Integrera Palo Alto med Microsoft Defender för IoT

I den här artikeln beskrivs hur du integrerar Palo Alto med Microsoft Defender för IoT för att visa både Palo Alto- och Defender for IoT-information på en enda plats, eller använda Defender för IoT-data för att konfigurera blockeringsåtgärder i Palo Alto.

Genom att visa både Defender för IoT- och Palo Alto-information tillsammans får SOC-analytiker flerdimensionell synlighet så att de kan blockera kritiska hot snabbare.

Molnbaserade integreringar

Dricks

Molnbaserade säkerhetsintegreringar ger flera fördelar jämfört med lokala lösningar, till exempel centraliserad, enklare sensorhantering och centraliserad säkerhetsövervakning.

Andra fördelar är övervakning i realtid, effektiv resursanvändning, ökad skalbarhet och robusthet, förbättrat skydd mot säkerhetshot, förenklat underhåll och uppdateringar samt sömlös integrering med lösningar från tredje part.

Om du integrerar en molnansluten OT-sensor med Palo Alto rekommenderar vi att du ansluter Defender för IoT till Microsoft Sentinel.

Installera en eller flera av följande lösningar för att visa både Palo Alto och Defender för IoT-data i Microsoft Sentinel.

Microsoft Sentinel-lösning	Läs mer
Palo Alto PAN-OS-lösning	Palo Alto Networks-anslutningsprogram (brandvägg) för Microsoft Sentinel
Palo Alto Networks Cortex Data Lake Solution	Palo Alto Networks Cortex Data Lake (CDL)-anslutningsprogram för Microsoft Sentinel
Palo Alto Prisma Cloud CSPM-lösning	Palo Alto Prisma Cloud CSPM-anslutningsprogram (med Azure Function) för Microsoft Sentinel

Microsoft Sentinel är en skalbar molntjänst för SIEM (Security Information Event Management) med automatiserat svar (SOAR). SOC-team kan använda integreringen mellan Microsoft Defender för IoT och Microsoft Sentinel för att samla in data över nätverk, identifiera och undersöka hot och svara på incidenter.

I Microsoft Sentinel hämtar Defender for IoT-dataanslutningsappen och lösningen det färdiga säkerhetsinnehållet till SOC-teamen, hjälper dem att visa, analysera och svara på OT-säkerhetsaviseringar och förstå de genererade incidenterna i det bredare innehållet i organisationens hot.

Mer information finns i:

• Självstudie: Anslut Microsoft Defender för IoT med Microsoft Sentinel
• Självstudie: Undersöka och identifiera hot för IoT-enheter

Lokala integreringar

Om du arbetar med en luftgapad, lokalt hanterad OT-sensor behöver du en lokal lösning för att visa Defender for IoT- och Palo Alto-information på samma plats.

I sådana fall rekommenderar vi att du konfigurerar OT-sensorn så att den skickar syslog-filer direkt till Palo Alto eller använder Defender för IoT:s inbyggda API.

Mer information finns i:

• Vidarebefordra information om lokala OT-aviseringar
• Referens för Defender för IoT API

Lokal integrering (äldre)

I det här avsnittet beskrivs hur du integrerar och använder Palo Alto med Microsoft Defender för IoT med hjälp av den äldre lokala integreringen, som automatiskt skapar nya principer i Palo Alto Networks NMS och Panorama.

Viktigt!

Den äldre Palo Alto Panorama-integreringen stöds till och med oktober 2024 med sensorversion 23.1.3 och stöds inte i kommande större programvaruversioner. För kunder som använder den äldre integreringen rekommenderar vi att du flyttar till någon av följande metoder:

• Om du integrerar din säkerhetslösning med molnbaserade system rekommenderar vi att du använder dataanslutningar via Microsoft Sentinel.
• För lokala integreringar rekommenderar vi att du antingen konfigurerar OT-sensorn för att vidarebefordra syslog-händelser eller använder Defender för IoT-API:er.

