Integrace forescoutu s Microsoft Defender for IoT

Poznámka

Microsoft Defender for IoT se formálně označoval jako CyberX. Odkazy na CyberX odkazují na Defender for IoT.

Tento článek vám pomůže zjistit, jak integrovat forescout s Microsoft Defender for IoT.

Microsoft Defender for IoT poskytuje platformu ICS a IoT pro kybernetickou bezpečnost. Defender for IoT je jediná platforma s analýzou hrozeb a strojovým učením podporujícím ICS. Defender for IoT poskytuje:

• Okamžitý přehled o ICS a prostředí zařízení s širokou škálou podrobností o atributech.

• Hluboké vložené znalosti protokolů OT, zařízení, aplikací a jejich chování s podporou ICS

• Okamžité přehledy o ohroženích zabezpečení a známých hrozbách nultého dne

• Automatizovaná technologie modelování hrozeb ICS, která prostřednictvím proprietární analýzy předpovídá nejpravděpodobnější cesty cílených útoků ICS.

Integrace forescoutu pomáhá zkrátit čas potřebný k tomu, aby průmyslové organizace a organizace kritické infrastruktury odhalovaly kybernetické hrozby, prošetřovaly je a reagovaly na ni.

• Pomocí Microsoft Defender pro inteligenci zařízení IoT OT zavřete cyklus zabezpečení aktivací akcí zásad Forescout. Správci SOC můžete například automaticky odeslat e-mail s upozorněním, když se zjistí konkrétní protokoly nebo když se změní podrobnosti firmwaru.

• Korelace informací o Defenderu for IoT s ostatními oky ForescoutUmí moduly , které dohlížejí na monitorování, správu incidentů a řízení zařízení.

Integrace Defenderu for IoT s platformou Forescout poskytuje centralizovanou viditelnost, monitorování a řízení pro prostředí IoT a OT. Tyto přemísněné platformy umožňují automatizovanou viditelnost zařízení, správu zařízení ICS a pracovní postupy v silu. Integrace poskytuje analytikům SOC víceúrovňový přehled o protokolech OT nasazených v průmyslových prostředích. Jsou k dispozici informace, jako je firmware, typy zařízení, operační systémy a skóre analýzy rizik, na základě proprietárních Microsoft Defender pro technologie IoT.

V tomto článku získáte informace o těchto tématech:

• Vygenerování přístupového tokenu
• Konfigurace platformy Forescout
• Ověření komunikace
• Zobrazení atributů zařízení v aplikaci Forescout
• Vytvoření zásad Microsoft Defender pro IoT v aplikaci Forescout

Požadavky

Než začnete, ujistěte se, že splňujete následující požadavky:

• Microsoft Defender pro IoT verze 2.4 nebo vyšší

• Forescout verze 8.0 nebo vyšší

• Licence pro modul Forescout eyeExtend pro platformu Microsoft Defender for IoT.

• Přístup k senzoru OT Defenderu for IoT jako uživatel Správa. Další informace najdete v tématu Místní uživatelé a role pro monitorování OT pomocí Defenderu for IoT.

Vygenerování přístupového tokenu

Přístupové tokeny umožňují externím systémům přístup k datům zjištěným Defenderem for IoT. Přístupové tokeny umožňují použití dat pro externí rozhraní REST API a přes připojení SSL. Přístup k Microsoft Defender pro rozhraní IoT REST API můžete vygenerovat přístupové tokeny.

Pokud chcete zajistit komunikaci mezi Defenderem for IoT a Forescoutem, musíte vygenerovat přístupový token v Defenderu for IoT.

Postup vygenerování přístupového tokenu:

1. Přihlaste se k senzoru Defenderu for IoT, na který se bude forescout dotazovat.

2. Vyberte Systémové nastavení>Integrace Přístupové>tokeny.

3. Vyberte Vygenerovat token.

4. Do pole Popis přidejte krátký popis týkající se účelu přístupového tokenu. Příklad: "integrace se skriptem Pythonu".

5. Vyberte Generovat. Token se pak zobrazí v dialogovém okně.

   Poznámka

   Zaznamenejte token na bezpečném místě. Budete ho potřebovat při konfiguraci platformy Forescout.

6. Vyberte Dokončit.

Konfigurace platformy Forescout

Teď můžete nakonfigurovat platformu Forescout pro komunikaci se senzorem Defenderu for IoT.

