Integrera ClearPass med Microsoft Defender för IoT
Varning
Den här artikeln refererar till CentOS, en Linux-distribution som närmar sig EOL-status (End Of Life). Överväg att använda och planera i enlighet med detta. Mer information finns i CentOS End Of Life-vägledningen.
I den här artikeln beskrivs hur du integrerar Aruba ClearPass med Microsoft Defender för IoT för att visa både ClearPass- och Defender for IoT-information på en enda plats.
Genom att visa både Defender för IoT- och ClearPass-information tillsammans får SOC-analytiker flerdimensionell insyn i de specialiserade OT-protokoll och enheter som distribueras i industriella miljöer, tillsammans med ICS-medveten beteendeanalys för att snabbt upptäcka misstänkt eller avvikande beteende.
Molnbaserade integreringar
Dricks
Molnbaserade säkerhetsintegreringar ger flera fördelar jämfört med lokala lösningar, till exempel centraliserad, enklare sensorhantering och centraliserad säkerhetsövervakning.
Andra fördelar är övervakning i realtid, effektiv resursanvändning, ökad skalbarhet och robusthet, förbättrat skydd mot säkerhetshot, förenklat underhåll och uppdateringar samt sömlös integrering med lösningar från tredje part.
Om du integrerar en molnansluten OT-sensor med Aruba ClearPass rekommenderar vi att du ansluter till Microsoft Sentinel och sedan installerar Aruba ClearPass-dataanslutningen.
Microsoft Sentinel är en skalbar molntjänst för SIEM (Security Information Event Management) med automatiserat svar (SOAR). SOC-team kan använda integreringen mellan Microsoft Defender för IoT och Microsoft Sentinel för att samla in data över nätverk, identifiera och undersöka hot och svara på incidenter.
I Microsoft Sentinel hämtar Defender for IoT-dataanslutningsappen och lösningen det färdiga säkerhetsinnehållet till SOC-teamen, hjälper dem att visa, analysera och svara på OT-säkerhetsaviseringar och förstå de genererade incidenterna i det bredare innehållet i organisationens hot.
Mer information finns i:
- Självstudie: Anslut Microsoft Defender för IoT med Microsoft Sentinel
- Självstudie: Undersöka och identifiera hot för IoT-enheter
- Microsoft Sentinel-dokumentation.
Lokala integreringar
Om du arbetar med en luftgapad, lokalt hanterad OT-sensor behöver du en lokal lösning för att visa Defender for IoT- och Splunk-information på samma plats.
I sådana fall rekommenderar vi att du konfigurerar OT-sensorn så att den skickar syslog-filer direkt till ClearPass eller använder Defender för IoT:s inbyggda API.
Mer information finns i:
Lokal integrering (äldre)
I det här avsnittet beskrivs hur du integrerar Defender för IoT och ClearPass Policy Manager (CPPM) med hjälp av den äldre lokala integreringen.
Viktigt!
Den äldre Aruba ClearPass-integreringen stöds till och med oktober 2024 med sensorversion 23.1.3 och stöds inte i kommande större programvaruversioner.. För kunder som använder den äldre integreringen rekommenderar vi att du flyttar till någon av följande metoder:
- Om du integrerar din säkerhetslösning med molnbaserade system rekommenderar vi att du använder dataanslutningar via Microsoft Sentinel.
- För lokala integreringar rekommenderar vi att du antingen konfigurerar OT-sensorn för att vidarebefordra syslog-händelser eller använder Defender för IoT-API:er.
Förutsättningar
Kontrollera att du har följande förutsättningar innan du börjar:
Skapa en ClearPass API-användare
Som en del av kommunikationskanalen mellan de två produkterna använder Defender för IoT många API:er (både TIPS och REST). Åtkomst till TIPS-API:erna verifieras via autentiseringsuppgifter för kombination av användarnamn och lösenord. Det här användar-ID:t måste ha miniminivåer för åtkomst. Använd inte en superadministratörsprofil, utan använd i stället API-administratör enligt nedan.
Så här skapar du en ClearPass API-användare:
Välj Administrationsanvändare>och behörigheter och välj sedan LÄGG till.
I dialogrutan Lägg till administratörsanvändare anger du följande parametrar:
Parameter Description UserID Ange användar-ID:t. Namn Ange användarnamnet. Lösenord Ange lösenordet. Aktivera användare Kontrollera att det här alternativet är aktiverat. Behörighetsnivå Välj API-administratör. Markera Lägga till.
Skapa en ClearPass-operatorprofil
Defender för IoT använder REST-API:et som en del av integreringen. REST-API:er autentiseras under ett OAuth-ramverk. Om du vill synkronisera med Defender för IoT måste du skapa en API-klient.
För att skydda åtkomsten till REST-API:et för API-klienten skapar du en profil för begränsad åtkomstoperator.
Så här skapar du en ClearPass-operatorprofil:
Gå till fönstret Redigera operatörsprofil .
Ange alla alternativ till Ingen åtkomst förutom följande:
Parameter Description API Services Ange till Tillåt åtkomst Principhanterare Ange följande:
- Ordlistor: Attribut inställda på Läsa, Skriva, Ta bort
- Ordlistor: Fingeravtryck inställda på Läs, Skriva, Ta bort
- Identitet: Slutpunkter inställda på Läsa, Skriva, Ta bort
Skapa en ClearPass OAuth API-klient
I huvudfönstret väljer du Api-klienter för administratörstjänster>>.
På fliken Skapa API-klient anger du följande parametrar:
Driftläge: Den här parametern används för API-anrop till ClearPass. Välj ClearPass REST API – Klient.
Operatörsprofil: Använd den profil som du skapade tidigare.
Bevilja typ: Ange klientautentiseringsuppgifter (grant_type = client_credentials).
Se till att du registrerar klienthemligheten och klient-ID :t. Exempel:
defender-restI Principhanteraren kontrollerar du att du har samlat in följande lista med information innan du fortsätter till nästa steg.
CPPM UserID
CPPM UserId-lösenord
CPPM OAuth2 API-klient-ID
CPPM OAuth2 API-klienthemlighet
Konfigurera Defender för IoT att integrera med ClearPass
Om du vill aktivera visning av enhetsinventeringen i ClearPass måste du konfigurera Defender för IoT-ClearPass-synkronisering. När synkroniseringskonfigurationen är klar uppdaterar Defender for IoT-plattformen ClearPass Policy Manager EndpointDb när den identifierar nya slutpunkter.
Så här konfigurerar du ClearPass-synkronisering på Defender for IoT-sensorn:
I Defender för IoT-sensorn väljer du Systeminställningar>Integreringar>ClearPass.
Ställ in följande parametrar:
Parameter Description Aktivera synkronisering Aktivera för att aktivera synkroniseringen mellan Defender för IoT och ClearPass. Synkroniseringsfrekvens (minuter) Definiera synkroniseringsfrekvensen i minuter. Standardvärdet är 60 minuter. Minst 5 minuter. ClearPass-värd IP-adressen för ClearPass-systemet som Defender för IoT är synkroniserat med. Klient-ID Klient-ID:t som skapades på ClearPass för synkronisering av data med Defender för IoT. Klienthemlighet Klienthemligheten som skapades på ClearPass för synkronisering av data med Defender för IoT. Användarnamn ClearPass-administratörsanvändaren. Lösenord Lösenordet för ClearPass-administratören. Välj Spara.
Definiera en ClearPass-vidarebefordringsregel
Om du vill aktivera visning av aviseringar som identifierats av Defender för IoT i Aruba måste du ange vidarebefordringsregeln. Den här regeln definierar vilken information om ICS och SCADA-säkerhetshot som identifieras av Defender för IoT-säkerhetsmotorer skickas till ClearPass.
Mer information finns i Lokala integreringar.
Övervaka ClearPass och Defender för IoT-kommunikation
När synkroniseringen har startat fylls slutpunktsdata direkt i Policy Manager EndpointDb. Du kan visa den senaste uppdateringstiden från konfigurationsskärmen för integrering.
Så här granskar du den senaste synkroniseringstiden till ClearPass:
Logga in på Defender for IoT-sensorn.
Välj Systeminställningar>Integreringar>ClearPass.
Om synkroniseringen inte fungerar eller visar ett fel är det troligt att du har missat att samla in en del av informationen. Kontrollera de data som registrerats igen.
Dessutom kan du visa API-anropen mellan Defender för IoT och ClearPass från programloggen för gästadministrationssupport>>>.
Till exempel API-loggar mellan Defender för IoT och ClearPass:
