Compartir por

Integración de Forescout con Microsoft Defender para IoT

  • Artigo

Nota

Microsoft Defender para IoT se conocía antiguamente como CyberX. Las referencias a CyberX se refieren a Defender para IoT.

Este artículo te ayuda a aprender cómo integrar Forescout con Microsoft Defender para IoT.

Microsoft Defender para IoT ofrece una plataforma de ciberseguridad ICS e IoT. Defender para IoT es la única plataforma con análisis de amenazas y aprendizaje automático compatibles con ICS. Defender para IoT ofrece:

  • Conocimientos inmediatos sobre ICS y el panorama de dispositivos con una amplia gama de detalles sobre atributos.

  • Conocimiento integrado profundo compatible con ICS de los protocolos, dispositivos y aplicaciones de OT, así como de sus comportamientos.

  • Información inmediata sobre vulnerabilidades y amenazas conocidas de día cero.

  • Una tecnología de modelado automatizado de amenazas de ICS para predecir las rutas más probables de los ataques de ICS dirigidos mediante un análisis propietario.

La integración con Forescout ayuda a reducir el tiempo necesario para que las organizaciones industriales y de infraestructura crítica detecten, investiguen y actúen sobre las ciberamenazas.

  • Use la inteligencia de los dispositivos TO de Microsoft Defender para IoT para desencadenar acciones de directiva de Forescout y así cerrar el ciclo de seguridad. Por ejemplo, puedes enviar automáticamente un correo electrónico de alerta a los administradores del SOC cuando se detectan protocolos específicos o cuando cambian los detalles del firmware.

  • Correlacione la información de Defender para IoT con la de otros módulos de Forescout eyeExtend que vigilan la supervisión, la administración de incidentes y el control de dispositivos.

La integración de Defender para IoT con la plataforma Forescout proporciona visibilidad, monitoreo y control centralizados para el panorama de IoT y OT. Estas plataformas puente permiten la visibilidad automatizada de dispositivos, la gestión de dispositivos ICS y flujos de trabajo aislados. La integración proporciona a los analistas de SOC visibilidad multinivel sobre los protocolos de TO implementados en entornos industriales. Hay más información disponible sobre elementos como el firmware, los tipos de dispositivos, los sistemas operativos y las puntuaciones de análisis de riesgos basados en tecnologías propietarias de Microsoft Defender para IoT.

En este artículo aprenderá a:

  • Generar token de acceso
  • Configuración de la plataforma Forescout
  • Comprobación de la comunicación
  • Visualización de atributos de dispositivo en Forescout
  • Creación de directivas de Microsoft Defender para IoT en Forescout

Prerrequisitos

Asegúrese de que cumple los siguientes requisitos previos antes de empezar:

  • Microsoft Defender para IoT, versión 2.4 o superior.

  • Forescout, versión 8.0 o superior

  • Una licencia para el módulo Forescout eyeExtend para la plataforma Microsoft Defender para IoT.

  • Acceso a un sensor de OT de Defender para IoT como usuario de Administración. Para obtener más información, consulte Usuarios y roles locales para la supervisión de OT con Defender para IoT.

Generar token de acceso

Los tokens de acceso permiten que los sistemas externos accedan a los datos descubiertos por Defender para IoT. Los tokens de acceso permiten que los datos se utilicen para las API de REST externas y a través de conexiones SSL. Puede generar tokens de acceso a la API de REST de Microsoft Defender para IoT.

Para garantizar la comunicación entre Defender para IoT y Forescout, debe generar un token de acceso en Defender para IoT.

Para generar un token de acceso:

  1. Inicie sesión en el sensor de Defender para IoT que se consultará mediante Forescout.

  2. Seleccione Configuración del sistema>Integraciones>Tokens de acceso.

  3. Seleccione Generar token.

  4. En el campo Descripción, agrega una breve descripción con respecto al propósito del token de acceso. Por ejemplo: "integración con script de Python".

  5. Seleccione Generar. A continuación, el token se muestra en el cuadro de diálogo.

    Nota

    Guarde el token en un lugar seguro. Lo necesitará al configurar la plataforma Forescout.

  6. Seleccione Finalizar.

Configuración de la plataforma Forescout

Ahora, puede configurar la plataforma Forescout para que se comunique con un sensor de Defender para IoT.

