Интеграция CyberArk с Microsoft Defender для Интернета вещей

Эта статья поможет вам узнать, как интегрировать и использовать CyberArk с Microsoft Defender для Интернета вещей.

Defender для Интернета вещей предоставляет платформы кибербезопасности ICS и IIoT с аналитикой угроз и машинным обучением с поддержкой ICS.

Субъекты угроз используют скомпрометированные учетные данные удаленного доступа для доступа к критически важным сетям инфраструктуры через удаленный рабочий стол и VPN-подключения. Используя доверенные подключения, этот подход легко обходит любую безопасность периметра OT. Учетные данные обычно похищаются у привилегированных пользователей, таких как инженеры по управлению и персонал по обслуживанию партнеров, которым требуется удаленный доступ для выполнения повседневных задач.

Интеграция Defender для Интернета вещей вместе с CyberARK позволяет:

  • Снижение рисков OT от несанкционированного удаленного доступа

  • Обеспечение непрерывного мониторинга и безопасности привилегированного доступа для OT

  • Улучшение реагирования на инциденты, охоты на угрозы и моделирования угроз

Defender для Интернета вещей (модуль) подключен к сети OT через порт SPAN (зеркало порт) на сетевых устройствах, таких как коммутаторы и маршрутизаторы, через односторонное (входящее) подключение к выделенным сетевым интерфейсам в Defender для Интернета вещей (модуль).

В (модуль) Defender для Интернета вещей также предоставляется выделенный сетевой интерфейс для централизованного управления и доступа к API. Этот интерфейс также используется для взаимодействия с решением CyberArk PSM, которое развернуто в центре обработки данных организации для управления привилегированными пользователями и безопасных подключений удаленного доступа.

Развертывание решения CyberArk PSM

Из этой статьи вы узнаете, как:

  • Настройка PSM в CyberArk
  • Включение интеграции в Defender для Интернета вещей
  • Просмотр обнаружений и управление ими
  • Остановка интеграции

Предварительные условия

Перед началом работы убедитесь, что у вас есть следующие предварительные требования:

Настройка PSM CyberArk

CyberArk необходимо настроить так, чтобы разрешить взаимодействие с Defender для Интернета вещей. Это взаимодействие осуществляется путем настройки PSM.

Чтобы настроить PSM, выполните следующие действия.

  1. Найдите и откройте c:\Program Files\PrivateArk\Server\dbparam.xml файл.

  2. Добавьте следующие параметры:

    [SYSLOG] UseLegacySyslogFormat=Yes SyslogTranslatorFile=Syslog\CyberX.xsl SyslogServerIP=<CyberX Server IP> SyslogServerProtocol=UDP SyslogMessageCodeFilter=319,320,295,378,380

  3. Сохраните файл, а затем закройте его.

  4. Поместите файл CyberX.xsl конфигурации системного журнала Defender для Интернета вещей в c:\Program Files\PrivateArk\Server\Syslog\CyberX.xsl.

  5. Откройте центр администрирования сервера.

  6. Выберите Остановить светофор, чтобы остановить сервер.

  7. Выберите Запустить светофор , чтобы запустить сервер.

Включение интеграции в Defender для Интернета вещей

Чтобы включить интеграцию, необходимо включить сервер Syslog Server в датчике OT. По умолчанию сервер Системного журнала прослушивает IP-адрес системы, используя порт 514 UDP.

Чтобы настроить Defender для Интернета вещей, выполните следующие действия:

  1. Войдите в датчик OT, а затем перейдите в раздел Параметры системы.

  2. Переключите сервер системного журнала в значение Вкл.

    Снимок экрана: сервер системного журнала, переключленный в значение

  3. (Необязательно) Измените порт, войдите в систему с помощью cli, перейдите по адресу /var/cyberx/properties/syslog.properties, а затем измените на listener: 514/udp.

Просмотр обнаружений и управление ими

Интеграция между Microsoft Defender для Интернета вещей и CyberArk PSM выполняется через сообщения системного журнала. Эти сообщения отправляются решением PSM в Defender для Интернета вещей, уведомляя Defender для Интернета вещей о любых удаленных сеансах или сбоях проверки.

После того как платформа Defender для Интернета вещей получает эти сообщения от PSM, она сопоставляет их с данными, которые она видит в сети. Таким образом, проверка того, что все подключения удаленного доступа к сети были созданы решением PSM, а не несанкционированным пользователем.

Просмотр оповещений

Всякий раз, когда платформа Defender для Интернета вещей определяет удаленные сеансы, которые не были авторизованы PSM, она выдает .Unauthorized Remote Session Чтобы упростить немедленное исследование, в оповещении также отображаются IP-адреса и имена исходных и целевых устройств.

Чтобы просмотреть оповещения, выполните приведенные далее действия.

  1. Войдите в датчик OT, а затем выберите Оповещения.

  2. В списке оповещений выберите оповещение с именем Unauthorized Remote Session (Неавторизованный удаленный сеанс).

Временная шкала события

Когда PSM авторизует удаленное подключение, оно отображается на странице Временной шкалы событий Defender для Интернета вещей. На странице Временная шкала событий отображается временная шкала всех оповещений и уведомлений.

Чтобы просмотреть временная шкала события, выполните следующие действия:

  1. Войдите в сетевой датчик, а затем выберите Временная шкала событий.

  2. Найдите любое событие под названием Удаленный сеанс PSM.

Аудит & судебной экспертизы

Администраторы могут выполнять аудит и исследовать сеансы удаленного доступа, запрашивая платформу Defender для Интернета вещей через встроенный интерфейс интеллектуального анализа данных. Эти сведения можно использовать для идентификации всех возникших подключений к удаленному доступу, включая сведения о судебной экспертизе, такие как устройства или с устройств, протоколы (RDP или SSH), исходных и конечных пользователей, метки времени, а также были ли разрешены сеансы с помощью PSM.

Аудит и исследование:

  1. Войдите в сетевой датчик, а затем выберите Интеллектуальный анализ данных.

  2. Выберите Удаленный доступ.

Остановка интеграции

В любой момент времени вы можете прекратить взаимодействие с интеграцией.

Чтобы остановить интеграцию, выполните следующие действия.

  1. В датчике OT перейдите в раздел Параметры системы.

  2. Переведите параметр Syslog Server в положение Выкл .

    Представление состояния сервера.

Дальнейшие действия