Mengintegrasikan Forescout dengan Pertahanan Microsoft untuk IoT
Catatan
Microsoft Defender untuk IoT secara resmi dikenal sebagai CyberX. Referensi ke CyberX mengacu pada Defender for IoT.
Artikel ini membantu Anda mempelajari cara mengintegrasikan Forescout dengan Microsoft Defender untuk IoT.
Microsoft Defender untuk IoT memberikan platform keamanan cyber ICS dan IoT. Defender for IoT adalah satu-satunya platform dengan analitik ancaman dan pembelajaran mesin yang sadar ICS. Defender for IoT menyediakan:
Wawasan langsung tentang ICS dan lanskap perangkat dengan berbagai detail tentang atribut.
Pengetahuan tersemat yang mendalam sadar ICS tentang protokol OT, perangkat, aplikasi, dan perilakunya.
Wawasan langsung tentang kerentanan dan ancaman nol hari yang diketahui.
Teknologi pemodelan ancaman ICS otomatis untuk memprediksi jalur yang paling mungkin dari serangan ICS yang ditargetkan melalui analitik hak milik.
Integrasi Forescout membantu mengurangi waktu yang diperlukan bagi organisasi infrastruktur industri dan kritis untuk mendeteksi, menyelidiki, dan bertindak atas ancaman siber.
Gunakan kecerdasan perangkat OT Pertahanan Microsoft untuk IoT untuk menutup siklus keamanan dengan memicu tindakan kebijakan Forescout. Misalnya, Anda dapat secara otomatis mengirim email pemberitahuan ke administrator SOC saat protokol tertentu terdeteksi, atau saat detail firmware berubah.
Hubungkan informasi Defender for IoT dengan modul Forescout eyeExtended lainnya yang mengawasi pemantauan, manajemen insiden, dan kontrol perangkat.
Integrasi Defender for IoT dengan platform Forescout memberikan visibilitas, pemantauan, dan kontrol terpusat untuk lanskap IoT dan OT. Platform yang disambungkan ini memungkinkan visibilitas perangkat otomatis, manajemen ke perangkat ICS, dan alur kerja yang di-silo. Integrasi ini memberi analis SOC visibilitas bertingkat ke dalam protokol OT yang diterapkan di lingkungan industri. Informasi menjadi tersedia, seperti firmware, jenis perangkat, sistem operasi, dan skor analisis risiko, berdasarkan Microsoft Defender kepemilikan untuk teknologi IoT.
Dalam artikel ini, Anda akan mempelajari cara:
- Membuat token akses
- Mengonfigurasi platform Forescout
- Memverifikasi komunikasi
- Menampilkan atribut perangkat di Forescout
- Membuat kebijakan Pertahanan Microsoft untuk IoT di Forescout
Prasyarat
Sebelum memulai, pastikan Anda memiliki prasyarat berikut:
Pertahanan Microsoft untuk IoT versi 2.4 atau lebih tinggi
Forescout versi 8.0 atau lebih tinggi
Lisensi untuk modul Forescout eyeExtend untuk Platform Pertahanan Microsoft untuk IoT.
Akses ke sensor OT Defender untuk IoT sebagai pengguna Admin. Untuk informasi selengkapnya, lihat Pengguna dan peran lokal untuk pemantauan OT dengan Defender for IoT.
Membuat token akses
Token akses memungkinkan sistem eksternal untuk mengakses data yang ditemukan oleh Defender for IoT. Token akses memungkinkan data tersebut digunakan untuk REST API eksternal, dan melalui sambungan SSL. Anda dapat menghasilkan token akses untuk mengakses REST API Pertahanan Microsoft untuk IoT.
Untuk memastikan komunikasi dari Defender for IoT ke Forescout, Anda harus membuat token akses di Defender for IoT.
Untuk menghasilkan token akses:
Masuk ke sensor Defender for IoT yang akan dikueri oleh Forescout.
Pilih Pengaturan Sistem>Integrasi>Token Akses.
Pilih Buat token.
Di bidang Deskripsi , tambahkan deskripsi singkat mengenai tujuan token akses. Misalnya: "integrasi dengan skrip python".
Pilih Hasilkan. Token tersebut kemudian ditampilkan di kotak dialog.
Catatan
Catat token di tempat yang aman. Anda akan membutuhkannya saat Anda mengonfigurasi Platform Forescout.
Pilih Selesai.
Mengonfigurasi platform Forescout
Anda sekarang dapat mengonfigurasi platform Forescout untuk berkomunikasi dengan sensor Defender for IoT.
Untuk mengonfigurasi platform Forescout:
Pada platform Forescout, cari dan instal modul Forescout eyeExtend untuk CyberX.