Konfigurace platformy Forescout:

1. Na platformě Forescout vyhledejte a nainstalujte modul Forescout eyeExtend pro CyberX.

2. Přihlaste se ke konzole CounterACT.

3. V nabídce Nástroje vyberte Možnosti.

4. Přejděte na Moduly>CyberX Platform.

5. Do pole Adresa serveru zadejte IP adresu senzoru Defenderu for IoT, na který se bude zařízení Forescout dotazovat.

6. Do pole Přístupový token zadejte přístupový token, který jste vygenerovali dříve.

7. Vyberte Použít.

Výměna senzorů v forescoutu

Aby platforma Forescout komunikovala s jiným senzorem, musí se změnit konfigurace v rámci forescoutu.

Změna senzorů v Aplikaci Forescout:

1. V příslušném senzoru Defenderu for IoT vytvořte nový přístupový token.

2. Přejděte na předváděné moduly>CyberX Platform.

3. Odstraňte informace zobrazené v obou polích.

4. Přihlaste se k novému senzoru Defenderu for IoT a vygenerujte nový přístupový token.

5. Do pole Adresa serveru zadejte novou IP adresu senzoru Defenderu for IoT, na kterou se bude zařízení Forescout dotazovat.

6. Do pole Přístupový token zadejte nový přístupový token.

7. Vyberte Použít.

Ověření komunikace

Po nakonfigurování připojení je potřeba ověřit, že obě platformy komunikují.

Ověření komunikace mezi těmito dvěma platformami:

1. Přihlaste se k senzoru Defenderu for IoT.

2. Přejděte naPřístupové tokenynastavení> systému.

Pole Used (Použité) vás upozorní, pokud připojení mezi senzorem a zařízením Forescout nefunguje. Pokud se zobrazí Není k dispozici , připojení nefunguje. Pokud se zobrazí Hodnota Použito , označuje poslední přijetí externího volání s tímto tokenem.

Zobrazení atributů zařízení v aplikaci Forescout

Díky integraci Defenderu pro IoT s forescoutem můžete v aplikaci Forescout zobrazit atributy různých zařízení, které defender for IoT detekoval.

Zobrazení atributů zařízení:

1. Přihlaste se k platformě Forescout a přejděte do inventáře prostředků.

2. Vyberte platformu CyberX.

   Pokud chcete zobrazit další podrobnosti, klikněte v části Hostitelé inventáře zařízení pravým tlačítkem na zařízení. Otevře se dialogové okno podrobnosti o hostiteli s dalšími informacemi.

Následující tabulka uvádí všechny atributy, které jsou viditelné prostřednictvím aplikace Forescout:

Atribut	Popis
Autorizováno Microsoft Defender pro IoT	Zařízení detekované ve vaší síti defenderem for IoT během období síťového učení.
Firmware	Podrobnosti o firmwaru zařízení. Například podrobnosti o modelu a verzi.
Název	Název zařízení
Operační systém	Operační systém zařízení.
Typ	Typ zařízení. Například PLC, Historik nebo Technická stanice.
Dodavatel	Dodavatel zařízení. Například Rockwell Automation.
Úroveň rizika	Úroveň rizika vypočítaná defenderem pro IoT.
Protokoly	Protokoly zjištěné v provozu generovaném zařízením.

Vytvoření zásad Microsoft Defender pro IoT ve Forescoutu

Zásady forescout je možné použít k automatizaci řízení a správy zařízení detekovaných defenderem pro IoT. Například:

• Při zjištění konkrétních verzí firmwaru automaticky pošlete e-mail správcům SOC.

• Přidejte do skupiny Forescout konkrétní zařízení detekovaná v Defenderu for IoT pro další zpracování v pracovních postupech incidentů a zabezpečení, například s dalšími integracemi SIEM.

Vlastní zásady můžete vytvořit ve Forescoutu pomocí podmíněných vlastností Defenderu pro IoT.

Přístup k vlastnostem Defenderu pro IoT:

1. Přejděte dostromu vlastnostípodmínek> zásad.

2. Ve stromu vlastností rozbalte složku CyberX Platform . K dispozici jsou následující vlastnosti Defenderu for IoT:

   • Protokoly
   • Úroveň rizika
   • Autorizováno společností CyberX
   • Typ
   • Firmware
   • Name
   • Operační systém
   • Dodavatel

Další kroky

Integrace s Microsoftem a partnerskými službami