與 CyberArk 整合適用於 IoT 的 Microsoft Defender

此文章可協助您了解如何整合和使用 CyberArk 與適用於 IoT 的 Microsoft Defender。

適用於 IoT 的 Defender 會提供的 ICS 和 IIoT 網路安全性平台，其中具有 ICS 感知威脅分析和機器學習。

威脅執行者會使用遭入侵的遠端存取認證，透過遠端桌面和 VPN 連線來存取重要的基礎結構網路。 使用信任的連線，此方法可輕鬆地略過任何 OT 周邊安全性。 認證通常遭具特殊權限的使用者竊取，例如控制工程師和合作夥伴維護人員，需要遠端存取才能執行每日工作。

與 CyberARK 整合適用於 IoT 的 Defender 允許您：

• 降低未經授權的遠端存取 OT 風險

• 提供 OT 的持續監視和使用權限存取安全性

• 增強事件回應、威脅搜捕和威脅模型

適用於 IoT 的 Defender 設備透過 SPAN 連接埠 (鏡像埠) 連線到 OT 網路，例如交換器，以及透過單向 (輸入) 連線至適用於 IoT 設備的 Defender 網路絡介面路由器。

專用的網路介面也會在適用於 IoT 設備的 Defender 中提供，以進行集中式管理和 API 存取。 此介面也用於與組織資料中心內部署的 CyberArk PSM 解決方案通訊，以管理具特殊權限的使用者和保護遠端存取的連線。

在本文中，您將學會如何：

必要條件

開始之前，請先確定您已擁有下列必要條件：

• CyberARK 2.0 版。

• 確認您的企業擁有 CLI 存取至所有適用於 IoT 設備的 Defender。

• Azure 帳戶。 如果您尚無 Azure 帳戶，可以立即建立一個 Azure 免費帳戶。

• 以管理使用者身分存取適用於 IoT 的 Defender OT 感應器。 如需詳細資訊，請參閱使用適用於 IoT 的 Defender 進行 OT 監視的內部部署使用者和角色。

設定 PSM CyberArk

CyberArk 必須設定為允許與適用於 IoT 的 Defender 通訊。 此通訊為藉由設定 PSM 來完成。

若要設定 PSM：

1. 找出 c:\Program Files\PrivateArk\Server\dbparam.xml 並加以開啟。

2. 新增下列參數：

   [SYSLOG] UseLegacySyslogFormat=Yes SyslogTranslatorFile=Syslog\CyberX.xsl SyslogServerIP=<CyberX Server IP> SyslogServerProtocol=UDP SyslogMessageCodeFilter=319,320,295,378,380

3. 儲存檔案，然後將其關閉。

4. 將適用於 IoT syslog 的 Defender 組態檔案CyberX.xsl置於c:\Program Files\PrivateArk\Server\Syslog\CyberX.xsl中。

5. 開啟伺服器管理中心。

6. 選取 [停止號誌燈]，以停止伺服器。

7. 選取 [啟動交通燈]，以啟動伺服器。

在適用於 IoT 的 Defender 中啟用整合

若要啟用整合，必須在 OT 感測器中啟用 Syslog 伺服器。 根據預設，Syslog 伺服器會使用埠 514 UDP 接聽系統的 IP 位址。

如要設定適用於 IoT 的 Defender：

1. 登入您的 OT 感測器，然後流覽至 [ 系統設定]。

2. 將 Syslog 伺服器切換為 [開啟]。

   

3. (選用) 透過 CLI 登入系統、瀏覽至 /var/cyberx/properties/syslog.properties，然後變更為 listener: 514/udp，以變更連接埠。

檢視和管理偵測

適用於 IoT 的 Microsoft Defender 與 CyberArk PSM 間的整合為透過 syslog 訊息執行。 PSM 解決方案會將這些訊息傳送至適用於 IoT 的 Defender、通知適用於 IoT 任何遠端工作階段，或驗證失敗的 Defender。

適用於 IoT 的 Defender 從 PSM 收到這些訊息後，就將訊息與網路上所見的資料相互關聯。 因此，確認對網路的任何遠端存取連線由 PSM 解決方案產生，而不是未獲授權的使用者。

檢視警示

每當適用於 IoT 平台的 Defender 發現不是由 PSM 授權的遠端工作階段時，就會發出 Unauthorized Remote Session。 為協助立即調查，警示也會顯示來源和目的地裝置的 IP 位址和名稱。

若要檢視警示：

1. 登入您的 OT 感測器，然後選取 [ 警示]。

2. 從警示清單中，選取標題為 [未經授權遠端工作階段] 的警示。

事件時間軸

每當 PSM 授權遠端連線時，就會顯示在適用於 IoT 的 Defender [事件時程表] 頁面。 [事件時程表] 頁面會顯示所有警示和通知的時程表。

如要檢視事件時程表：

1. 登入網路感應器，然後選取 [事件時間軸]。

2. 找出標題為 PSM 遠端工作階段的任何事件。

稽核與鑑識

系統管理員可透過其內建資料採礦介面查詢適用於 IoT 平台的 Defender，藉以稽核及調查遠端存取工作階段。 此項資訊可用來識別發生的所有遠端存取連線，包含從或到裝置、通訊協定 (RDP 或 SSH)、來源和目的地使用者、時間戳記，以及工作階段是否已使用 PSM 獲得授權。

如要稽核並調查：

1. 登入網路感應器，然後選取 [資料採礦]。

2. 選取 [遠端存取]。

停止整合

在任何時間點，您都可以從通訊停止整合。

停止整合：

1. 在 OT 感測器中，流覽至 [ 系統設定]。

2. 將 [Syslog 伺服器] 選項切換為 [關閉]。

   

下一步