Para configurar la plataforma Forescout:

  1. En la plataforma Forescout, instala el módulo Forescout eyeExtend para CyberX.

  2. Inicie sesión en la consola CounterACT.

  3. En el menú Herramientas , seleccione Opciones.

  4. Vaya a Módulos>Plataforma de CyberX.

  5. En el campo de Dirección del servidor, escriba la dirección IP del sensor de Defender para IoT que se consultará mediante el dispositivo de Forescout.

  6. En el campo Token de acceso, escriba el token de acceso que se generó anteriormente.

  7. Seleccione Aplicar.

Cambio de sensores en Forescout

Para que la plataforma Forescout se comunique con un sensor diferente, se debe cambiar la configuración de Forescout.

Para cambiar sensores en Forescout:

  1. Cree un token de acceso en el sensor pertinente de Defender para IoT.

  2. Vaya a Módulos Forescout>Plataforma de CyberX.

  3. Elimine la información que se muestra en ambos campos.

  4. Inicie sesión en el nuevo sensor de Defender para IoT y genere un nuevo token de acceso.

  5. En el campo de Dirección del servidor, escriba la nueva dirección IP del sensor de Defender para IoT que se consultará mediante el dispositivo de Forescout.

  6. En el campo Token de acceso, escriba el nuevo token de acceso.

  7. Seleccione Aplicar.

Comprobación de la comunicación

Una vez se configure la conexión, debes confirmar que las dos plataformas se están comunicando.

Para confirmar que las dos plataformas se comunican:

  1. Inicie sesión en el sensor de Defender para IoT.

  2. Vaya a Configuración del sistema>Tokens de acceso.

El campo Usado te avisa si la conexión entre el sensor y el dispositivo Forescout no funciona. Si se muestra N/D, la conexión no funciona. Si se muestra Usado, indica la última vez que se recibió una llamada externa con este token.

Captura de pantalla de tokens de acceso generados

Visualización de atributos de dispositivo en Forescout

Al integrar Defender para IoT con Forescout, puede ver los diferentes atributos de los dispositivos que detectó Defender para IoT en la aplicación Forescout.

Para ver los atributos de un dispositivo:

  1. Inicie sesión en la plataforma Forescout y, luego, vaya a Asset Inventory (Inventario de activos).

  2. Seleccione Plataforma de CyberX.

    Para ver detalles adicionales, en la sección Hosts de inventario de dispositivos, haz clic con el botón derecho en un dispositivo. Se abre el cuadro de diálogo de detalles del host con información adicional.

En la tabla siguiente se enumeran todos los atributos que están visibles a través de la aplicación Forescout:

Atributo Descripción
Autorizado por Microsoft Defender para IoT Un dispositivo detectado en la red por Defender para IoT durante el período de aprendizaje de la red.
Firmware Detalles del firmware del dispositivo. Por ejemplo, el modelo y la versión.
Nombre Nombre del dispositivo.
Sistema operativo El sistema operativo del dispositivo.
Tipo El tipo de dispositivo. Por ejemplo, un PLC, un sistema Historian o una estación de ingeniería.
Proveedor El proveedor del dispositivo. Por ejemplo, Rockwell Automation.
Nivel de riesgo El nivel de riesgo calculado por Defender para IoT.
Protocolos Los protocolos detectados en el tráfico generado por el dispositivo.

Creación de directivas de Microsoft Defender para IoT en Forescout

Las directivas de Forescout se pueden usar para automatizar el control y la administración de los dispositivos detectados por Defender para IoT. Por ejemplo:

  • enviar automáticamente un correo electrónico a los administradores de SOC cuando se detecten determinadas versiones de firmware;

  • agregar dispositivos específicos detectados por Defender para IoT a un grupo de Forescout para administrar mejor los flujos de trabajo de incidentes y seguridad, por ejemplo, con otras integraciones de SIEM.

Puede crear directivas personalizadas en Forescout mediante las propiedades condicionales de Defender para IoT.

Para acceder a las propiedades de Defender para IoT:

  1. Vaya a Condiciones de directiva>Árbol de propiedades.

  2. En el árbol de propiedades, expande la carpeta Plataforma de CyberX. Las siguientes propiedades de Defender para IoT están disponibles:

    • Protocolos
    • Nivel de riesgo
    • Autorizado por CyberX
    • Tipo
    • Firmware
    • Nombre
    • Sistema operativo
    • Vendor

Pasos siguientes

Integraciones con servicios de Microsoft y asociados