你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
将 ClearPass 与 Microsoft Defender for IoT 集成
注意
本文引用了 CentOS,这是一个接近生命周期结束 (EOL) 状态的 Linux 发行版。 请相应地考虑你的使用和规划。 有关详细信息,请参阅 CentOS 生命周期结束指导。
本文介绍如何将 Aruba ClearPass 与 Microsoft Defender for IoT 集成,从而在一个位置查看 ClearPass 和 Defender for IoT 信息。
通过一起查看 Defender for IoT 和 ClearPass 信息,SOC 分析人员可多维度了解工业环境中部署的专用 OT 协议和设备,还能进行 ICS 感知行为分析来快速检测可疑或异常行为。
基于云的集成
提示
基于云的安全集成与本地解决方案相比具有诸多优势,例如更简单的集中传感器管理和集中式安全监视。
其他优势包括实时监视、高效的资源使用、增强的可伸缩性和稳定性、对安全威胁的更卓越保护、简化的维护和更新,以及与第三方解决方案的无缝集成。
如果要将云连接的 OT 传感器与 Aruba ClearPass 集成,建议连接到 Microsoft Sentinel,然后安装 Aruba ClearPass 数据连接器。
Microsoft Sentinel 是一种可缩放的云服务,用于安全信息事件管理 (SIEM) 以及安全业务流程自动响应 (SOAR)。 通过集成 Microsoft Defender for IoT 与 Microsoft Sentinel,SOC 团队可以跨网络收集数据、检测和调查威胁,并响应事件。
在 Microsoft Sentinel 中,Defender for IoT 数据连接器和解决方案为 SOC 团队提供现成安全性内容,以帮助他们查看、分析和响应 OT 安全警报,以及了解在更广泛的组织威胁上下文中生成的事件。
有关详细信息,请参阅:
- 教程:将 Connect Microsoft Defender for IoT 与 Microsoft Sentinel 相连接
- 教程:调查和检测 IoT 设备的威胁
- Microsoft Sentinel 文档。
本地集成
如果要使用本地托管的气隙 OT 传感器,需要一个本地解决方案,以便在同一位置查看 Defender for IoT 和 Splunk 信息。
在这种情况下,建议将 OT 传感器配置为将 syslog 文件直接发送到 ClearPass,或者使用 Defender for IoT 的内置 API。
有关详细信息,请参阅:
本地集成(旧版)
本部分介绍如何使用旧版本地集成将 Defender for IoT 和 ClearPass Policy Manager (CPPM) 进行集成。
重要
到 2024 年 10 月之前,使用传感器版本 23.1.3 可支持旧版 Aruba ClearPass 集成,但即将推出的主要软件版本将不再支持它。 对于使用旧版集成的客户,建议改用下列方法之一:
- 如果要将安全解决方案与基于云的系统集成,建议通过 Microsoft Sentinel 使用数据连接器。
- 对于本地集成,建议配置 OT 传感器来转发 syslog 日志事件,或者使用 Defender for IoT API。
先决条件
在开始之前,请确保满足以下先决条件:
| 先决条件 | 说明 |
|---|---|
| Aruba ClearPass 要求 | CPPM 在预装了软件的硬件设备上运行,或在以下虚拟机监控程序下作为虚拟机运行。 - VMware ESXi 5.5、6.0、6.5、6.6 或更高版本。 - Microsoft Hyper-V Server 2012 R2 或 2016 R2。 - Microsoft Windows Server 2012 R2 或 2016 R2 上的 Hyper-V。 - CentOS 7.5 或更高版本上的 KVM。 不支持在客户端计算机(如 VMware Player)上运行的虚拟机监控程序。 |
| Defender for IoT 要求 | - Defender for IoT 2.5.1 或更高版本。 - 以管理员用户身份访问 Defender for IoT OT 传感器。 |
创建 ClearPass API 用户
作为这两种产品之间信道的一部分,Defender for IoT 使用多种 API(TIPS 和 REST)。 通过用户名和密码组合凭据来验证对 TIPS API 的访问。 此用户 ID 必须具有最低访问级别。 不要使用超级管理员配置文件,而是按如下所示使用 API 管理员。
