你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
将 ClearPass 与 Microsoft Defender for IoT 集成
注意
本文引用了 CentOS,这是一个接近生命周期结束 (EOL) 状态的 Linux 发行版。 请相应地考虑你的使用和规划。 有关详细信息,请参阅 CentOS 生命周期结束指导。
本文介绍如何将 Aruba ClearPass 与 Microsoft Defender for IoT 集成,从而在一个位置查看 ClearPass 和 Defender for IoT 信息。
通过一起查看 Defender for IoT 和 ClearPass 信息,SOC 分析人员可多维度了解工业环境中部署的专用 OT 协议和设备,还能进行 ICS 感知行为分析来快速检测可疑或异常行为。
基于云的集成
提示
基于云的安全集成与本地解决方案相比具有诸多优势,例如更简单的集中传感器管理和集中式安全监视。
其他优势包括实时监视、高效的资源使用、增强的可伸缩性和稳定性、对安全威胁的更卓越保护、简化的维护和更新,以及与第三方解决方案的无缝集成。
如果要将云连接的 OT 传感器与 Aruba ClearPass 集成,建议连接到 Microsoft Sentinel,然后安装 Aruba ClearPass 数据连接器。
Microsoft Sentinel 是一种可缩放的云服务,用于安全信息事件管理 (SIEM) 以及安全业务流程自动响应 (SOAR)。 通过集成 Microsoft Defender for IoT 与 Microsoft Sentinel,SOC 团队可以跨网络收集数据、检测和调查威胁,并响应事件。
在 Microsoft Sentinel 中,Defender for IoT 数据连接器和解决方案为 SOC 团队提供现成安全性内容,以帮助他们查看、分析和响应 OT 安全警报,以及了解在更广泛的组织威胁上下文中生成的事件。
有关详细信息,请参阅:
- 教程:将 Connect Microsoft Defender for IoT 与 Microsoft Sentinel 相连接
- 教程:调查和检测 IoT 设备的威胁
- Microsoft Sentinel 文档。
本地集成
如果要使用本地托管的气隙 OT 传感器,需要一个本地解决方案,以便在同一位置查看 Defender for IoT 和 Splunk 信息。
在这种情况下,建议将 OT 传感器配置为将 syslog 文件直接发送到 ClearPass,或者使用 Defender for IoT 的内置 API。
有关详细信息,请参阅:
本地集成(旧版)
本部分介绍如何使用旧版本地集成将 Defender for IoT 和 ClearPass Policy Manager (CPPM) 进行集成。
重要
到 2024 年 10 月之前,使用传感器版本 23.1.3 可支持旧版 Aruba ClearPass 集成,但即将推出的主要软件版本将不再支持它。 对于使用旧版集成的客户,建议改用下列方法之一:
- 如果要将安全解决方案与基于云的系统集成,建议通过 Microsoft Sentinel 使用数据连接器。
- 对于本地集成,建议配置 OT 传感器来转发 syslog 日志事件,或者使用 Defender for IoT API。
先决条件
在开始之前,请确保满足以下先决条件:
先决条件 | 说明 |
---|---|
Aruba ClearPass 要求 | CPPM 在预装了软件的硬件设备上运行,或在以下虚拟机监控程序下作为虚拟机运行。 - VMware ESXi 5.5、6.0、6.5、6.6 或更高版本。 - Microsoft Hyper-V Server 2012 R2 或 2016 R2。 - Microsoft Windows Server 2012 R2 或 2016 R2 上的 Hyper-V。 - CentOS 7.5 或更高版本上的 KVM。 不支持在客户端计算机(如 VMware Player)上运行的虚拟机监控程序。 |
Defender for IoT 要求 | - Defender for IoT 2.5.1 或更高版本。 - 以管理员用户身份访问 Defender for IoT OT 传感器。 |
创建 ClearPass API 用户
作为这两种产品之间信道的一部分,Defender for IoT 使用多种 API(TIPS 和 REST)。 通过用户名和密码组合凭据来验证对 TIPS API 的访问。 此用户 ID 必须具有最低访问级别。 不要使用超级管理员配置文件,而是按如下所示使用 API 管理员。
