Palo Alto'yu IoT için Microsoft Defender ile tümleştirme

  • Makale

Bu makalede, Palo Alto ve IoT için Defender bilgilerini tek bir yerde görüntülemek veya Palo Alto'da engelleme eylemlerini yapılandırmak üzere IoT için Defender verilerini kullanmak için Palo Alto'yu IoT için Microsoft Defender ile tümleştirme açıklanmaktadır.

Hem IoT için Defender hem de Palo Alto bilgilerini birlikte görüntülemek, SOC analistlerine kritik tehditleri daha hızlı engelleyebilmeleri için çok boyutlu görünürlük sağlar.

Bulut tabanlı tümleştirmeler

Bahşiş

Bulut tabanlı güvenlik tümleştirmeleri, merkezi, daha basit sensör yönetimi ve merkezi güvenlik izleme gibi şirket içi çözümlere göre çeşitli avantajlar sağlar.

Diğer avantajlar arasında gerçek zamanlı izleme, verimli kaynak kullanımı, artırılmış ölçeklenebilirlik ve sağlamlık, güvenlik tehditlerine karşı geliştirilmiş koruma, basitleştirilmiş bakım ve güncelleştirmeler ve üçüncü taraf çözümlerle sorunsuz tümleştirme yer alır.

Buluta bağlı bir OT algılayıcısını Palo Alto ile tümleştiriyorsanız IoT için Defender'ı Microsoft Sentinel'e bağlamanızı öneririz.

Microsoft Sentinel'de hem Palo Alto hem de IoT için Defender verilerini görüntülemek için aşağıdaki çözümlerden birini veya daha fazlasını yükleyin.

Microsoft Sentinel çözümü Daha fazla bilgi edinin
Palo Alto PAN-OS Çözümü Microsoft Sentinel için Palo Alto Networks (Güvenlik Duvarı) bağlayıcısı
Palo Alto Networks Cortex Data Lake Çözümü Microsoft Sentinel için Palo Alto Networks Cortex Data Lake (CDL) bağlayıcısı
Palo Alto Prisma Bulut CSPM çözümü Microsoft Sentinel için Palo Alto Prisma Bulut CSPM (Azure İşlevini kullanarak) bağlayıcısı

Microsoft Sentinel, güvenlik bilgileri olay yönetimi (SIEM) güvenlik düzenleme otomatik yanıtı (SOAR) için ölçeklenebilir bir bulut hizmetidir. SOC ekipleri, ağlar arasında veri toplamak, tehditleri algılamak ve araştırmak ve olaylara yanıt vermek için IoT için Microsoft Defender ile Microsoft Sentinel arasındaki tümleştirmeyi kullanabilir.

Microsoft Sentinel'de IoT için Defender veri bağlayıcısı ve çözümü, SOC ekiplerine kullanıma hazır güvenlik içeriği sunarak OT güvenlik uyarılarını görüntülemelerine, analiz etmelerine ve yanıtlamalarına ve daha geniş kapsamlı kurumsal tehdit içeriklerinde oluşturulan olayları anlamalarına yardımcı olur.

Daha fazla bilgi için bkz.

Şirket içi tümleştirmeler

Havayla kaplı, yerel olarak yönetilen bir OT sensörüyle çalışıyorsanız IoT için Defender ve Palo Alto bilgilerini aynı yerde görüntülemek için bir şirket içi çözüme ihtiyacınız vardır.

Bu gibi durumlarda, OT algılayıcınızı syslog dosyalarını doğrudan Palo Alto'ya gönderecek şekilde yapılandırmanızı veya IoT'nin yerleşik API'sinde Defender'ı kullanmanızı öneririz.

Daha fazla bilgi için bkz.

Şirket içi tümleştirme (eski)

Bu bölümde, Palo Alto Network'ün NMS ve Panorama'sında otomatik olarak yeni ilkeler oluşturan eski, şirket içi tümleştirmeyi kullanarak Palo Alto'yu IoT için Microsoft Defender ile tümleştirme ve kullanma işlemleri açıklanmaktadır.

Önemli

Eski Palo Alto Panorama tümleştirmesi, algılayıcı sürüm 23.1.3 kullanılarak Ekim 2024'e kadar desteklenir ve gelecek ana yazılım sürümlerinde desteklenmeyecektir. Eski tümleştirmeyi kullanan müşteriler için aşağıdaki yöntemlerden birine geçmenizi öneririz:

  • Güvenlik çözümünüzü bulut tabanlı sistemlerle tümleştiriyorsanız Microsoft Sentinel aracılığıyla veri bağlayıcıları kullanmanızı öneririz.
  • Şirket içi tümleştirmeler için, OT algılayıcınızı syslog olaylarını iletecek şekilde yapılandırmanızı veya IoT API'leri için Defender'ı kullanmanızı öneririz.

Aşağıdaki tabloda, bu tümleştirmenin hangi olaylara yönelik olduğu gösterilmektedir:

Olay türü Tanım
Yetkisiz PLC değişiklikleri Merdiven mantığına veya bir cihazın üretici yazılımına yönelik bir güncelleştirme. Bu uyarı, meşru etkinliği veya cihazın güvenliğini tehlikeye atma girişimini temsil edebilir. Örneğin, Uzaktan Erişim Truva Atı (RAT) gibi kötü amaçlı kod veya dönen türbin gibi fiziksel işlemin güvenli olmayan bir şekilde çalışmasına neden olan parametreler.
Protokol İhlali Protokol belirtimini ihlal eden bir paket yapısı veya alan değeri. Bu uyarı, yanlış yapılandırılmış bir uygulamayı veya cihazın güvenliğini aşmaya yönelik kötü amaçlı bir girişimi temsil edebilir. Örneğin, hedef cihazda arabellek taşması koşuluna neden olur.
PLC Durağı Cihazın çalışmayı durdurmasına neden olan ve böylece PLC tarafından denetlenen fiziksel süreci riske atan bir komut.
ICS ağında bulunan endüstriyel kötü amaçlı yazılım TRITON ve Industroyer gibi yerel protokollerini kullanarak ICS cihazlarını işleyen kötü amaçlı yazılım. IoT için Defender, ICS ve SCADA ortamına yan yana taşınan BT kötü amaçlı yazılımlarını da algılar. Örneğin, Conficker, WannaCry ve NotPetya.
Kötü amaçlı yazılım tarama Önceden ekleme aşamasında sistem yapılandırması hakkında veri toplayan keşif araçları. Örneğin Havex Truva Atı, Windows tabanlı SCADA sistemleri tarafından ICS cihazlarıyla iletişim kurmak için kullanılan standart bir protokol olan OPC kullanan cihazlar için endüstriyel ağları tarar.

IoT için Defender önceden yapılandırılmış bir kullanım örneği algıladığında uyarıya Kaynağı Engelle düğmesi eklenir. Ardından, IoT için Defender kullanıcısı Kaynağı Engelle düğmesini seçtiğinde, IoT için Defender önceden tanımlanmış iletme kuralını göndererek Panorama'da ilkeler oluşturur.

İlke yalnızca Panorama yöneticisi bunu ağdaki ilgili NGFW'ye gönderdiğinde uygulanır.

BT ağlarında dinamik IP adresleri olabilir. Bu nedenle, bu alt ağlar için ilke IP adresini değil FQDN'yi (DNS adı) temel almalıdır. IoT için Defender ters arama gerçekleştirir ve dinamik IP adresi olan cihazları her yapılandırılan saatte bir FQDN'leriyle (DNS adı) eşleştirir.

Ayrıca, IoT için Defender, IoT için Defender tarafından oluşturulan yeni bir ilkenin onay beklediğini bildirmek için ilgili Panorama kullanıcısına bir e-posta gönderir. Aşağıdaki şekilde IoT için Defender ve Panorama tümleştirme mimarisi gösterilmektedir:

Diagram of the Defender for IoT-Panorama Integration Architecture.

Önkoşullar

Başlamadan önce aşağıdaki önkoşullara sahip olduğunuzdan emin olun:

  • Otomatik engellemeye izin vermek için Panorama Yönetici istrator tarafından onay.
  • IoT için Defender OT algılayıcısına Yönetici kullanıcı olarak erişim.

DNS arama yapılandırma

IoT için Defender'da Panorama engelleme ilkeleri oluşturmanın ilk adımı DNS aramasını yapılandırmaktır.

DNS aramasını yapılandırmak için:

  1. OT algılayıcınızda oturum açın ve Sistem ayarları>Ağ izleme>DNS Geriye Doğru Arama'ya tıklayın.

  2. Aramayı etkinleştirmek için Etkin iki durumlu düğmesini açın.

  3. Geriye Doğru Aramayı Zamanla alanında zamanlama seçeneklerini tanımlayın:

    • Belirli saatlere göre: Geriye doğru aramanın günlük olarak ne zaman gerçekleştirileceğini belirtin.
    • Sabit aralıklarla (saat cinsinden): Geriye doğru aramayı gerçekleştirmek için sıklığı ayarlayın.

  4. + DNS Sunucusu Ekle'yi seçin ve aşağıdaki ayrıntıları ekleyin:

    Parametre Tanım
    DNS Sunucusu Adresi Ağ DNS Sunucusunun IP adresini veya FQDN'sini girin.
    DNS Sunucusu Bağlantı Noktası DNS sunucusunu sorgulamak için kullanılan bağlantı noktasını girin.
    Etiket Sayısı DNS FQDN çözümlemesini yapılandırmak için görüntülenecek etki alanı etiketlerinin sayısını ekleyin.
    Soldan sağa doğru en fazla 30 karakter görüntülenir.
    Alt ağlar Dinamik IP adresi alt ağ aralığını ayarlayın.
    IoT için Defender'ın ters çevirdikleri aralık, GEÇERLI FQDN adıyla eşleşecek şekilde DNS sunucusunda IP adreslerini arar.

  5. DNS ayarlarınızın doğru olduğundan emin olmak için Test'i seçin. Test, DNS sunucusu IP adresinin ve DNS sunucusu bağlantı noktasının doğru ayarlanmasını sağlar.

  6. Kaydet'i seçin.

İşiniz bittiğinde, gerektiğinde iletme kuralları oluşturarak devam edin:

Belirtilen Palo Alto güvenlik duvarı tarafından anında engellemeyi yapılandırma

IoT için Defender iletme kuralını doğrudan belirli bir Palo Alto güvenlik duvarına engelleme komutu gönderecek şekilde yapılandırarak kötü amaçlı yazılımla ilgili uyarılar gibi durumlarda otomatik engellemeyi yapılandırın.

IoT için Defender kritik bir tehdit tanımladığında, virüs bulaşmış kaynağı engelleme seçeneğini içeren bir uyarı gönderir. Uyarının ayrıntılarında Kaynağı Engelle'nin seçilmesi, engelleme komutunu belirtilen Palo Alto güvenlik duvarına gönderen iletme kuralını etkinleştirir.

İletme kuralınızı oluştururken:

  1. Eylemler alanında Palo Alto NGFW için sunucu, konak, bağlantı noktası ve kimlik bilgilerini tanımlayın.

  2. Palo Alto güvenlik duvarı tarafından şüpheli kaynakların engellenmesine izin vermek için aşağıdaki seçenekleri yapılandırın:

    Parametre Tanım
    Geçersiz işlev kodlarını engelleme Protokol ihlalleri - ICS protokol belirtimini ihlal eden geçersiz alan değeri (olası açıklardan yararlanma).
    Yetkisiz PLC programlama /üretici yazılımı güncelleştirmelerini engelleme Yetkisiz PLC değişiklikleri.
    Yetkisiz PLC durdurmasını engelle PLC durağı (kapalı kalma süresi).
    Kötü amaçlı yazılımla ilgili uyarıları engelleme Endüstriyel kötü amaçlı yazılım girişimlerini engelleme (TRITON, NotPetya vb.).

    Otomatik engelleme seçeneğini belirleyebilirsiniz.
    Bu durumda engelleme otomatik olarak ve hemen yürütülür.
    Yetkisiz taramayı engelleme Yetkisiz tarama (olası keşif).

Daha fazla bilgi için bkz . Şirket içi OT uyarı bilgilerini iletme.

Palo Alto güvenlik duvarıyla şüpheli trafiği engelleme

Palo Alto güvenlik duvarıyla şüpheli trafiği engellemek için IoT için Defender iletme kuralı yapılandırın.

İletme kuralınızı oluştururken:

  1. Eylemler alanında Palo Alto NGFW için sunucu, konak, bağlantı noktası ve kimlik bilgilerini tanımlayın.

  2. Engellemenin nasıl yürütüldiğini aşağıdaki gibi tanımlayın:

    • IP Adresine göre: Panorama'da IP adresine göre her zaman engelleme ilkeleri oluşturur.
    • FQDN veya IP Adresine göre: Panorama'da varsa FQDN'yi temel alan engelleme ilkeleri oluşturur, aksi takdirde IP Adresi tarafından.

  3. E-posta alanına ilke bildirimi e-postasının e-posta adresini girin.

    Dekont

    IoT için Defender'da bir Posta Sunucusu yapılandırdığınızdan emin olun. Hiçbir e-posta adresi girilmezse, IoT için Defender bildirim e-postası göndermez.

  4. Palo Alto Panorama tarafından şüpheli kaynakların engellenmesine izin vermek için aşağıdaki seçenekleri yapılandırın:

    Parametre Tanım
    Geçersiz işlev kodlarını engelleme Protokol ihlalleri - ICS protokol belirtimini ihlal eden geçersiz alan değeri (olası açıklardan yararlanma).
    Yetkisiz PLC programlama /üretici yazılımı güncelleştirmelerini engelleme Yetkisiz PLC değişiklikleri.
    Yetkisiz PLC durdurmasını engelle PLC durağı (kapalı kalma süresi).
    Kötü amaçlı yazılımla ilgili uyarıları engelleme Endüstriyel kötü amaçlı yazılım girişimlerini engelleme (TRITON, NotPetya vb.).

    Otomatik engelleme seçeneğini belirleyebilirsiniz.
    Bu durumda engelleme otomatik olarak ve hemen yürütülür.
    Yetkisiz taramayı engelleme Yetkisiz tarama (olası keşif).

Daha fazla bilgi için bkz . Şirket içi OT uyarı bilgilerini iletme.

Belirli şüpheli kaynakları engelleme

İletme kuralınızı oluşturduktan sonra, belirli şüpheli kaynakları engellemek için aşağıdaki adımları kullanın:

  1. OT algılayıcısının Uyarılar sayfasında Palo Alto tümleştirmesi ile ilgili uyarıyı bulun ve seçin.

  2. Şüpheli kaynağı otomatik olarak engellemek için Kaynağı Engelle'yi seçin.

  3. Lütfen Onayla iletişim kutusunda Tamam'ı seçin.

Şüpheli kaynak artık Palo Alto güvenlik duvarı tarafından engellendi.

Sonraki adım

Microsoft ve iş ortağı hizmetleriyle tümleştirmeler