Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
В этой статье описывается, как интегрировать Palo Alto с Microsoft Defender для Интернета вещей, чтобы просматривать сведения о Palo Alto и Defender для Интернета вещей в одном месте или использовать данные Defender для Интернета вещей для настройки блокирующих действий в Palo Alto.
Совместное просмотр сведений о Defender для Интернета вещей и Palo Alto предоставляет аналитикам SOC многомерную видимость, чтобы они могли быстрее блокировать критические угрозы.
Примечание.
Defender для Интернета вещей планирует прекратить интеграцию Palo Alto 1 декабря 2025 г.
Интеграция на основе облака
Совет
Интеграция безопасности на основе облака обеспечивает ряд преимуществ по сравнению с локальными решениями, такими как централизованное, простое управление датчиками и централизованный мониторинг безопасности.
Другие преимущества включают мониторинг в режиме реального времени, эффективное использование ресурсов, повышение масштабируемости и надежности, улучшенную защиту от угроз безопасности, упрощенное обслуживание и обновления, а также простую интеграцию со сторонними решениями.
Если вы интегрируете подключенный к облаку датчик OT с Palo Alto, мы рекомендуем подключить Defender для Интернета вещей к Microsoft Sentinel.
Установите одно или несколько из следующих решений для просмотра данных Palo Alto и Defender для Интернета вещей в Microsoft Sentinel.
Microsoft Sentinel — это масштабируемая облачная служба для автоматического реагирования (SOAR) управления событиями безопасности (SIEM). Команды SOC могут использовать интеграцию между Microsoft Defender для Интернета вещей и Microsoft Sentinel для сбора данных между сетями, обнаружения и исследования угроз, а также реагирования на инциденты.
В Microsoft Sentinel соединитель данных и решение Defender для Интернета вещей выводит готовую информацию о безопасности для команд SOC, помогая им просматривать оповещения системы безопасности OT, анализировать их и реагировать на них, а также понимать сгенерированные инциденты в более широком содержимом организационных угроз.
Дополнительные сведения см. в разделе:
- Руководство. Подключение Microsoft Defender для Интернета вещей с помощью Microsoft Sentinel
- Руководство по анализу и обнаружению угроз для устройств Интернета вещей
Локальные интеграции
Если вы работаете с локально управляемым датчиком OT с воздушным зазором, вам потребуется локальное решение для просмотра сведений Defender для Интернета вещей и Palo Alto в том же месте.
В таких случаях рекомендуется настроить датчик OT для отправки файлов системного журнала непосредственно в Palo Alto или использовать Defender для встроенного API Интернета вещей.
Дополнительные сведения см. в разделе:
Локальная интеграция (устаревшая версия)
В этом разделе описывается, как интегрировать и использовать Palo Alto с Microsoft Defender для Интернета вещей с помощью устаревшей локальной интеграции, которая автоматически создает новые политики в NMS и Panorama Сети Palo Alto.
Важно!
Устаревшая интеграция Palo Alto Panorama поддерживается до октября 2024 г. с помощью датчика версии 23.1.3 и не будет поддерживаться в следующих основных версиях программного обеспечения. Для клиентов, использующих устаревшую интеграцию, рекомендуется перейти на один из следующих методов:
- Если вы интегрируете решение безопасности с облачными системами, рекомендуется использовать соединители данных через Microsoft Sentinel.
- Для локальной интеграции рекомендуется настроить датчик OT для пересылки событий системного журнала или использовать Defender для API Интернета вещей.
