ClearPass integreren met Microsoft Defender for IoT
Let op
In dit artikel wordt verwezen naar CentOS, een Linux-distributie die de status End Of Life (EOL) nadert. Overweeg uw gebruik en planning dienovereenkomstig. Zie de Richtlijnen voor het einde van de levensduur van CentOS voor meer informatie.
In dit artikel wordt beschreven hoe u Aruba ClearPass integreert met Microsoft Defender for IoT, om zowel ClearPass- als Defender for IoT-informatie op één plaats weer te geven.
Het weergeven van zowel Defender for IoT- als ClearPass-gegevens biedt SOC-analisten multidimensionale zichtbaarheid in de gespecialiseerde OT-protocollen en apparaten die zijn geïmplementeerd in industriële omgevingen, samen met ICS-bewuste gedragsanalyses om snel verdacht of afwijkend gedrag te detecteren.
Cloudintegraties
Tip
Cloudgebaseerde beveiligingsintegraties bieden verschillende voordelen ten opzichte van on-premises oplossingen, zoals gecentraliseerd, eenvoudiger sensorbeheer en gecentraliseerde beveiligingsbewaking.
Andere voordelen zijn realtime-bewaking, efficiënt resourcegebruik, verbeterde schaalbaarheid en robuustheid, verbeterde bescherming tegen beveiligingsrisico's, vereenvoudigd onderhoud en updates en naadloze integratie met oplossingen van derden.
Als u een in de cloud verbonden OT-sensor integreert met Aruba ClearPass, raden we u aan verbinding te maken met Microsoft Sentinel en vervolgens de Aruba ClearPass-gegevensconnector te installeren.
Microsoft Sentinel is een schaalbare cloudservice voor SECURITY Information Event Management (SIEM) security orchestration automated response (SOAR). SOC-teams kunnen de integratie tussen Microsoft Defender for IoT en Microsoft Sentinel gebruiken om gegevens te verzamelen in netwerken, bedreigingen te detecteren en te onderzoeken en op incidenten te reageren.
In Microsoft Sentinel brengt de Defender for IoT-gegevensconnector en -oplossing out-of-the-box-beveiligingsinhoud naar SOC-teams, zodat ze OT-beveiligingswaarschuwingen kunnen bekijken, analyseren en erop kunnen reageren en de gegenereerde incidenten in de bredere inhoud van bedreigingen van de organisatie kunnen begrijpen.
Zie voor meer informatie:
- Zelfstudie: Microsoft Defender for IoT Verbinding maken met Microsoft Sentinel
- Zelfstudie: Bedreigingen voor IoT-apparaten onderzoeken en detecteren
- Documentatie voor Microsoft Sentinel.
On-premises integraties
Als u werkt met een lucht-gapped, lokaal beheerde OT-sensor, hebt u een on-premises oplossing nodig om Defender for IoT- en Splunk-gegevens op dezelfde plaats weer te geven.
In dergelijke gevallen raden we u aan om uw OT-sensor te configureren om syslog-bestanden rechtstreeks naar ClearPass te verzenden of de ingebouwde API van Defender for IoT te gebruiken.
Zie voor meer informatie:
On-premises integratie (verouderd)
In deze sectie wordt beschreven hoe u Defender for IoT en ClearPass Policy Manager (CPPM) integreert met behulp van de verouderde on-premises integratie.
Belangrijk
De verouderde Aruba ClearPass-integratie wordt ondersteund tot en met oktober 2024 met sensorversie 23.1.3 en wordt niet ondersteund in toekomstige primaire softwareversies.. Voor klanten die de verouderde integratie gebruiken, raden we u aan om over te stappen op een van de volgende methoden:
- Als u uw beveiligingsoplossing integreert met cloudsystemen, raden we u aan om gegevensconnectors te gebruiken via Microsoft Sentinel.
- Voor on-premises integraties raden we u aan om uw OT-sensor te configureren om syslog-gebeurtenissen door te sturen of Defender for IoT-API's te gebruiken.
Vereisten
Voordat u begint, moet u ervoor zorgen dat u aan de volgende vereisten voldoet:
| Vereiste | Beschrijving |
|---|---|
| Aruba ClearPass-vereisten | CPPM wordt uitgevoerd op hardwareapparaten met vooraf geïnstalleerde software of als een virtuele machine onder de volgende hypervisors. - VMware ESXi 5.5, 6.0, 6.5, 6.6 of hoger. - Microsoft Hyper-V Server 2012 R2 of 2016 R2. - Hyper-V op Microsoft Windows Server 2012 R2 of 2016 R2. - KVM op CentOS 7.5 of hoger. Hypervisors die worden uitgevoerd op een clientcomputer zoals VMware Player, worden niet ondersteund. |
| Vereisten voor Defender for IoT | - Defender for IoT versie 2.5.1 of hoger. - Toegang tot een Defender for IoT OT-sensor als Beheer gebruiker. |
Een ClearPass API-gebruiker maken
Als onderdeel van het communicatiekanaal tussen de twee producten gebruikt Defender for IoT veel API's (zowel TIPS als REST). Toegang tot de TIPS-API's wordt gevalideerd via combinatiereferenties voor gebruikersnaam en wachtwoord. Deze gebruikers-id moet minimale toegangsniveaus hebben. Gebruik geen Super Beheer istrator-profiel, maar gebruik in plaats daarvan API-Beheer istrator, zoals hieronder wordt weergegeven.