I följande tabell visas vilka incidenter som den här integreringen är avsedd för:

Incidenttyp	Description
Otillåtna PLC-ändringar	En uppdatering av steglogik eller inbyggd programvara för en enhet. Den här aviseringen kan representera legitim aktivitet eller ett försök att kompromettera enheten. Till exempel skadlig kod, till exempel en trojan för fjärråtkomst (RAT) eller parametrar som gör att den fysiska processen, till exempel en snurrande turbin, fungerar på ett osäkert sätt.
Protokollöverträdelse	En paketstruktur eller ett fältvärde som strider mot protokollspecifikationen. Den här aviseringen kan representera ett felkonfigurerat program eller ett skadligt försök att kompromettera enheten. Till exempel orsakar ett buffertspilltillstånd på målenheten.
PLC-stopp	Ett kommando som gör att enheten slutar fungera, vilket riskerar den fysiska process som styrs av PLC.
Industriell skadlig kod som finns i ICS-nätverket	Skadlig kod som manipulerar ICS-enheter med hjälp av deras interna protokoll, till exempel TRITON och Industroyer. Defender for IoT identifierar även SKADLIG IT-kod som har flyttats i sidled till ICS- och SCADA-miljön. Till exempel Conficker, WannaCry och NotPetya.
Genomsökning av skadlig kod	Rekognoseringsverktyg som samlar in data om systemkonfiguration i en förattackfas. Havex Trojan söker till exempel igenom industriella nätverk efter enheter som använder OPC, vilket är ett standardprotokoll som används av Windows-baserade SCADA-system för att kommunicera med ICS-enheter.

När Defender för IoT identifierar ett förkonfigurerat användningsfall läggs knappen Blockera källa till i aviseringen. När Defender för IoT-användaren sedan väljer knappen Blockera källa skapar Defender för IoT principer i Panorama genom att skicka den fördefinierade vidarebefordringsregeln.

Principen tillämpas endast när Panorama-administratören skickar den till relevant NGFW i nätverket.

I IT-nätverk kan det finnas dynamiska IP-adresser. För dessa undernät måste principen därför baseras på FQDN (DNS-namn) och inte IP-adressen. Defender for IoT utför omvänd sökning och matchar enheter med dynamisk IP-adress till deras FQDN (DNS-namn) varje konfigurerat antal timmar.

Dessutom skickar Defender för IoT ett e-postmeddelande till relevant Panorama-användare för att meddela att en ny princip som skapats av Defender för IoT väntar på godkännandet. Bilden nedan visar defender för IoT- och Panorama-integreringsarkitekturen:

Förutsättningar

Kontrollera att du har följande förutsättningar innan du börjar:

• Bekräftelse från Panorama-administratören för att tillåta automatisk blockering.
• Åtkomst till en Defender for IoT OT-sensor som administratörsanvändare.

Konfigurera DNS-sökning

Det första steget i att skapa principer för panoramablockering i Defender för IoT är att konfigurera DNS-sökning.

Så här konfigurerar du DNS-sökning:

1. Logga in på ot-sensorn och välj Systeminställningar>Nätverksövervakning>DNS Omvänd sökning.

2. Aktivera växlingsknappen Aktiverad för att aktivera sökningen.

3. I fältet Schemalägg omvänd sökning definierar du schemaläggningsalternativen:

   • Efter specifika tider: Ange när den omvända sökningen ska utföras dagligen.
   • Med fasta intervall (i timmar): Ange frekvensen för att utföra omvänd sökning.

4. Välj + Lägg till DNS-server och lägg sedan till följande information:

   Parameter	Beskrivning
   DNS-serveradress	Ange IP-adressen eller FQDN för nätverkets DNS-server.
   DNS-serverport	Ange den port som används för att fråga DNS-servern.
   Antal etiketter	Om du vill konfigurera DNS FQDN-matchning lägger du till antalet domänetiketter som ska visas. Upp till 30 tecken visas från vänster till höger.
   Undernät	Ange undernätsintervallet för dynamisk IP-adress. Det intervall som Defender för IoT omvänt söker upp sin IP-adress på DNS-servern för att matcha deras aktuella FQDN-namn.

5. Kontrollera att DNS-inställningarna är korrekta genom att välja Testa. Testet säkerställer att DNS-serverns IP-adress och DNS-serverporten är korrekt inställda.

6. Välj Spara.

När du är klar fortsätter du genom att skapa vidarebefordransregler efter behov:

• Konfigurera omedelbar blockering av en angiven Palo Alto-brandvägg
• Blockera misstänkt trafik med Palo Alto-brandväggen

Konfigurera omedelbar blockering av en angiven Palo Alto-brandvägg

Konfigurera automatisk blockering i fall som aviseringar relaterade till skadlig kod genom att konfigurera en Defender for IoT-vidarebefordranregel för att skicka ett blockeringskommando direkt till en specifik Palo Alto-brandvägg.

När Defender för IoT identifierar ett kritiskt hot skickar det en avisering som innehåller ett alternativ för att blockera den infekterade källan. Om du väljer Blockera källa i aviseringens information aktiveras vidarebefordringsregeln, som skickar blockeringskommandot till den angivna Palo Alto-brandväggen.

När du skapar vidarebefordringsregeln:

1. I området Åtgärder definierar du servern, värden, porten och autentiseringsuppgifterna för Palo Alto NGFW.

2. Konfigurera följande alternativ för att tillåta blockering av misstänkta källor i Palo Alto-brandväggen:

   Parameter	Beskrivning
   Blockera ogiltiga funktionskoder	Protokollöverträdelser – Ogiltigt fältvärde som bryter mot ICS-protokollspecifikationen (potentiell exploatering).
   Blockera otillåten PLC-programmering/uppdateringar av inbyggd programvara	Otillåtna PLC-ändringar.
   Blockera otillåtet PLC-stopp	PLC-stopp (stilleståndstid).
   Blockera aviseringar om skadlig kod	Blockering av industriella försök till skadlig kod (TRITON, NotPetya osv.). Du kan välja alternativet Automatisk blockering. I så fall körs blockeringen automatiskt och omedelbart.
   Blockera obehörig genomsökning	Obehörig genomsökning (potentiell rekognosering).

Mer information finns i Vidarebefordra information om lokala OT-aviseringar.

Blockera misstänkt trafik med Palo Alto-brandväggen

Konfigurera en Defender for IoT-vidarebefordransregel för att blockera misstänkt trafik med Palo Alto-brandväggen.

När du skapar vidarebefordringsregeln:

1. I området Åtgärder definierar du servern, värden, porten och autentiseringsuppgifterna för Palo Alto NGFW.

2. Definiera hur blockeringen ska köras enligt följande:

   • Efter IP-adress: Skapar alltid blockeringsprinciper på Panorama baserat på IP-adressen.
   • Efter FQDN eller IP-adress: Skapar blockeringsprinciper på Panorama baserat på FQDN om det finns, annars av IP-adressen.

3. I fältet E-post anger du e-postadressen för principmeddelandets e-post .

   Kommentar

   Kontrollera att du har konfigurerat en e-postserver i Defender for IoT. Om ingen e-postadress anges skickar Defender for IoT inget e-postmeddelande.

4. Konfigurera följande alternativ för att tillåta blockering av misstänkta källor av Palo Alto Panorama:

   Parameter	Beskrivning
   Blockera ogiltiga funktionskoder	Protokollöverträdelser – Ogiltigt fältvärde som bryter mot ICS-protokollspecifikationen (potentiell exploatering).
   Blockera otillåten PLC-programmering/uppdateringar av inbyggd programvara	Otillåtna PLC-ändringar.
   Blockera otillåtet PLC-stopp	PLC-stopp (stilleståndstid).
   Blockera aviseringar om skadlig kod	Blockering av industriella försök till skadlig kod (TRITON, NotPetya osv.). Du kan välja alternativet Automatisk blockering. I så fall körs blockeringen automatiskt och omedelbart.
   Blockera obehörig genomsökning	Obehörig genomsökning (potentiell rekognosering).

Mer information finns i Vidarebefordra information om lokala OT-aviseringar.

Blockera specifika misstänkta källor

När du har skapat vidarebefordringsregeln använder du följande steg för att blockera specifika misstänkta källor:

1. På sidan OT-sensorns aviseringar letar du upp och väljer aviseringen som är relaterad till Palo Alto-integreringen.

2. Om du vill blockera den misstänkta källan automatiskt väljer du Blockera källa.

3. I dialogrutan Bekräfta väljer du OK.

Den misstänkta källan blockeras nu av Palo Alto-brandväggen.

Gå vidare

Integreringar med Microsoft och partnertjänster