В следующей таблице показано, для каких инцидентов предназначена эта интеграция:
| Тип инцидента | Описание |
|---|---|
| Несанкционированные изменения ПЛК | Обновление логики лестницы или встроенного ПО устройства. Это оповещение может представлять собой законную деятельность или попытку компрометации устройства. Например, вредоносный код, такой как троянец удаленного доступа (RAT), или параметры, которые приводят к небезопасной работе физического процесса, такого как вращающаяся турбина. |
| Нарушение протокола | Структура пакета или значение поля, которое нарушает спецификацию протокола. Это оповещение может представлять неправильно настроенное приложение или вредоносную попытку компрометации устройства. Например, вызывается условие переполнения буфера на целевом устройстве. |
| Остановка PLC | Команда, которая приводит к остановке работы устройства, тем самым рискуя физическим процессом, контролируемым ПЛК. |
| Промышленные вредоносные программы, обнаруженные в сети ICS | Вредоносная программа, которая управляет устройствами ICS с помощью собственных протоколов, таких как TRITON и Indu пример. Defender для Интернета вещей также обнаруживает вредоносные программы, которые переместились в среду ICS и SCADA. Например, Conficker, WannaCry и NotPetya. |
| Сканирование вредоносных программ | Средства рекогносцировки, которые собирают данные о конфигурации системы на этапе предварительной атаки. Например, троян Havex сканирует промышленные сети на наличие устройств с помощью OPC, который является стандартным протоколом, используемым системами SCADA на основе Windows для связи с устройствами ICS. |
Когда Defender для Интернета вещей обнаруживает предварительно настроенный вариант использования, в оповещение добавляется кнопка Блокировать источник . Затем, когда пользователь Defender для Интернета вещей нажимает кнопку Блокировать источник , Defender для Интернета вещей создает политики в Панораме, отправляя предопределенное правило переадресации.
Политика применяется только в том случае, если администратор Panorama отправляет ее в соответствующую NGFW в сети.
В ИТ-сетях могут быть динамические IP-адреса. Таким образом, для этих подсетей политика должна основываться на полном доменном имени (DNS-имени), а не на IP-адресе. Defender для Интернета вещей выполняет обратный поиск и сопоставляет устройства с динамическим IP-адресом с их полным доменным именем (DNS-именем) каждые настроенные часы.
Кроме того, Defender для Интернета вещей отправляет сообщение электронной почты соответствующему пользователю Panorama с уведомлением о том, что новая политика, созданная Defender для Интернета вещей, ожидает утверждения. На рисунке ниже представлена архитектура интеграции Defender для Интернета вещей и Panorama:
Предварительные условия
Перед началом работы убедитесь, что у вас есть следующие предварительные требования:
- Подтверждение администратором Панорамы разрешения автоматической блокировки.
- Доступ к датчику OT Defender для Интернета вещей в качестве пользователя Администратор.
Настройка подстановки DNS
Первым шагом в создании политик блокировки Panorama в Defender для Интернета вещей является настройка подстановки DNS.
Чтобы настроить подстановку DNS, выполните следующие действия:
Войдите в датчик OT и выберите Параметры> системыМониторинг сети>Обратный поиск DNS.
Включите переключатель Включено , чтобы активировать поиск.
В поле Расписание обратного подстановки определите параметры планирования:
- По определенному времени: укажите, когда следует выполнять обратный просмотр ежедневно.
- По фиксированным интервалам (в часах). Задайте частоту для выполнения обратного просмотра.
Выберите + Добавить DNS-сервер, а затем добавьте следующие сведения:
Параметр Описание Адрес DNS-сервера Введите IP-адрес или полное доменное имя DNS-сервера сети. Порт DNS-сервера Введите порт, используемый для запроса DNS-сервера. Количество меток Чтобы настроить разрешение полного доменного имени DNS, добавьте количество отображаемых меток домена.
Слева направо отображается до 30 символов.Подсети Задайте диапазон подсети динамических IP-адресов.
Диапазон, который Defender для Интернета вещей отменяет поиск своего IP-адреса на DNS-сервере в соответствии с текущим полным доменным именем.Чтобы убедиться в правильности параметров DNS, выберите Тест. Тест гарантирует, что IP-адрес DNS-сервера и порт DNS-сервера заданы правильно.
Выберите Сохранить.
По завершении создайте правила переадресации по мере необходимости:
- Настройка немедленной блокировки указанным брандмауэром Palo Alto
- Блокировка подозрительного трафика с помощью брандмауэра Palo Alto
Настройка немедленной блокировки указанным брандмауэром Palo Alto
Настройте автоматическую блокировку в таких случаях, как оповещения, связанные с вредоносными программами, путем настройки правила переадресации Defender для Интернета вещей для отправки команды блокировки непосредственно в определенный брандмауэр Palo Alto.
Когда Defender для Интернета вещей определяет критическую угрозу, он отправляет оповещение, включающее возможность блокировки зараженного источника. При выборе источника блокировки в сведениях оповещения активируется правило переадресации, которое отправляет команду блокировки в указанный брандмауэр Palo Alto.
При создании правила переадресации:
В области Действия определите сервер, узел, порт и учетные данные для PALO Alto NGFW.
Настройте следующие параметры, чтобы разрешить блокировку подозрительных источников брандмауэром Palo Alto:
Параметр Описание Блокировка недопустимых кодов функций Нарушения протокола — недопустимое значение поля, нарушающее спецификацию протокола ICS (потенциальный эксплойт). Блокировка несанкционированного программирования и обновлений встроенного ПО ПЛК Несанкционированные изменения ПЛК. Блокировка остановки несанкционированного PLC Остановка PLC (простой). Блокировка оповещений, связанных с вредоносными программами Блокировка попыток использования промышленных вредоносных программ (TRITON, NotPetya и т. д.).
Можно выбрать параметр Автоматическая блокировка.
В этом случае блокировка выполняется автоматически и немедленно.Блокировка несанкционированного сканирования Несанкционированное сканирование (потенциальная рекогносцировка).
Дополнительные сведения см. в разделе Пересылка локальных оповещений OT.
Блокировка подозрительного трафика с помощью брандмауэра Palo Alto
Настройте правило переадресации Defender для Интернета вещей, чтобы блокировать подозрительный трафик с помощью брандмауэра Palo Alto.
При создании правила переадресации:
В области Действия определите сервер, узел, порт и учетные данные для PALO Alto NGFW.
Определите, как выполняется блокировка, следующим образом:
- По IP-адресу: всегда создает политики блокировки в Panorama на основе IP-адреса.
- По полному доменному имени или IP-адресу. Создает политики блокировки в Panorama на основе полного доменного имени, если оно существует, в противном случае — по IP-адресу.
В поле Email введите адрес электронной почты для уведомления о политике.
Примечание.
Убедитесь, что вы настроили почтовый сервер в Defender для Интернета вещей. Если адрес электронной почты не указан, Defender для Интернета вещей не отправляет уведомление по электронной почте.
Настройте следующие параметры, чтобы разрешить блокировку подозрительных источников панорамой Palo Alto:
Параметр Описание Блокировка недопустимых кодов функций Нарушения протокола — недопустимое значение поля, нарушающее спецификацию протокола ICS (потенциальный эксплойт). Блокировка несанкционированного программирования и обновлений встроенного ПО ПЛК Несанкционированные изменения ПЛК. Блокировка остановки несанкционированного PLC Остановка PLC (простой). Блокировка оповещений, связанных с вредоносными программами Блокировка попыток использования промышленных вредоносных программ (TRITON, NotPetya и т. д.).
Можно выбрать параметр Автоматическая блокировка.
В этом случае блокировка выполняется автоматически и немедленно.Блокировка несанкционированного сканирования Несанкционированное сканирование (потенциальная рекогносцировка).
Дополнительные сведения см. в разделе Пересылка локальных оповещений OT.
Блокировка определенных подозрительных источников
После создания правила переадресации выполните следующие действия, чтобы заблокировать определенные подозрительные источники:
На странице Оповещения датчика OT найдите и выберите оповещение , связанное с интеграцией Palo Alto.
Чтобы автоматически заблокировать подозрительный источник, выберите Блокировать источник.
В диалоговом окне Подтвердите нажмите кнопку ОК.
Подозрительный источник теперь заблокирован брандмауэром Palo Alto.