Udostępnij za pośrednictwem


Integracja rozwiązania Forescout z Microsoft Defender dla IoT

Uwaga

Microsoft Defender dla IoT był formalnie znany jako CyberX. Odwołania do cyberx odnoszą się do usługi Defender for IoT.

Ten artykuł pomaga dowiedzieć się, jak zintegrować aplikację Forescout z Microsoft Defender dla IoT.

Microsoft Defender dla IoT zapewnia platformę cyberbezpieczeństwa ICS i IoT. Defender for IoT to jedyna platforma z analizą zagrożeń i uczeniem maszynowym obsługującym ICS. Usługa Defender dla IoT zapewnia następujące możliwości:

  • Natychmiastowe szczegółowe informacje na temat architektury ICS i krajobrazu urządzenia z szerokim zakresem szczegółów dotyczących atrybutów.

  • Głęboko osadzona wiedza na temat protokołów OT, urządzeń, aplikacji i ich zachowań z obsługą protokołu ICS.

  • Natychmiastowy wgląd w luki w zabezpieczeniach i znane zagrożenia zerowe dni.

  • Zautomatyzowana technologia modelowania zagrożeń ICS do przewidywania najbardziej prawdopodobnych ścieżek ukierunkowanych ataków ICS za pośrednictwem własnościowej analizy.

Integracja forescout pomaga skrócić czas wymagany przez organizacje infrastruktury przemysłowej i krytycznej do wykrywania, badania i reagowania na zagrożenia cybernetyczne.

  • Użyj Microsoft Defender analizy urządzeń IoT OT, aby zamknąć cykl zabezpieczeń przez wyzwolenie akcji zasad forescout. Można na przykład automatycznie wysłać wiadomość e-mail z alertem do administratorów SOC po wykryciu określonych protokołów lub zmianie szczegółów oprogramowania układowego.

  • Koreluj informacje usługi Defender dla IoT z innymi modułami forescout eyeExtended , które nadzorują monitorowanie, zarządzanie zdarzeniami i kontrolę urządzeń.

Integracja usługi Defender for IoT z platformą Forescout zapewnia scentralizowany wgląd, monitorowanie i kontrolę środowiska IoT i OT. Te platformy pomostowe umożliwiają automatyczną widoczność urządzeń, zarządzanie urządzeniami ICS i silosowane przepływy pracy. Integracja zapewnia analitykom SOC wgląd w wieloszczepowe protokoły OT wdrożone w środowiskach przemysłowych. Informacje stają się dostępne, takie jak oprogramowanie układowe, typy urządzeń, systemy operacyjne i wyniki analizy ryzyka, oparte na zastrzeżonych Microsoft Defender technologii IoT.

W tym artykule omówiono sposób wykonywania następujących zadań:

  • Generowanie tokenu dostępu
  • Konfigurowanie platformy Forescout
  • Weryfikowanie komunikacji
  • Wyświetlanie atrybutów urządzenia w obszarze Forescout
  • Tworzenie Microsoft Defender dla zasad IoT w obszarze Forescout

Wymagania wstępne

Przed rozpoczęciem upewnij się, że masz następujące wymagania wstępne:

Generowanie tokenu dostępu

Tokeny dostępu umożliwiają zewnętrznym systemom dostęp do danych odnalezionych przez usługę Defender dla IoT. Tokeny dostępu umożliwiają używanie tych danych dla zewnętrznych interfejsów API REST i za pośrednictwem połączeń SSL. Tokeny dostępu można wygenerować, aby uzyskać dostęp do Microsoft Defender dla interfejsu API REST IoT.

Aby zapewnić komunikację z usługi Defender dla IoT do usługi Forescout, należy wygenerować token dostępu w usłudze Defender dla IoT.

Aby wygenerować token dostępu:

  1. Zaloguj się do czujnika usługi Defender for IoT, który będzie odpytywane przez użytkownika Forescout.

  2. Wybierz pozycję Ustawienia> systemoweIntegracje Tokeny>dostępu.

  3. Wybierz pozycję Generuj token.

  4. W polu Opis dodaj krótki opis dotyczący przeznaczenia tokenu dostępu. Na przykład: "integracja ze skryptem języka Python".

  5. Wybierz pozycję Generuj. Token jest następnie wyświetlany w oknie dialogowym.

    Uwaga

    Zarejestruj token w bezpiecznym miejscu. Będzie ona potrzebna podczas konfigurowania platformy Forescout.

  6. Wybierz pozycję Zakończ.

Konfigurowanie platformy Forescout

Teraz można skonfigurować platformę Forescout do komunikowania się z czujnikiem usługi Defender for IoT.

Aby skonfigurować platformę Forescout:

  1. Na platformie Forescout wyszukaj i zainstaluj moduł Forescout eyeExtend dla systemu CyberX.

  2. Zaloguj się do konsoli CounterACT.

  3. W menu Narzędzia wybierz pozycję Opcje.

  4. Przejdź do pozycji Modules CyberX Platform (Moduły platformy>CyberX).

  5. W polu Adres serwera wprowadź adres IP czujnika usługi Defender dla IoT, który będzie odpytywane przez urządzenie Forescout.

  6. W polu Token dostępu wprowadź wcześniej wygenerowany token dostępu.

  7. Wybierz przycisk Zastosuj.

Zmienianie czujników w forescout

Aby platforma Forescout komunikowała się z innym czujnikiem, należy zmienić konfigurację w programie Forescout.

Aby zmienić czujniki w obszarze Forescout:

  1. Utwórz nowy token dostępu w odpowiednim czujniku usługi Defender dla IoT.

  2. Przejdź do pozycji Forescout ModulesCyberX Platform (Platforma CyberXmodułów> forescout).

  3. Usuń informacje wyświetlane w obu polach.

  4. Zaloguj się do nowego czujnika usługi Defender dla IoT i wygeneruj nowy token dostępu.

  5. W polu Adres serwera wprowadź nowy adres IP czujnika usługi Defender dla IoT, który będzie odpytywane przez urządzenie Forescout.

  6. W polu Token dostępu wprowadź nowy token dostępu.

  7. Wybierz przycisk Zastosuj.

Weryfikowanie komunikacji

Po skonfigurowaniu połączenia należy potwierdzić, że obie platformy komunikują się.

Aby potwierdzić, że dwie platformy komunikują się:

  1. Zaloguj się do czujnika usługi Defender for IoT.

  2. Przejdź do pozycjiTokeny dostępuustawień> systemowych.

Pole Używane powiadamia o tym, czy połączenie między czujnikiem a urządzeniem Forescout nie działa. Jeśli jest wyświetlana wartość N/A , połączenie nie działa. Jeśli zostanie wyświetlony komunikat Używany , wskazuje czas ostatniego odebrania wywołania zewnętrznego z tym tokenem.

Zrzut ekranu przedstawiający wygenerowane tokeny dostępu

Wyświetlanie atrybutów urządzenia w obszarze Forescout

Dzięki integracji usługi Defender dla IoT z aplikacją Forescout możesz wyświetlić atrybuty różnych urządzeń wykryte przez usługę Defender dla IoT w aplikacji Forescout.

Aby wyświetlić atrybuty urządzenia:

  1. Zaloguj się do platformy Forescout, a następnie przejdź do spisu zasobów.

  2. Wybierz platformę CyberX.

    Aby wyświetlić dodatkowe szczegóły, w sekcji Hosty spisu urządzeń kliknij prawym przyciskiem myszy urządzenie. Zostanie otwarte okno dialogowe szczegóły hosta z dodatkowymi informacjami.

W poniższej tabeli wymieniono wszystkie atrybuty widoczne za pośrednictwem aplikacji Forescout:

Atrybut Opis
Autoryzowane przez Microsoft Defender dla IoT Urządzenie wykryte w sieci przez usługę Defender dla IoT w okresie nauki sieci.
Oprogramowanie układowe Szczegóły oprogramowania układowego urządzenia. Na przykład szczegóły modelu i wersji.
Nazwa Nazwa urządzenia.
System operacyjny System operacyjny urządzenia.
Typ Typ urządzenia. Na przykład PLC, Historyk lub Stacja Inżynieryjna.
Dostawca Dostawca urządzenia. Na przykład Rockwell Automation.
Poziom ryzyka Poziom ryzyka obliczony przez usługę Defender dla IoT.
Protokoły Protokoły wykryte w ruchu generowanym przez urządzenie.

Tworzenie Microsoft Defender dla zasad IoT w obszarze Forescout

Zasady forescout mogą służyć do automatyzowania kontroli urządzeń wykrytych przez usługę Defender for IoT i zarządzania nimi. Przykład:

  • Automatycznie wyślij wiadomość e-mail do administratorów SOC po wykryciu określonych wersji oprogramowania układowego.

  • Dodaj określone urządzenia usługi Defender dla IoT do grupy Forescout w celu dalszej obsługi w przepływach pracy zdarzeń i zabezpieczeń, na przykład z innymi integracyjnymi rozwiązaniami SIEM.

Zasady niestandardowe można tworzyć w obszarze Forescout przy użyciu właściwości warunkowych usługi Defender dla IoT.

Aby uzyskać dostęp do właściwości usługi Defender dla IoT:

  1. Przejdź dodrzewa właściwościwarunków> zasad.

  2. W drzewie właściwości rozwiń folder Platforma CyberX . Dostępne są następujące właściwości usługi Defender dla IoT:

    • Protokoły
    • Poziom ryzyka
    • Autoryzowane przez CyberX
    • Typ
    • Oprogramowanie układowe
    • Nazwa
    • System operacyjny
    • Dostawca

Następne kroki