若要创建 ClearPass API 用户:
选择“管理”>“用户和特权”,然后选择“添加”。
在“添加管理员用户”对话框中,设置以下参数:
参数 说明 UserID 输入用户 ID。 名称 输入用户名。 密码 输入密码。 启用用户 验证是否启用了此选项。 特权级别 选择“API 管理员”。 选择“添加”。
创建 ClearPass 操作员配置文件
Defender for IoT 使用 REST API 作为集成的一部分。 REST API 在 OAuth 框架下进行身份验证。 若要与 Defender for IoT 同步,需要创建 API 客户端。
为了安全地访问 API 客户端的 REST API,请创建一个具有受限访问权限的操作员配置文件。
若要创建 ClearPass 操作员配置文件:
导航到“编辑操作员配置文件”窗口。
将所有选项设置为“无访问权限”,以下选项除外:
参数 说明 API 服务 设置为“允许访问” Policy Manager 指定以下设置:
- “字典 - 属性”设置为“读取、写入、删除”
- 字典:“指纹”设置为“读取、写入、删除”
- “标识 - 终结点”设置为“读取、写入、删除”
创建 ClearPass OAuth API 客户端
在主窗口中,选择“管理员”>“API 服务”>“API 客户端” 。
在“创建 API 客户端”选项卡中,设置以下参数:
操作模式:此参数用于对 ClearPass 进行 API 调用。 选择“ClearPass REST API - 客户端”。
操作员配置文件:使用之前创建的配置文件。
授权类型:设置为“客户端凭据(grant_type = client_credentials)”。
务必记录客户端密码和客户端 ID。 例如,
defender-rest。在 Policy Manager 中,确保在继续下一步之前收集了以下信息列表。
CPPM UserID
CPPM UserId 密码
CPPM OAuth2 API 客户端 ID
CPPM OAuth2 API 客户端密码
配置 Defender for IoT 来与 ClearPass 进行集成
若要在 ClearPass 中查看设备清单,需要设置 Defender for IoT-ClearPass 同步。同步配置完成后,Defender for IoT 平台会在发现新的终结点时更新 ClearPass Policy Manager EndpointDb。
若要在 Defender for IoT 传感器上配置 ClearPass 同步:
在 Defender for IoT 传感器中,选择“系统设置”>“集成”>“ClearPass”。
设置以下参数:
参数 说明 启用同步 打开以启用 Defender for IoT 与 ClearPass 之间的同步。 同步频率(分钟) 定义同步频率(分钟)。 默认值为 60 分钟。 最小值为 5 分钟。 ClearPass 主机 与 Defender for IoT 同步的 ClearPass 系统的 IP 地址。 客户端 ID 在 ClearPass 上创建的客户端 ID,用于将数据与 Defender for IoT 同步。 客户端机密 在 ClearPass 上创建的客户端密码,用于将数据与 Defender for IoT 同步。 用户名 ClearPass 管理员用户。 密码 ClearPass 管理员密码。 选择“保存” 。
定义 ClearPass 转发规则
若要在 Aruba 中查看 Defender for IoT 发现的警报,需要设置转发规则。 此规则定义 Defender for IoT 安全引擎识别的要发送到 ClearPass 的 ICS 和 SCADA 安全威胁相关信息。
有关详细信息,请参阅本地集成。
监视 ClearPass 与 Defender for IoT 的通信
同步启动后,终结点数据将直接填充到 Policy Manager EndpointDb 中,你可在集成配置屏幕上查看上次更新时间。
若要查看上次同步到 ClearPass 的时间,请执行以下操作:
登录 Defender for IoT 传感器。
选择“系统设置”>“集成”>“ClearPass”。
如果同步无效或显示错误,则可能是未捕获某些信息。 重新检查记录的数据。
此外还可选择“来宾”>“管理”>“支持”>“应用程序日志”来查看 Defender for IoT 与 ClearPass 之间的 API 调用。
例如,Defender for IoT 与 ClearPass 之间的 API 日志:
