na página Linha Cronológica do Evento do Defender para IoT. A página Linha Cronológica do Evento mostra uma linha cronológica de todos os alertas e notificações.

Para ver a linha cronológica do evento:

1. Inicie sessão no sensor de rede e, em seguida, selecione Linha cronológica do evento.

2. Localize qualquer evento intitulado Sessão Remota do PSM.

Auditoria forense &

Os administradores podem auditar e investigar sessões de acesso remoto ao consultar a plataforma defender para IoT através da respetiva interface de extração de dados incorporada. Estas informações podem ser utilizadas para identificar todas as ligações de acesso remoto que ocorreram, incluindo detalhes forenses, como de ou para dispositivos, protocolos (RDP ou SSH), utilizadores de origem e destino, carimbos de data/hora e se as sessões foram autorizadas através de PSM.

Para auditar e investigar:

1. Inicie sessão no sensor de rede e, em seguida, selecione Extração de dados.

2. Selecione Acesso Remoto.

Parar a Integração

A qualquer momento, pode impedir a comunicação da integração.

Para parar a integração:

1. No sensor OT, navegue para Definições do Sistema.

2. Alterne a opção Syslog Server para Desativado .

   

Passos seguintes