Qu'est-ce que la sécurité IoT de Palo Alto Networks avec une instance Cortex XSOAR cohébergée et aux fonctionnalités limitées ?
6862
Created On 12/16/24 19:10 PM - Last Modified 06/10/25 22:58 PM
Question
Qu'est-ce que la sécurité IoT de Palo Alto Networks avec une instance Cortex XSOAR cohébergée et aux fonctionnalités limitées ?
Environment
Sécurité IoT de Palo Alto Networks avec une instance Cortex XSOAR 6 cohébergée et aux fonctionnalités limitées
Answer
Vous trouverez ci-dessous un aperçu de la sécurité IoT de Palo Alto Networks et des différentes méthodes d'intégration IoT avec Cortex XSOAR, suivi de détails sur l'instance Cortex XSOAR cohébergée et à fonctionnalités limitées.
Sécurité IoT de Palo Alto Networks – Intégration avec des systèmes tiers
En plus de se coordonner avec les pare-feu nouvelle génération Palo Alto Networks, IoT Security s'intègre aux systèmes tiers, augmentant leur inventaire, leur gestion de réseau, leur sécurité réseau et leur détection de vulnérabilité en les rendant compatibles avec l'IoT et en collectant des données sur les appareil et le réseau à partir d'autres sources pour enrichir son propre inventaire et ses propres capacités.
Il existe trois options permettant à IoT Security d'exploiter la technologie Cortex XSOAR pour s'intégrer à des systèmes tiers. Elles sont répertoriées ci-dessous. Notez que des informations supplémentaires sur ces options sont disponibles dans le Guide d'intégration de IoT Security et Intégrations tierces utilisant XSOAR cohébergé .
Sécurité IoT avec une instance Cortex XSOAR cohébergée et aux fonctionnalités limitées
Si vous souhaitez intégrer IoT Security à des systèmes tiers mais que vous ne disposez pas d'un serveur Cortex XSOAR, vous pouvez acheter une licence complémentaire IoT Security Third-party, qui est fournie avec un module Cortex XSOAR généré automatiquement et hébergé dans le cloud. Des informations supplémentaires sur cette option sont disponibles sur la page Intégrations tierces utilisant XSOAR cohébergé
Sécurité IoT avec un serveur Cortex XSOAR complet
Si vous disposez déjà d'un serveur Cortex XSOAR complet déployé sur site ou dans le cloud, vous pouvez l'utiliser pour intégrer IoT Security à des systèmes tiers sans avoir à acheter une licence complémentaire et à utiliser un module Cortex XSOAR limité hébergé dans le cloud. La configuration d'un serveur XSOAR complet pour fonctionner avec IoT Security est décrite dans Intégrations tierces à l'aide d'un serveur XSOAR complet
Cortex XSOAR avec accès à l'API de sécurité IoT
Si vous disposez d'une instance Cortex XSOAR et que votre objectif est de l'intégrer à IoT Security, consultez leguide d'intégration IoT de Palo Alto Networks , qui explique comment configurer l'intégration sur XSOAR et exécuter les commandes d'intégration.
Comment connaître le numéro de série d'une instance Cortex XSOAR co-hébergée
Lorsque vous utilisez une instance Cortex XSOAR à fonctionnalité limitées cohébergée, vous pouvez trouver le numéro de série du XSOAR à l'aide de l'article de la base de connaissances : Comment trouver le numéro de série d'une instance Cortex XSOAR cohébergée IoT
Détails supplémentaires sur la sécurité IoT avec Cortex XSOAR cohébergé et aux fonctionnalités limitées
Post-déploiement
Authentification unique
Une fois l'instance XSOAR opérationnelle, le côté IoT (CronJob) configure SSO). Cela permet aux clients de se connecter à XSOAR uniquement via le bouton de lancement de l'interface utilisateur IoT. Cela implique la configuration de l'intégration « SAML 2.0 » sur XSOAR.Note: Les utilisateurs finaux ne peuvent accéder à XSOAR que via l'interface utilisateur IoT. SI l'intégration SAML est désactivée, le bouton de lancement ne fonctionnera pas. L'IoT propose également une option permettant de télécharger les journaux XSOAR directement via l'interface utilisateur IoT.
Préremplissage des tâches et des instances d'intégration
Un autre ensemble d'actions effectuées après le déploiement consiste à créer des instances d'intégration et des tâches avec des paramètres spécifiques pour les clients sur XSOAR. Ces actions sont partagées entre l'équipe d'exploitation XSOAR et l'équipe back-end IoT. En plus d'ajouter des instances d'intégration, l'équipe d'exploitation XSOAR crée également le rôle IoT pour les clients qui définit les privilèges utilisateur et les limitations d'accès à l'interface utilisateur.
Fonctionnalité XSOAR limitée
Lorsque les utilisateurs se connectent à XSOAR via le portail IoT via SSO, un rôle IoT spécial leur est attribué. Voici quelques limitations notables imposées par ce rôle:
-
-
- Les utilisateurs ne peuvent accéder qu'aux pages Paramètres et Emplois
- Les utilisateurs ne sont pas autorisés à télécharger les journaux XSOAR - L'interface utilisateur IoT dispose d'un bouton dédié pour télécharger les journaux
- Les utilisateurs n'ont pas accès au Market Place
- Les utilisateurs ne peuvent exécuter aucune commande XSOAR via CLI
- Les utilisateurs ne peuvent pas définir d'indicateurs de configuration
-
Pack de contenu et mises à niveau
Gestion des packs de contenu
L'IoT gère ses propres packs de contenu et ces packs ne sont pas disponibles sur la place de marché XSOAR. Une fois que les développeurs ont un pack de contenu prêt, ils le téléchargent sur « staging », qui n'est rien d'autre qu'un emplacement AWS S3 ( s3://contentpack-staging/) . Une image de référence est créée sur la base des packs de contenu fournis par l'IoT et utilisée pour déployer les instances XSOAR. Tous les nouveaux clients obtiennent ainsi le contenu le plus récent. Pour les clients existants, l'équipe IoT dispose de tâches Jenkins (une pour chaque région IoT) qui téléchargent par programmation via API les packs de contenu IoT sur tous les XSOAR clients existants.
Pour les clients existants de XSOAR, l'IoT exige qu'ils téléchargent le pack de contenu via l'interface utilisateur IoT et le chargent manuellement. Le client devra définir l'indicateur « content.pack.verify » sur « false » et charger les packs manuellement. Référence : https://docs.paloaltonetworks.com/iot/iot-security-integration/get-started-with-iot-security-integrations/third-party-integrations-using-a-full-featured-xsoar-server
Mises à niveau du serveur XSOAR
Actuellement, les mises à niveau vers XSOAR 6.X sont effectuées de manière ponctuelle. L'IoT affiche un message de notification d'interface utilisateur pour informer des interruption pendant une fenêtre de temps d'arrêt spécifiée.
Actuellement, les mises à niveau vers XSOAR 6.X sont effectuées de manière ponctuelle. L'IoT affiche un message de notification d'interface utilisateur pour informer des interruption pendant une fenêtre de temps d'arrêt spécifiée.
Licences
L'IoT prend en charge les intégrations tierces via une licence complémentaire 3P ou si le client est déjà un client XSOAR existant. La licence complémentaire 3P est disponible dans les versions suivantes :
-
-
- Avance - Les clients peuvent bénéficier d'intégrations illimitées
- Basique – Les clients ne peuvent activer que 3 intégrations à la fois
-
Pour les clients XSOAR existants, l'IoT ne nécessite pas de licence pour l'intégration. Toutes les opérations de mise en œuvre des licences sont effectuées dans les manuels.