Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
В этой статье описывается, как интегрировать Palo Alto с Microsoft Defender для Интернета вещей, чтобы просматривать сведения Palo Alto и Defender для Интернета вещей в одном месте или использовать данные Defender для Интернета вещей для настройки блокирующих действий в Palo Alto.
Совместное использование информации из Defender для Интернета вещей и Palo Alto обеспечивает аналитиков SOC многомерной видимостью, позволяя им быстрее блокировать критические угрозы.
Замечание
Defender для Интернета вещей планирует прекратить использование интеграции с Palo Alto 1 декабря 2025 г.
Интеграция на основе облака
Подсказка
Интеграция безопасности на основе облака обеспечивает несколько преимуществ по сравнению с локальными решениями, такими как централизованное, упрощенное управление датчиками и централизованный мониторинг безопасности.
К другим преимуществам относятся мониторинг в режиме реального времени, эффективное использование ресурсов, повышение масштабируемости и надежность, улучшенная защита от угроз безопасности, упрощенное обслуживание и обновления, а также простая интеграция с сторонними решениями.
Если вы интегрируете облачный датчик OT с Palo Alto, рекомендуется подключить Defender для Интернета вещей к Microsoft Sentinel.
Установите одно или несколько следующих решений для просмотра данных Palo Alto и Defender для Интернета вещей в Microsoft Sentinel.
Microsoft Sentinel — это масштабируемая облачная служба для управления событиями и информации безопасности (SIEM), а также для автоматизации реагирования на инциденты (SOAR). Команды SOC могут использовать интеграцию между Microsoft Defender для Интернета вещей и Microsoft Sentinel для сбора данных в сетях, обнаружения и исследования угроз и реагирования на инциденты.
В Microsoft Sentinel соединитель данных Defender для Интернета вещей и соответствующее решение предоставляют специализированное содержимое безопасности командам SOC, помогая им просматривать, анализировать и реагировать на оповещения безопасности OT, а также понимать сгенерированные инциденты в контексте угроз для организации.
Дополнительные сведения можно найти здесь
- Руководство. Подключение Microsoft Defender для Интернета вещей с помощью Microsoft Sentinel
- Руководство. Изучение и обнаружение угроз для устройств Интернета вещей
Локальные интеграции
Если вы работаете с изолированным локально управляемым датчиком OT, вам потребуется локальное решение для одновременного просмотра информации Microsoft Defender для Интернета вещей и Palo Alto.
В таких случаях рекомендуется настроить датчик OT для отправки файлов системного журнала непосредственно в Palo Alto или использовать встроенный API Defender для Интернета вещей.
Дополнительные сведения можно найти здесь
Локальная интеграция (устаревшая версия)
В этом разделе описывается, как интегрировать и использовать Palo Alto с Microsoft Defender для Интернета вещей с помощью устаревшей локальной интеграции, которая автоматически создает новые политики в NMS и Panorama Сети Palo Alto Network.
Это важно
Устаревшая интеграция Palo Alto Panorama поддерживается до октября 2024 г. с помощью датчика версии 23.1.3 и не будет поддерживаться в предстоящих основных версиях программного обеспечения. Для клиентов, использующих устаревшую интеграцию, рекомендуется перейти к одному из следующих методов:
- Если вы интегрируете решение безопасности с облачными системами, рекомендуется использовать соединители данных через Microsoft Sentinel.
- Для локальной интеграции рекомендуется настроить датчик OT для пересылки событий системного журнала или использовать API Defender для Интернета вещей.
В следующей таблице показано, какие инциденты предназначены для этой интеграции:
| Тип инцидента | Описание |
|---|---|
| Несанкционированные изменения PLC | Обновление логики лестницы или встроенного ПО устройства. Это оповещение может представлять законное действие или попытку скомпрометировать устройство. Например, вредоносный код, например троянец удаленного доступа (RAT) или параметры, вызывающие физический процесс, например спиннинговая турбина, работает небезопасно. |
| Нарушение протокола | Структура пакетов или значение поля, которое нарушает спецификацию протокола. Это оповещение может представлять неправильно настроенное приложение или вредоносную попытку скомпрометировать устройство. Например, вызывая условие переполнения буфера на целевом устройстве. |
| Остановка PLC | Команда, которая приводит к остановке работы устройства, тем самым рискуя физическим процессом, контролируемым PLC. |
| Промышленные вредоносные программы, обнаруженные в сети ICS | Вредоносные программы, которые управляют устройствами ICS с помощью собственных протоколов, таких как TRITON и Indutyer. Defender для IoT также обнаруживает ИТ-вредоносные программы, которые проникли в среду ICS и SCADA. Например, Conficker, WannaCry и NotPetya. |
| Сканирование вредоносных программ | Средства рекогносцировки, которые собирают данные о конфигурации системы на этапе предварительной атаки. Например, троянская программа Havex сканирует промышленные сети для устройств с помощью OPC, который является стандартным протоколом, используемым системами SCADA под управлением Windows для взаимодействия с устройствами ICS. |
Когда Defender для Интернета вещей обнаруживает предварительно настроенный вариант использования, кнопка "Блокировать источник " добавляется в оповещение. Затем, когда пользователь Defender для Интернета вещей выбирает кнопку "Блокировать источник" , Defender для Интернета вещей создает политики в Panorama, отправляя предопределенное правило пересылки.
Политика применяется только в том случае, если администратор Panorama применяет её к соответствующей NGFW в сети.
В ИТ-сетях могут быть динамические IP-адреса. Таким образом, для этих подсетей политика должна основываться на полное доменное имя (DNS-имя), а не IP-адрес. Defender для IoT выполняет обратный поиск и сопоставляет устройства с динамическим IP-адресом с полным доменным именем (DNS-имя) через заданные промежутки времени.
Кроме того, Defender для Интернета вещей отправляет сообщение электронной почты соответствующему пользователю Panorama, чтобы уведомить о том, что новая политика, созданная Defender для Интернета вещей, ожидает утверждения. На рисунке ниже представлена архитектура интеграции Defender для Интернета вещей и Panorama:
Предпосылки
Прежде чем приступить к работе, убедитесь, что у вас есть следующие необходимые компоненты:
- Подтверждение администратором Panorama, чтобы разрешить автоматическую блокировку.
- Доступ к датчику Defender для Интернета вещей OT в качестве администратора.
Настройка запросов DNS
Первым шагом в создании политик блокировки Panorama в Defender для Интернета вещей является настройка резольвера DNS.
Чтобы настроить поиск DNS, выполните приведенные действия.
Войдите в датчик OT и выберите системные настройки>мониторинг сети>обратный поиск DNS.
Включите переключатель Включено, чтобы активировать поиск.
В поле "Обратный поиск расписания " определите параметры планирования:
- По определенному времени: укажите, когда выполнять обратный поиск ежедневно.
- По фиксированным интервалам (в часах): задайте частоту для выполнения обратного поиска.
Выберите и добавьте DNS-сервер и добавьте следующие сведения:
Параметр Описание DNS-сервер Введите IP-адрес или полное доменное имя сетевого DNS-сервера. Порт DNS-сервера Введите порт, используемый для запроса DNS-сервера. Количество меток Чтобы настроить разрешение полного доменного имени (FQDN) в DNS, укажите количество доменных меток для отображения.
Ограничение 30 символов отображается слева направо.Подсети Задайте диапазон подсети динамического IP-адреса.
Диапазон, в котором Defender для Интернета вещей делает обратный поиск IP-адреса в DNS-сервере, чтобы соответствовать их текущему полному доменному имени.Чтобы убедиться в правильности параметров DNS, выберите "Тест". Тест гарантирует правильность установки IP-адреса DNS-сервера и порта DNS-сервера.
Нажмите кнопку "Сохранить".
По завершении продолжайте создавать правила пересылки по мере необходимости:
- Настройка немедленной блокировки с помощью указанного брандмауэра Palo Alto
- Блокировать подозрительный трафик с помощью брандмауэра Palo Alto
Настройка немедленной блокировки с помощью указанного брандмауэра Palo Alto
Настройте автоматическую блокировку в таких случаях, как оповещения, связанные с вредоносными программами, путем настройки правила пересылки Defender для Интернета вещей для отправки команды блокировки непосредственно в определенный брандмауэр Palo Alto.
Когда Defender для Интернета вещей идентифицирует критически важную угрозу, он отправляет оповещение, включающее возможность блокировки зараженного источника. При выборе источника блокировки в сведениях оповещений активируется правило пересылки, которое отправляет команду блокировки указанному брандмауэру Palo Alto.
При создании правила пересылки:
В области действий определите сервер, узел, порт и учетные данные для Palo Alto NGFW.
Настройте следующие параметры, чтобы разрешить блокировку подозрительных источников брандмауэром Palo Alto:
Параметр Описание Блокировать недопустимые коды функций Нарушения протокола — недопустимое значение поля, нарушающее спецификацию протокола ICS (потенциальный эксплойт). Блокировать несанкционированное программирование PLC или обновления встроенного ПО Несанкционированные изменения PLC. Блокировка несанкционированной остановки PLC Отключение PLC (простой). Блокировка оповещений, связанных с вредоносными программами Блокировка попыток промышленной вредоносной программы (TRITON, NotPetya и т. д.).
Вы можете выбрать параметр автоматической блокировки.
В этом случае блокировка выполняется автоматически и немедленно.Блокировка несанкционированного сканирования Несанкционированное сканирование (потенциальная разведка).
Дополнительные сведения см. в разделе «Переадресация информации об оповещениях OT в локальных системах».
Блокировать подозрительный трафик с помощью брандмауэра Palo Alto
Настройте правило пересылки Defender для IoT для блокировки подозрительного трафика, используя брандмауэр Palo Alto.
При создании правила пересылки:
В области действий определите сервер, узел, порт и учетные данные для Palo Alto NGFW.
Определите, как выполняется блокировка, как показано ниже.
- По IP-адресу: всегда создает политики блокировки в Panorama на основе IP-адреса.
- По полному доменному имени или IP-адресу: создает политики блокировки в Panorama на основе полного доменного имени, если он существует, в противном случае по IP-адресу.
В поле "Электронная почта" введите адрес электронной почты для электронной почты уведомления о политике.
Замечание
Убедитесь, что вы настроили почтовый сервер в Defender для Интернета вещей. Если адрес электронной почты не указан, Defender для Интернета вещей не отправляет уведомление.
Настройте следующие параметры, чтобы разрешить блокировку подозрительных источников в Palo Alto Panorama:
Параметр Описание Блокировать недопустимые коды функций Нарушения протокола — недопустимое значение поля, нарушающее спецификацию протокола ICS (потенциальный эксплойт). Блокировать несанкционированное программирование PLC или обновления встроенного ПО Несанкционированные изменения PLC. Блокировка несанкционированной остановки PLC Отключение PLC (простой). Блокировка оповещений, связанных с вредоносными программами Блокировка попыток промышленной вредоносной программы (TRITON, NotPetya и т. д.).
Вы можете выбрать параметр автоматической блокировки.
В этом случае блокировка выполняется автоматически и немедленно.Блокировка несанкционированного сканирования Несанкционированное сканирование (потенциальная разведка).
Дополнительные сведения см. в разделе «Переадресация информации об оповещениях OT в локальных системах».
Блокировать определенные подозрительные источники
После создания правила пересылки выполните следующие действия, чтобы заблокировать определенные подозрительные источники:
На странице оповещений датчика OT найдите и выберите оповещение, связанное с интеграцией Palo Alto.
Чтобы автоматически блокировать подозрительный источник, выберите пункт Блокировать источник.
В диалоговом окне "Подтверждение" нажмите кнопку "ОК".
Подозрительный источник теперь заблокирован брандмауэром Palo Alto.