Forescout'i IoT için Microsoft Defender ile tümleştirme
Not
IoT için Microsoft Defender resmi olarak CyberX olarak biliniyordu. CyberX başvuruları IoT için Defender'a başvurur.
Bu makale, Forescout'ı IoT için Microsoft Defender ile tümleştirmeyi öğrenmenize yardımcı olur.
IoT için Microsoft Defender bir ICS ve IoT siber güvenlik platformu sunar. IoT için Defender, ICS'nin farkında olan tehdit analizine ve makine öğrenmesine sahip tek platformdur. IoT için Defender şu bilgileri sağlar:
Öznitelikler hakkında kapsamlı ayrıntılarla ICS ve cihaz ortamı hakkında anında içgörüler.
OT protokolleri, cihazlar, uygulamalar ve bunların davranışları hakkında ICS'ye duyarlı derin tümleşik bilgi.
Güvenlik açıkları ve bilinen sıfır gün tehditleriyle ilgili anında içgörüler.
Özel analiz aracılığıyla hedeflenen ICS saldırılarının en olası yollarını tahmin etmek için otomatik bir ICS tehdit modelleme teknolojisi.
Forescout tümleştirmesi, endüstriyel ve kritik altyapı kuruluşlarının siber tehditleri algılaması, araştırması ve üzerinde işlem yapmaları için gereken süreyi azaltmaya yardımcı olur.
Forescout ilke eylemlerini tetikleyerek güvenlik döngüsünü kapatmak için IoT OT cihaz zekası için Microsoft Defender kullanın. Örneğin, belirli protokoller algılandığında veya üretici yazılımı ayrıntıları değiştiğinde SOC yöneticilerine otomatik olarak bir uyarı e-postası gönderebilirsiniz.
IoT için Defender bilgilerini izleme, olay yönetimi ve cihaz denetimini denetleen diğer Forescout eyeExtended modülleriyle ilişkilendirin.
Forescout platformuyla IoT için Defender tümleştirmesi, IoT ve OT ortamı için merkezi görünürlük, izleme ve denetim sağlar. Bu köprülenmiş platformlar otomatik cihaz görünürlüğü, ICS cihazları için yönetim ve silolu iş akışları sağlar. Tümleştirme, SOC analistlerine endüstriyel ortamlarda dağıtılan OT protokolleri için çok düzeyli görünürlük sağlar. IoT teknolojileri için özel Microsoft Defender temelinde üretici yazılımı, cihaz türleri, işletim sistemleri ve risk analizi puanları gibi bilgiler kullanılabilir hale gelir.
Bu makalede şunları öğreneceksiniz:
- Erişim belirteci oluşturma
- Forescout platformunu yapılandırma
- İletişimi doğrulama
- Forescout'ta cihaz özniteliklerini görüntüleme
- Forescout'ta IoT ilkeleri için Microsoft Defender oluşturma
Önkoşullar
Başlamadan önce aşağıdaki önkoşullara sahip olduğunuzdan emin olun:
IoT sürüm 2.4 veya üzeri için Microsoft Defender
Forescout sürüm 8.0 veya üzeri
IoT Platformu için Microsoft Defender için Forescout eyeExtend modülü lisansı.
IoT için Defender OT algılayıcısına Yönetici kullanıcı olarak erişim. Daha fazla bilgi için bkz. IoT için Defender ile OT izleme için şirket içi kullanıcılar ve roller.
Erişim belirteci oluşturma
Erişim belirteçleri, dış sistemlerin IoT için Defender tarafından bulunan verilere erişmesine olanak tanır. Erişim belirteçleri, bu verilerin dış REST API'leri için ve SSL bağlantıları üzerinden kullanılmasına olanak sağlar. IoT REST API'sinin Microsoft Defender erişmek için erişim belirteçleri oluşturabilirsiniz.
IoT için Defender'dan Forescout'a iletişimi sağlamak için, IoT için Defender'da bir erişim belirteci oluşturmanız gerekir.
Erişim belirteci oluşturmak için:
Forescout tarafından sorgulanacak Olan IoT için Defender algılayıcısında oturum açın.
Sistem Ayarları>Tümleştirmeleri>Erişim Belirteçleri'ni seçin.
Belirteç oluştur'a tıklayın.
Açıklama alanına erişim belirtecinin amacıyla ilgili kısa bir açıklama ekleyin. Örneğin: "python betiğiyle tümleştirme".
Oluştur'a tıklayın. Belirteç daha sonra iletişim kutusunda görüntülenir.
Not
Belirteci güvenli bir yere kaydedin. Forescout Platformunu yapılandırırken buna ihtiyacınız olacaktır.
Son'u seçin.
Forescout platformunu yapılandırma
Artık Forescout platformunu IoT için Defender algılayıcısıyla iletişim kuracak şekilde yapılandırabilirsiniz.
Forescout platformunu yapılandırmak için:
Forescout platformunda , CyberX için Forescout eyeExtend modülünü arayın ve yükleyin.
CounterACT konsolunda oturum açın.
Araçlar menüsünde Seçenekler'i seçin.
Modules>CyberX Platformu'na gidin.
Sunucu Adresi alanına, Forescout gereci tarafından sorgulanacak IoT için Defender algılayıcısının IP adresini girin.
Erişim Belirteci alanına daha önce oluşturulan erişim belirtecini girin.
Uygula’yı seçin.
Forescout'ta algılayıcıları değiştirme
Forescout platformunun farklı bir algılayıcıyla iletişim kurmasını sağlamak için Forescout içindeki yapılandırmanın değiştirilmesi gerekir.
Forescout'ta algılayıcıları değiştirmek için:
İlgili IoT için Defender algılayıcısında yeni bir erişim belirteci oluşturun.
Forescout Modülleri>CyberX Platformu'na gidin.
Her iki alanda da görüntülenen bilgileri silin.
Yeni IoT için Defender algılayıcısında oturum açın ve yeni bir erişim belirteci oluşturun.
Sunucu Adresi alanına, Forescout gereci tarafından sorgulanacak IoT için Defender algılayıcısının yeni IP adresini girin.
Erişim Belirteci alanına yeni erişim belirtecini girin.
Uygula’yı seçin.
İletişimi doğrulama
Bağlantı yapılandırıldıktan sonra iki platformun iletişim kurduğunu onaylamanız gerekir.
İki platformun iletişimde olduğunu onaylamak için:
IoT için Defender algılayıcısında oturum açın.
Sistem Ayarları>Erişim Belirteçleri'ne gidin.
Algılayıcı ile Forescout gereci arasındaki bağlantı çalışmıyorsa, Kullanılan alanı sizi uyarır. Yok görüntüleniyorsa bağlantı çalışmıyordur. Kullanıldı görüntülenirse, bu belirteci içeren bir dış çağrının en son ne zaman alındığını gösterir.
Forescout'ta cihaz özniteliklerini görüntüleme
IoT için Defender'ı Forescout ile tümleştirerek, Forescout uygulamasında IoT için Defender tarafından algılanan farklı cihaz özniteliklerini görüntüleyebilirsiniz.
Bir cihazın özniteliklerini görüntülemek için:
Forescout platformunda oturum açın ve varlık envanterine gidin.
CyberX Platformunu seçin.
Ek ayrıntıları görüntülemek için Cihaz Envanteri Konakları bölümünde bir cihaza sağ tıklayın. Ek bilgiler içeren konak ayrıntıları iletişim kutusu açılır.
Aşağıdaki tabloda Forescout uygulaması aracılığıyla görünen tüm öznitelikler listeleniyor:
| Öznitelik | Açıklama |
|---|---|
| IoT için Microsoft Defender tarafından yetkilendirildi | Ağ öğrenmesi döneminde IoT için Defender tarafından ağınızda algılanan bir cihaz. |
| Üretici yazılımı | Cihazın üretici yazılımı ayrıntıları. Örneğin, model ve sürüm ayrıntıları. |
| Ad | Cihazın adı. |
| İşletim Sistemi | Cihazın işletim sistemi. |
| Tür | Cihazın türü. Örneğin PLC, Tarihçi veya Mühendislik İstasyonu. |
| Satıcı | Cihazın satıcısı. Örneğin, Rockwell Automation. |
| Risk düzeyi | IoT için Defender tarafından hesaplanan risk düzeyi. |
| Protokoller | Cihaz tarafından oluşturulan trafikte algılanan protokoller. |
Forescout'ta IoT ilkeleri için Microsoft Defender oluşturma
Forescout ilkeleri, IoT için Defender tarafından algılanan cihazların denetimini ve yönetimini otomatikleştirmek için kullanılabilir. Örnek:
Belirli üretici yazılımı sürümleri algılandığında SOC yöneticilerine otomatik olarak e-posta gönderin.
Olay ve güvenlik iş akışlarında, örneğin diğer SIEM tümleştirmelerinde daha fazla işlem yapmak için Belirli IoT için Defender algılanan cihazları forescout grubuna ekleyin.
IoT için Defender koşullu özelliklerini kullanarak Forescout'ta özel ilkeler oluşturabilirsiniz.
IoT için Defender özelliklerine erişmek için:
İlke Koşulları>Özellikler Ağacı'na gidin.
Özellikler Ağacı'nda CyberX Platformu klasörünü genişletin. IoT için Defender aşağıdaki özellikler kullanılabilir:
- Protokoller
- Risk Düzeyi
- CyberX tarafından yetkilendirildi
- Tür
- Üretici yazılımı
- Name
- İşletim Sistemi
- Satıcı
Sonraki adımlar
Geri Bildirim
Çok yakında: 2024 boyunca, içerik için geri bildirim mekanizması olarak GitHub Sorunları’nı kullanımdan kaldıracak ve yeni bir geri bildirim sistemiyle değiştireceğiz. Daha fazla bilgi için bkz. https://aka.ms/ContentUserFeedback.
Gönderin ve geri bildirimi görüntüleyin