Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Эта статья поможет вам узнать, как интегрировать и использовать CyberArk с Microsoft Defender для Интернета вещей.
Defender для Интернета вещей предоставляет платформы кибербезопасности ICS и IIoT с аналитикой угроз и машинным обучением с поддержкой ICS.
Субъекты угроз используют скомпрометированные учетные данные удаленного доступа для доступа к критически важным сетям инфраструктуры через удаленный рабочий стол и VPN-подключения. Используя доверенные подключения, этот подход легко обходит любую безопасность периметра OT. Учетные данные обычно похищаются у привилегированных пользователей, таких как инженеры по управлению и персонал по обслуживанию партнеров, которым требуется удаленный доступ для выполнения повседневных задач.
Интеграция Defender для Интернета вещей вместе с CyberARK позволяет:
Снижение рисков OT от несанкционированного удаленного доступа
Обеспечение непрерывного мониторинга и безопасности привилегированного доступа для OT
Улучшение реагирования на инциденты, охоты на угрозы и моделирования угроз
Defender для Интернета вещей (модуль) подключен к сети OT через порт SPAN (зеркало порт) на сетевых устройствах, таких как коммутаторы и маршрутизаторы, через односторонное (входящее) подключение к выделенным сетевым интерфейсам в Defender для Интернета вещей (модуль).
В (модуль) Defender для Интернета вещей также предоставляется выделенный сетевой интерфейс для централизованного управления и доступа к API. Этот интерфейс также используется для взаимодействия с решением CyberArk PSM, которое развернуто в центре обработки данных организации для управления привилегированными пользователями и безопасных подключений удаленного доступа.
Из этой статьи вы узнаете, как:
- Настройка PSM в CyberArk
- Включение интеграции в Defender для Интернета вещей
- Просмотр обнаружений и управление ими
- Остановка интеграции
Предварительные условия
Перед началом работы убедитесь, что у вас есть следующие предварительные требования:
CyberARK версии 2.0.
Убедитесь, что у вас есть доступ cli ко всем устройствам Defender для Интернета вещей на предприятии.
Учетная запись Azure. Если у вас еще нет учетной записи Azure, вы можете создать бесплатную учетную запись Azure сегодня.
Доступ к датчику OT Defender для Интернета вещей в качестве пользователя Администратор. Дополнительные сведения см. в статье Локальные пользователи и роли для мониторинга OT с помощью Defender для Интернета вещей.
Настройка PSM CyberArk
CyberArk необходимо настроить так, чтобы разрешить взаимодействие с Defender для Интернета вещей. Это взаимодействие осуществляется путем настройки PSM.
Чтобы настроить PSM, выполните следующие действия.
Найдите и откройте
c:\Program Files\PrivateArk\Server\dbparam.xmlфайл.Добавьте следующие параметры:
[SYSLOG]UseLegacySyslogFormat=YesSyslogTranslatorFile=Syslog\CyberX.xslSyslogServerIP=<CyberX Server IP>SyslogServerProtocol=UDPSyslogMessageCodeFilter=319,320,295,378,380Сохраните файл, а затем закройте его.
Поместите файл
CyberX.xslконфигурации системного журнала Defender для Интернета вещей вc:\Program Files\PrivateArk\Server\Syslog\CyberX.xsl.Откройте центр администрирования сервера.
Выберите Остановить светофор, чтобы остановить сервер.Выберите Запустить светофор , чтобы запустить сервер.
Включение интеграции в Defender для Интернета вещей
Чтобы включить интеграцию, необходимо включить сервер Syslog Server в датчике OT. По умолчанию сервер Системного журнала прослушивает IP-адрес системы, используя порт 514 UDP.
Чтобы настроить Defender для Интернета вещей, выполните следующие действия:
Войдите в датчик OT, а затем перейдите в раздел Параметры системы.
Переключите сервер системного журнала в значение Вкл.
(Необязательно) Измените порт, войдите в систему с помощью cli, перейдите по адресу
/var/cyberx/properties/syslog.properties, а затем измените наlistener: 514/udp.
Просмотр обнаружений и управление ими
Интеграция между Microsoft Defender для Интернета вещей и CyberArk PSM выполняется через сообщения системного журнала. Эти сообщения отправляются решением PSM в Defender для Интернета вещей, уведомляя Defender для Интернета вещей о любых удаленных сеансах или сбоях проверки.
После того как платформа Defender для Интернета вещей получает эти сообщения от PSM, она сопоставляет их с данными, которые она видит в сети. Таким образом, проверка того, что все подключения удаленного доступа к сети были созданы решением PSM, а не несанкционированным пользователем.
Просмотр оповещений
Всякий раз, когда платформа Defender для Интернета вещей определяет удаленные сеансы, которые не были авторизованы PSM, она выдает .Unauthorized Remote Session Чтобы упростить немедленное исследование, в оповещении также отображаются IP-адреса и имена исходных и целевых устройств.
Чтобы просмотреть оповещения, выполните приведенные далее действия.
Войдите в датчик OT, а затем выберите Оповещения.
В списке оповещений выберите оповещение с именем Unauthorized Remote Session (Неавторизованный удаленный сеанс).
Временная шкала события
Когда PSM авторизует удаленное подключение, оно отображается на странице Временной шкалы событий Defender для Интернета вещей. На странице Временная шкала событий отображается временная шкала всех оповещений и уведомлений.
Чтобы просмотреть временная шкала события, выполните следующие действия:
Войдите в сетевой датчик, а затем выберите Временная шкала событий.
Найдите любое событие под названием Удаленный сеанс PSM.
Аудит & судебной экспертизы
Администраторы могут выполнять аудит и исследовать сеансы удаленного доступа, запрашивая платформу Defender для Интернета вещей через встроенный интерфейс интеллектуального анализа данных. Эти сведения можно использовать для идентификации всех возникших подключений к удаленному доступу, включая сведения о судебной экспертизе, такие как устройства или с устройств, протоколы (RDP или SSH), исходных и конечных пользователей, метки времени, а также были ли разрешены сеансы с помощью PSM.
Аудит и исследование:
Войдите в сетевой датчик, а затем выберите Интеллектуальный анализ данных.
Выберите Удаленный доступ.
Остановка интеграции
В любой момент времени вы можете прекратить взаимодействие с интеграцией.
Чтобы остановить интеграцию, выполните следующие действия.
В датчике OT перейдите в раздел Параметры системы.
Переведите параметр Syslog Server в положение Выкл .