Integrace ClearPassu s Microsoft Defenderem pro IoT

Upozornění

Tento článek odkazuje na CentOS, linuxovou distribuci, která se blíží stavu Konec životnosti (EOL). Zvažte své použití a plánování odpovídajícím způsobem. Další informace najdete v doprovodných materiálech CentOS End Of Life.

Tento článek popisuje, jak integrovat Aruba ClearPass s Microsoft Defenderem pro IoT, aby se informace ClearPass i Defenderu pro IoT zobrazily na jednom místě.

Zobrazení informací o Defenderu pro IoT i ClearPass společně poskytuje analytikům SOC multidimenzionální přehled o specializovaných protokolech OT a zařízeních nasazených v průmyslových prostředích spolu s analýzou chování s podporou ICS k rychlému zjišťování podezřelého nebo neobvyklého chování.

Cloudové integrace

Tip

Cloudové integrace zabezpečení poskytují několik výhod oproti místním řešením, jako jsou centralizovaná, jednodušší správa senzorů a centralizované monitorování zabezpečení.

Mezi další výhody patří monitorování v reálném čase, efektivní využití prostředků, zvýšená škálovatelnost a robustnost, vylepšená ochrana před bezpečnostními hrozbami, zjednodušená údržba a aktualizace a bezproblémová integrace s řešeními třetích stran.

Pokud integrujete senzor OT připojený ke cloudu s Aruba ClearPassem, doporučujeme připojit se k Microsoft Sentinelu a pak nainstalovat datový konektor Aruba ClearPass.

Microsoft Sentinel je škálovatelná cloudová služba pro správu událostí zabezpečení (SIEM) pro automatickou orchestraci zabezpečení (SOAR). Týmy SOC můžou využívat integraci mezi Microsoft Defenderem pro IoT a Microsoft Sentinelem ke shromažďování dat napříč sítěmi, zjišťování a vyšetřování hrozeb a reakci na incidenty.

V Microsoft Sentinelu přináší datový konektor Defender for IoT předem připravený obsah zabezpečení týmům SOC, který jim pomáhá zobrazovat, analyzovat a reagovat na výstrahy zabezpečení OT a porozumět vygenerovaným incidentům v širším obsahu organizačních hrozeb.

Další informace naleznete v tématu:

• Kurz: Připojení Microsoft Defenderu pro IoT s Microsoft Sentinelem
• Kurz: Zkoumání a zjišťování hrozeb pro zařízení IoT
• Dokumentace ke službě Microsoft Sentinel

Místní integrace

Pokud pracujete s místně spravovaným senzorem OT, budete potřebovat místní řešení k zobrazení informací o Defenderu pro IoT a Splunk na stejném místě.

V takových případech doporučujeme nakonfigurovat senzor OT tak, aby odesílal soubory syslogu přímo do ClearPassu, nebo použít Defender pro integrované rozhraní API IoT.

Další informace naleznete v tématu:

• Předávání informací o upozornění místního OT
• Referenční informace k rozhraní API služby Defender for IoT

Místní integrace (starší verze)

Tato část popisuje, jak integrovat Defender for IoT a ClearPass Policy Manager (CPPM) pomocí starší místní integrace.

Důležité

Starší integrace Aruba ClearPass je podporována až do října 2024 pomocí senzoru verze 23.1.3 a nebude podporována v nadcházejících hlavních softwarových verzích.. Zákazníkům, kteří používají starší verzi integrace, doporučujeme přejít na jednu z následujících metod:

• Pokud integrujete řešení zabezpečení s cloudovými systémy, doporučujeme používat datové konektory prostřednictvím služby Microsoft Sentinel.
• V případě místních integrací doporučujeme nakonfigurovat senzor OT tak, aby předával události syslogu, nebo použít Defender pro rozhraní API IoT.

Požadavky

Než začnete, ujistěte se, že máte následující požadavky:

Požadavek	Popis
Aruba ClearPass – požadavky	CPPM běží na hardwarových zařízeních s předinstalovaným softwarem nebo jako virtuální počítač pod následujícími hypervisory. – VMware ESXi 5.5, 6.0, 6.5, 6.6 nebo vyšší. – Microsoft Hyper-V Server 2012 R2 nebo 2016 R2. – Hyper-V v Microsoft Windows Serveru 2012 R2 nebo 2016 R2. – KVM v CentOS 7.5 nebo novějším. Hypervisory, které běží na klientském počítači, jako je VMware Player, se nepodporují.
Požadavky na Defender for IoT	– Defender pro IoT verze 2.5.1 nebo vyšší. – Přístup k senzoru OT Defenderu for IoT jako Správa uživatel.

Vytvoření uživatele rozhraní ClearPass API

Jako součást komunikačního kanálu mezi těmito dvěma produkty používá Defender for IoT mnoho rozhraní API (TIPS i REST). Přístup k rozhraním TIPS API se ověřuje prostřednictvím přihlašovacích údajů pro kombinaci uživatelského jména a hesla. Toto ID uživatele musí mít minimální úrovně přístupu. Nepoužívejte profil super Správa istratoru, ale místo toho použijte rozhraní API Správa istrator, jak je znázorněno níže.

Vytvoření uživatele rozhraní ClearPass API:

1. Vyberte Správa uživatelé>a oprávnění a pak vyberte PŘIDAT.

2. V dialogovém okně Přidat Správa Uživatele nastavte následující parametry:

   Parametr	Popis
   UserID	Zadejte ID uživatele.
   Název	Zadejte uživatelské jméno.
   Heslo	Zadejte heslo.
   Povolit uživatele	Ověřte, že je tato možnost povolená.
   Úroveň oprávnění	Vyberte rozhraní API Správa istrator.

3. Vyberte Přidat.

Vytvoření profilu operátoru ClearPass

Defender pro IoT využívá rozhraní REST API jako součást integrace. Rozhraní REST API se ověřují v rámci architektury OAuth. Pokud chcete provést synchronizaci s defenderem pro IoT, musíte vytvořit klienta rozhraní API.

Pokud chcete zabezpečit přístup k rozhraní REST API pro klienta rozhraní API, vytvořte profil operátora omezeného přístupu.

Vytvoření profilu operátoru ClearPass:

1. Přejděte do okna Upravit profil operátora .

2. Nastavte všechny možnosti na hodnotu Žádný přístup s výjimkou následujících možností:

   Parametr	Popis
   Služby API	Nastavit na Povolit přístup
   Správce zásad	Nastavte následující: - Slovníky: Atributy nastavené na čtení, zápis, odstranění - Slovníky: Otisky prstů nastavené na čtení, zápis, odstranění - Identita: Koncové body nastavené na čtení, zápis, odstranění

Vytvoření klienta rozhraní ClearPass OAuth API

1. V hlavním okně vyberte Správa istrator>API Api>Clients.

2. Na kartě Vytvořit klienta rozhraní API nastavte následující parametry:

   • Provozní režim: Tento parametr se používá pro volání rozhraní API pro ClearPass. Vyberte ClearPass REST API – Klient.

   • Profil operátora: Použijte profil, který jste vytvořili dříve.

   • Typ udělení: Nastavení přihlašovacích údajů klienta (grant_type = client_credentials).

3. Ujistěte se, že zaznamenáte tajný klíč klienta a ID klienta. Například defender-rest.

4. Než budete pokračovat k dalšímu kroku, ujistěte se, že jste ve Správci zásad shromáždili následující seznam informací.

   • CPPM UserID

   • Heslo ID uživatele CPPM

   • ID klienta rozhraní API CPPM OAuth2

   • Tajný klíč klienta rozhraní API OAuth2 CPPM

Konfigurace Defenderu pro IoT pro integraci s ClearPassem

Pokud chcete povolit zobrazení inventáře zařízení v ClearPassu, musíte nastavit synchronizaci Defenderu pro IoT-ClearPass. Po dokončení konfigurace synchronizace aktualizuje platforma Defender for IoT koncový bod EndpointDb Správce zásad ClearPass při zjišťování nových koncových bodů.

Konfigurace synchronizace ClearPassu na senzoru Defenderu pro IoT:

1. V defenderu pro senzor IoT vyberte Možnost Integrace>nastavení>systému ClearPass.

2. Nastavte následující parametry:

   Parametr	Popis
   Povolit synchronizaci	Zapnutím povolíte synchronizaci mezi Defenderem pro IoT a ClearPass.
   Frekvence synchronizace (minuty)	Definujte frekvenci synchronizace v minutách. Výchozí hodnota je 60 minut. Minimum je 5 minut.
   ClearPass Host	IP adresa systému ClearPass, se kterým se synchronizuje Defender for IoT.
   ID klienta	ID klienta vytvořeného na ClearPassu pro synchronizaci dat s defenderem pro IoT.
   Tajný klíč klienta	Tajný klíč klienta vytvořený na ClearPassu pro synchronizaci dat s defenderem pro IoT.
   Uživatelské jméno	Uživatel správce ClearPass.
   Heslo	Heslo správce ClearPass.

3. Zvolte Uložit.

Definování pravidla předávání ClearPass

Pokud chcete povolit zobrazování výstrah zjištěných defenderem pro IoT v Aruba, musíte nastavit pravidlo předávání. Toto pravidlo definuje, které informace o ICS a bezpečnostní hrozby SCADA identifikované moduly zabezpečení Defenderu pro IoT se odesílají do ClearPassu.

Další informace najdete v tématu Místní integrace.

Monitorování komunikace ClearPass a Defenderu pro IoT

Po spuštění synchronizace se data koncových bodů vyplní přímo do koncového bodu EndpointDb Správce zásad, můžete zobrazit čas poslední aktualizace na obrazovce konfigurace integrace.

Pokud chcete zkontrolovat čas poslední synchronizace s ClearPassem:

1. Přihlaste se k senzoru Defenderu pro IoT.

2. Vyberte Možnost Integrace systémových>nastavení>ClearPass.

   

Pokud synchronizace nefunguje nebo zobrazuje chybu, pravděpodobně jste vynechali zachycení některých informací. Znovu zkontrolujte zaznamenaná data.

Kromě toho můžete zobrazit volání rozhraní API mezi Defenderem pro IoT a ClearPassem z >protokolu aplikace hosta Správa istrace>podpory.>

Například protokoly rozhraní API mezi Defenderem pro IoT a ClearPassem:

Další kroky

Integrace s Microsoftem a partnerskými službami