Masuk ke konsol CounterACT.
Dari menu Alat, pilih Opsi.
Buka Modul>Platform CyberX.
Pada kolom Alamat Server, masukkan alamat IP sensor Defender for IoT yang akan dikueri oleh Forescout appliance.
Di bidang Token Akses, masukkan token akses yang dihasilkan sebelumnya.
Pilih Terapkan.
Mengubah sensor di Forescout
Untuk membuat platform Forescout berkomunikasi dengan sensor yang berbeda, konfigurasi dalam Forescout harus diubah.
Untuk mengubah sensor di Forescout:
Buat token akses baru di sensor Defender for IoT yang relevan.
Buka Modul Forescout>Platform CyberX.
Hapus informasi yang ditampilkan di kedua bidang.
Masuk ke sensor Defender for IoT baru dan hasilkan token akses baru.
Pada kolom Alamat Server, masukkan alamat IP baru sensor Defender for IoT yang akan dikueri oleh Forescout appliance.
Di bidang Token Akses, masukkan token akses baru.
Pilih Terapkan.
Memverifikasi komunikasi
Setelah koneksi dikonfigurasi, Anda perlu mengonfirmasi bahwa kedua platform berkomunikasi.
Untuk mengonfirmasi kedua platform tersebut berkomunikasi:
Masuk ke sensor Defender for IoT.
Buka Pengaturan sistem>Token Akses.
Bidang Digunakan memberi tahu Anda jika koneksi antara sensor dan appliance Forescout tidak berfungsi. Jika N/A ditampilkan, koneksi tidak berfungsi. Jika Digunakan ditampilkan, ini menunjukkan terakhir kali panggilan eksternal dengan token ini diterima.
Menampilkan atribut perangkat di Forescout
Dengan mengintegrasikan Defender for IoT dengan Forescout, Anda dapat melihat atribut perangkat yang berbeda yang terdeteksi oleh Defender for IoT, dalam aplikasi Forescout.
Untuk melihat atribut perangkat:
Masuk ke platform Forescout, lalu buka Inventaris Aset.
Pilih Platform CyberX.
Untuk melihat detail tambahan, dari bagian Host Inventori Perangkat , klik kanan pada perangkat. Kotak dialog detail host terbuka dengan informasi tambahan.
Tabel berikut mencantumkan semua atribut yang terlihat melalui aplikasi Forescout:
| Atribut | Deskripsi |
|---|---|
| Disahkan oleh Pertahanan Microsoft untuk IoT | Perangkat yang terdeteksi pada jaringan Anda oleh Defender for IoT selama periode pembelajaran jaringan. |
| Firmware | Detail firmware perangkat. Misalnya, detail model dan versi. |
| Nama | Nama perangkat. |
| Sistem Operasi | Nama sistem operasi pada perangkat. |
| Jenis | Jenis perangkat. Misalnya, PLC, Sejarawan, atau Stasiun Teknik. |
| Vendor | Vendor perangkat. Misalnya, Rockwell Automation. |
| Tingkat risiko | Tingkat risiko yang dihitung oleh Defender for IoT. |
| Protokol | Protokol yang terdeteksi dalam lalu lintas yang dihasilkan oleh perangkat. |
Membuat kebijakan Pertahanan Microsoft untuk IoT di Forescout
Kebijakan Forescout dapat digunakan untuk mengotomatiskan kontrol dan manajemen perangkat yang terdeteksi oleh Defender for IoT. Contohnya:
Kirim email ke administrator SOC secara otomatis saat versi firmware tertentu terdeteksi.
Tambahkan perangkat yang terdeteksi Defender tertentu for IoT ke grup Forescout untuk penanganan lebih lanjut dalam alur kerja insiden dan keamanan, misalnya dengan integrasi Security Information and Event Management lainnya.
Anda dapat membuat kebijakan khusus di Forescout menggunakan properti kondisional Defender for IoT.
Untuk mengakses properti Defender for IoT:
Buka Ketentuan Kebijakan>Pohon Properti.
Di Pohon Properti, perluas folder Platform CyberX . Properti defender untuk IoT berikut ini tersedia:
- Protokol
- Tingkat Risiko
- Diotorisasi oleh CyberX
- Jenis
- Firmware
- Nama
- Sistem Operasi
- Vendor
Langkah berikutnya
Saran dan Komentar
Segera hadir: Sepanjang tahun 2024 kami akan menghentikan penggunaan GitHub Issues sebagai mekanisme umpan balik untuk konten dan menggantinya dengan sistem umpan balik baru. Untuk mengetahui informasi selengkapnya, lihat: https://aka.ms/ContentUserFeedback.
Kirim dan lihat umpan balik untuk