Een ClearPass API-gebruiker maken:
Selecteer Beheer gebruikers>en bevoegdheden en selecteer vervolgens TOEVOEGEN.
Stel in het dialoogvenster Beheer Gebruiker toevoegen de volgende parameters in:
Parameter Description UserID Voer de gebruikers-id in. Naam Voer de gebruikersnaam in. Wachtwoord Voer het wachtwoord in. Gebruiker inschakelen Controleer of deze optie is ingeschakeld. Bevoegdheidsniveau Selecteer API-Beheer istrator. Selecteer Toevoegen.
Een ClearPass-operatorprofiel maken
Defender for IoT maakt gebruik van de REST API als onderdeel van de integratie. REST API's worden geverifieerd onder een OAuth-framework. Als u wilt synchroniseren met Defender for IoT, moet u een API-client maken.
Als u de toegang tot de REST API voor de API-client wilt beveiligen, maakt u een operatorprofiel voor beperkte toegang.
Een ClearPass-operatorprofiel maken:
Navigeer naar het venster Operatorprofiel bewerken.
Stel alle opties in op Geen toegang , met uitzondering van het volgende:
Parameter Description API Services Instellen op Toegang toestaan Beleidsbeheer Stel het volgende in:
- Woordenlijsten: Kenmerken ingesteld op Lezen, Schrijven, Verwijderen
- Woordenlijsten: Vingerafdrukken ingesteld op Lezen, Schrijven, Verwijderen
- Identiteit: Eindpunten ingesteld op Lezen, Schrijven, Verwijderen
Een ClearPass OAuth API-client maken
Selecteer in het hoofdvenster Beheer istrator>API Services API-clients.>
Stel op het tabblad API-client maken de volgende parameters in:
Bedrijfsmodus: deze parameter wordt gebruikt voor API-aanroepen naar ClearPass. Selecteer ClearPass REST API – Client.
Operatorprofiel: gebruik het profiel dat u eerder hebt gemaakt.
Type toekenning: Clientreferenties instellen (grant_type = client_credentials).
Zorg ervoor dat u het clientgeheim en de client-id opneemt. Bijvoorbeeld:
defender-rest.Zorg ervoor dat u in Beleidsbeheer de volgende lijst met informatie hebt verzameld voordat u doorgaat met de volgende stap.
CPPM UserID
CPPM UserId Password
CPPM OAuth2 API-client-id
CPPM OAuth2 API-clientgeheim
Defender for IoT configureren voor integratie met ClearPass
Als u het weergeven van de apparaatinventaris in ClearPass wilt inschakelen, moet u Defender for IoT-ClearPass sync instellen. Wanneer de synchronisatieconfiguratie is voltooid, werkt het Defender for IoT-platform de ClearPass Policy Manager EndpointDb bij naarmate er nieuwe eindpunten worden gedetecteerd.
ClearPass-synchronisatie configureren op de Defender for IoT-sensor:
Selecteer In de Defender for IoT-sensor systeeminstellingenIntegraties>>ClearPass.
Stel de volgende parameters in:
Parameter Description Synchronisatie inschakelen Schakel de wisselknop in om de synchronisatie tussen Defender for IoT en ClearPass in te schakelen. Synchronisatiefrequentie (minuten) Definieer de synchronisatiefrequentie in minuten. De standaardwaarde is 60 minuten. Het minimum is 5 minuten. ClearPass-host Het IP-adres van het ClearPass-systeem waarmee Defender for IoT is gesynchroniseerd. Client ID De client-id die is gemaakt op ClearPass voor het synchroniseren van de gegevens met Defender for IoT. Client Secret Het clientgeheim dat is gemaakt op ClearPass voor het synchroniseren van de gegevens met Defender for IoT. Gebruikersnaam De gebruiker van de ClearPass-beheerder. Wachtwoord Het beheerderswachtwoord van ClearPass. Selecteer Opslaan.
Een ClearPass-doorstuurregel definiëren
Als u het weergeven van de waarschuwingen wilt inschakelen die zijn gedetecteerd door Defender for IoT in Aruba, moet u de doorstuurregel instellen. Met deze regel wordt gedefinieerd welke informatie over de ICS- en SCADA-beveiligingsrisico's die worden geïdentificeerd door Defender for IoT-beveiligingsengines, naar ClearPass worden verzonden.
Zie On-premises integraties voor meer informatie.
ClearPass- en Defender for IoT-communicatie bewaken
Zodra de synchronisatie is gestart, worden eindpuntgegevens rechtstreeks ingevuld in de EndpointDb van Policy Manager, kunt u de laatste updatetijd bekijken vanuit het scherm voor integratieconfiguratie.
De laatste synchronisatietijd naar ClearPass controleren:
Meld u aan bij de Defender for IoT-sensor.
Selecteer Systeeminstellingen>Integraties>ClearPass.
Als de synchronisatie niet werkt of een fout weergeeft, is het waarschijnlijk dat u een deel van de informatie hebt gemist. Controleer de opgenomen gegevens opnieuw.
Daarnaast kunt u de API-aanroepen tussen Defender for IoT en ClearPass bekijken vanuit het toepassingslogboek van gast> Beheer istration.>>
API-logboeken tussen Defender for IoT en ClearPass:
