Integrar o ClearPass ao Microsoft Defender para IoT

Cuidado

Este artigo faz referência ao CentOS, uma distribuição do Linux que está se aproximando do status de EOL (fim da vida útil). Considere seu uso e planejamento adequadamente. Para obter mais informações, veja a orientação CentOS End Of Life.

Este artigo descreve como integrar o Aruba para o ClearPass ao Microsoft Defender para IoT, para exibir informações do ClearPass e do Defender para IoT em um único lugar.

A exibição conjunta das informações do Defender para IoT e do ClearPass fornece aos analistas de SOC (centro de operações de segurança) visibilidade multidimensional dos protocolos OT especializados e dispositivos implantados em ambientes industriais, juntamente com a análise comportamental com reconhecimento de ICS para detectar rapidamente comportamento suspeito ou anormal.

Integrações baseadas em nuvem

Dica

As integrações de segurança baseadas em nuvem oferecem vários benefícios em soluções locais, como gerenciamento centralizado e mais simples de sensores e monitoramento centralizado de segurança.

Outros benefícios incluem monitoramento em tempo real, uso eficiente de recursos, maior escalabilidade e robustez, proteção melhorada contra ameaças à segurança, manutenção e atualizações simplificadas e integração perfeita com soluções de terceiros.

Caso esteja integrando um sensor da OT conectado à nuvem com o Aruba para o ClearPass, é recomendável se conectar ao Microsoft Sentinel e instalar o conector de dados do Aruba para o ClearPass.

O Microsoft Sentinel é um serviço de nuvem escalonável que oferece SIEM (gerenciamento de eventos e informações de segurança) e SOAR (resposta automatizada para orquestração de segurança). As equipes SOC podem usar a integração entre o Microsoft Defender para IoT e o Microsoft Sentinel para coletar dados entre redes, detectar e investigar ameaças e responder a incidentes.

No Microsoft Sentinel, o conector de dados e a solução do Defender para IoT trazem conteúdo de segurança pronto para uso para as equipes do SOC, ajudando-os a exibir, analisar e responder a alertas de segurança de OT e entender os incidentes gerados no conteúdo de ameaças organizacionais mais amplo.

Para obter mais informações, consulte:

• Tutorial: conectar o Microsoft Defender para IoT ao Microsoft Sentinel
• Tutorial: investigar e detectar ameaças para dispositivos IoT
• Documentação do Microsoft Sentinel.

Integrações locais

Caso esteja trabalhando com um sensor do OT gerenciado localmente, com gapped de ar, será necessário uma solução local para exibir informações do Defender para IoT e Splunk no mesmo lugar.

Nesses casos, é recomendável configurar o sensor da OT para enviar arquivos de syslog diretamente para o ClearPass ou use a API interna do Defender para IoT.

Para saber mais, veja:

• Encaminhar informações de alertas de OT locais
• Referência da API do Defender para IoT

Integração local (herdada)

Esta seção descreve como integrar o Defender para IoT e o CPPM (Gerenciamento da Política do ClearPass) usando a integração herdada e local.

Importante

A integração herdada do Aruba para o ClearPass tem suporte até outubro de 2024 usando o sensor versão 23.1.3 e não terá suporte nas próximas versões principais de software. Para clientes que usam a integração herdada, é recomendável migrar para um dos seguintes métodos:

• Caso esteja integrando a solução de segurança a sistemas baseados em nuvem, é recomendável usar conectores de dados por meio do Microsoft Sentinel.
• Para integrações locais, é recomendável configurar o sensor do OT para encaminhar eventos de syslog ou usar as APIs do Defender para IoT.

Pré-requisitos

Antes de iniciar, verifique se você cumpre os seguintes pré-requisitos:

Pré-requisito	Descrição
Requisitos do Aruba para o ClearPass	O CPPM é executado em dispositivos de hardware com software pré-instalado ou como uma Máquina Virtual nos hipervisores a seguir. – VMware ESXi 5.5, 6.0, 6.5, 6.6 ou superior. – Microsoft Hyper-V Server 2012 R2 ou 2016 R2. – Hyper-V no Microsoft Windows Server 2012 R2 ou 2016 R2. – KVM no CentOS 7.5 ou posterior. Não há suporte para os hipervisores executados em um computador cliente, como o VMware Player.
Requisitos do Defender para IoT	– Defender para IoT versão 2.5.1 ou superior. – Acesso a um sensor do OT do Defender para IoT como um usuário Administrador.

Criar um usuário de API do ClearPass

Como parte do canal de comunicação entre os dois produtos, o Defender para IoT usa muitas APIs (de DICAS e REST). O acesso às APIs de DICAS é validado através de credenciais de combinação de nome de usuário e senha. Essa ID de usuário precisa ter níveis mínimos de acesso. Não use um perfil de Super Administrador, mas use o Administrador de API, conforme mostrado abaixo.

Para criar um usuário de API do ClearPass:

1. Selecione Administração>Usuários e Privilégios e, em seguida, selecione ADICIONAR.

2. Na caixa de diálogo Adicionar Usuário Administrador, defina os seguintes parâmetros:

   Parâmetro	Descrição
   UserID	Insira a ID de usuário.
   Nome	Insira o nome de usuário.
   Senha	Digite a senha.
   Habilitar Usuário	Verifique se essa opção está habilitada.
   Nível de privilégio	Selecione Administrador de API.

3. Selecione Adicionar.

Criar um perfil de operador do ClearPass

O Defender para IoT usa a API REST como parte da integração. As APIs REST são autenticadas em uma estrutura OAuth. Para sincronizar com o Defender para IoT, você precisa criar um Cliente de API.

Para proteger o acesso à API REST para o Cliente de API, crie um perfil de operador de acesso restrito.

Para criar um perfil de operador do ClearPass:

1. Navegue até a janela Editar Perfil do Operador.

2. Defina todas as opções como Sem acesso, exceto as seguintes:

   Parâmetro	Descrição
   Serviços de API	Definir como Permitir acesso
   Gerenciador de Políticas	Defina o seguinte: - Dicionários: atributos definidos como Leitura, Gravação e Exclusão - Dicionários: Impressões digitais definidas para Leitura, Gravação, Exclusão - Identidade: pontos de extremidade definidos como Leitura, Gravação e Exclusão

Criar um cliente de API do OAuth do ClearPass

1. Na janela principal, selecione Administrador>Serviços de API>Clientes de API.

2. Na guia Criar Cliente de API, defina os seguintes parâmetros:

   • Modo de Operação: esse parâmetro é usado para chamadas à API do ClearPass. Selecione REST API do ClearPass – Cliente.

   • Perfil do Operador: use o perfil criado anteriormente.

   • Tipo de concessão: defina as credenciais de cliente (grant_type = client_credentials) .

3. Certifique-se de registrar o Segredo do Cliente e a ID do Cliente. Por exemplo, defender-rest.

4. No Gerenciador de Políticas, colete a lista de informações a seguir antes de passar para a próxima etapa.

   • ID de usuário do CPPM

   • Senha de ID do usuário do CPPM

   • ID do cliente da API OAuth2 do CPPM

   • Segredo do cliente da API OAuth2 do CPPM

Configurar o Defender para IoT para integração com o ClearPass

Para habilitar a exibição do inventário de dispositivos no ClearPass, você precisa configurar o Defender para IoT-ClearPass sincronização. Quando a configuração de sincronização for concluída, a plataforma Defender para IoT atualizará o EndpointDb do ClearPass Policy Manager à medida que descobre novos pontos de extremidade.

Para configurar a sincronização do ClearPass no sensor do Defender para IoT:

1. No sensor do defender para IOT, selecione Configurações do sistema>integrações>ClearPass.

2. Defina os seguintes parâmetros:

   Parâmetro	Descrição
   Habilita a sincronização	Ative para habilitar a sincronização entre o Defender para IoT e o ClearPass.
   Frequência da sincronização (em minutos)	Defina a frequência de sincronização em minutos. O padrão é de 60 minutos. O mínimo é de 5 minutos.
   Host do ClearPass	O endereço IP do sistema ClearPass com o qual o Defender para IoT está sincronizado.
   ID do Cliente	A ID do cliente criada no ClearPass para sincronizar os dados com o Defender para IoT.
   Segredo do Cliente	O segredo do cliente criado no ClearPass para sincronizar os dados com o Defender para IoT.
   Nome de usuário	O usuário administrador do ClearPass.
   Senha	A senha de administrador do ClearPass.

3. Clique em Salvar.

Definir uma regra de encaminhamento do ClearPass

Para habilitar a exibição dos alertas descobertos pelo Defender para IoT no Aruba, você precisa definir a regra de encaminhamento. Essa regra define quais informações sobre o ICS e as ameaças de segurança SCADA identificadas pelo mecanismos de segurança do Defender para IoT são enviadas ao ClearPass.

Para obter mais informações, confira Integrações locais.

Monitorar a comunicação entre o ClearPass e o Defender para IoT

Depois que a sincronização for iniciada, os dados do ponto de extremidade serão preenchidos diretamente no EndpointDb do Gerenciador de Políticas, você poderá exibir a hora da última atualização na tela de configuração de integração.

Para examinar a hora da última sincronização do ClearPass:

1. Entre no sensor do Defender para IoT.

2. Selecione configurações do sistema>Integrações>ClearPass.

   

Se a sincronização não estiver funcionando ou mostrar um erro, é provável que você tenha perdido a captura de algumas das informações. Verifique novamente os dados gravados.

Além disso, você pode exibir as chamadas de API entre o Defender para IoT e o ClearPass partir do Registro do>Aplicativo de>Suporte>Administrativo de Convidados.

Por exemplo, registros de API entre o Defender para IoT e o ClearPass:

Próximas etapas

Integrações com serviços da Microsoft e de parceiros