若要创建 ClearPass API 用户:
选择“管理”>“用户和特权”,然后选择“添加”。
在“添加管理员用户”对话框中,设置以下参数:
参数 说明 UserID 输入用户 ID。 名称 输入用户名。 密码 输入密码。 启用用户 验证是否启用了此选项。 特权级别 选择“API 管理员”。 选择“添加”。
创建 ClearPass 操作员配置文件
Defender for IoT 使用 REST API 作为集成的一部分。 REST API 在 OAuth 框架下进行身份验证。 若要与 Defender for IoT 同步,需要创建 API 客户端。
为了安全地访问 API 客户端的 REST API,请创建一个具有受限访问权限的操作员配置文件。
若要创建 ClearPass 操作员配置文件:
导航到“编辑操作员配置文件”窗口。
将所有选项设置为“无访问权限”,以下选项除外:
参数 说明 API 服务 设置为“允许访问” Policy Manager 指定以下设置:
- “字典 - 属性”设置为“读取、写入、删除”
- 字典:“指纹”设置为“读取、写入、删除”
- “标识 - 终结点”设置为“读取、写入、删除”
创建 ClearPass OAuth API 客户端
在主窗口中,选择“管理员”>“API 服务”>“API 客户端” 。
在“创建 API 客户端”选项卡中,设置以下参数:
操作模式:此参数用于对 ClearPass 进行 API 调用。 选择“ClearPass REST API - 客户端”。
操作员配置文件:使用之前创建的配置文件。
授权类型:设置为“客户端凭据(grant_type = client_credentials)”。
务必记录客户端密码和客户端 ID。 例如,
defender-rest
。在 Policy Manager 中,确保在继续下一步之前收集了以下信息列表。
CPPM UserID
CPPM UserId 密码
CPPM OAuth2 API 客户端 ID
CPPM OAuth2 API 客户端密码
配置 Defender for IoT 来与 ClearPass 进行集成
若要在 ClearPass 中查看设备清单,需要设置 Defender for IoT-ClearPass 同步。同步配置完成后,Defender for IoT 平台会在发现新的终结点时更新 ClearPass Policy Manager EndpointDb。
若要在 Defender for IoT 传感器上配置 ClearPass 同步:
在 Defender for IoT 传感器中,选择“系统设置”>“集成”>“ClearPass”。
设置以下参数:
参数 说明 启用同步 打开以启用 Defender for IoT 与 ClearPass 之间的同步。 同步频率(分钟) 定义同步频率(分钟)。 默认值为 60 分钟。 最小值为 5 分钟。 ClearPass 主机 与 Defender for IoT 同步的 ClearPass 系统的 IP 地址。 客户端 ID 在 ClearPass 上创建的客户端 ID,用于将数据与 Defender for IoT 同步。 客户端机密 在 ClearPass 上创建的客户端密码,用于将数据与 Defender for IoT 同步。 用户名 ClearPass 管理员用户。 密码 ClearPass 管理员密码。 选择“保存” 。
定义 ClearPass 转发规则
若要在 Aruba 中查看 Defender for IoT 发现的警报,需要设置转发规则。 此规则定义 Defender for IoT 安全引擎识别的要发送到 ClearPass 的 ICS 和 SCADA 安全威胁相关信息。
有关详细信息,请参阅本地集成。
监视 ClearPass 与 Defender for IoT 的通信
同步启动后,终结点数据将直接填充到 Policy Manager EndpointDb 中,你可在集成配置屏幕上查看上次更新时间。
若要查看上次同步到 ClearPass 的时间,请执行以下操作:
如果同步无效或显示错误,则可能是未捕获某些信息。 重新检查记录的数据。
此外还可选择“来宾”>“管理”>“支持”>“应用程序日志”来查看 Defender for IoT 与 ClearPass 之间的 API 调用。
例如,Defender for IoT 与 ClearPass 之间的 API 日志: