Integrar o Forescout ao Microsoft Defender para IoT
Observação
O Microsoft Defender para IoT era formalmente conhecido como CyberX. As referências ao CyberX se referem ao Defender para IoT.
Este artigo ajuda você a aprender a integrar e usar o Forescout com o Microsoft Defender para IoT.
O Microsoft Defender para IoT oferece uma plataforma de segurança cibernética para ICS e IoT. O Defender para IoT é a única plataforma com análise de ameaças consciente de ICS e aprendizado de máquina. O Defender para IoT fornece:
Insights imediatos sobre ICS, o cenário do dispositivo, com uma ampla gama de detalhes sobre os atributos.
Conhecimento incorporado profundo sobre reconhecimento de ICS de protocolos, dispositivos e aplicativos OT e seus comportamentos.
Insights imediatos das vulnerabilidades e ameaças conhecidas e inéditas.
Uma tecnologia de modelagem de ameaças de ICS automatizada para prever os caminhos mais prováveis de ataques de ICS direcionados por meio de análises proprietárias.
A integração do Forescout ajuda a reduzir o tempo necessário para que as organizações de infraestrutura industrial e crítica detectem, investiguem e atuem em ameaças cibernéticas.
Use a inteligência do dispositivo do Microsoft Defender para IoT para fechar o ciclo de segurança disparando ações de política de Forescout. Por exemplo, você pode enviar automaticamente o e-mail de alerta para os administradores do SOC quando protocolos específicos forem detectados ou quando os detalhes do firmware forem alterados.
Correlacione o Defender para informações de IoT com outros módulos Forescout eyeExtended que supervisionam o monitoramento, o gerenciamento de incidentes e o controle de dispositivo.
A integração do Defender para IoT com a plataforma Forescout fornece visibilidade centralizada, monitoramento e controle para cenários de IoT e OT. Essas plataformas de ponte permitem visibilidade automatizada para dispositivos, gerenciamento para dispositivos ICS e fluxos de trabalho em silos. A integração fornece analistas SOC com visibilidade de vários níveis para os protocolos implantados em ambientes industriais. São disponibilizadas informações como firmware, tipos de dispositivo, sistemas operacionais e pontuações de análise de risco com base nas tecnologias proprietárias do Microsoft Defender para IoT.
Neste artigo, você aprenderá como:
- Gerar um token de acesso
- Configurar a plataforma Forescout
- Verifique a comunicação
- Exibir atributos de dispositivo no Forescout
- Criar políticas do Microsoft Defender para IoT no Forescout
Pré-requisitos
Antes de iniciar, verifique se você cumpre os seguintes pré-requisitos:
Microsoft Defender para IoT versão 2.4 ou superior
Forescout versão 8.0 ou superior
Uma licença para o módulo eyeExtend do Forescout para a plataforma Microsoft Defender para IoT.
Acesso a um sensor do Defender para IoT OT como um usuário administrador. Para obter mais informações, confira Usuários locais e funções para monitoramento de OT com o Defender para IoT.
Gerar um token de acesso
Os tokens de acesso permitem que sistemas externos acessem dados descobertos pelo Defender para IoT. Os tokens de acesso permitem que os dados sejam usados para APIs REST externas e por conexões SSL. Você pode gerar tokens de acesso para acessar a API REST do Microsoft Defender para IoT.
Para garantir a comunicação do Defender para IoT com o Forescout, gere um token de acesso no Defender para IoT.
Para gerar um token de acesso:
Entre no sensor do Defender para IoT que será consultado pelo Forescout.
Selecione Configurações do Sistema>Integrações>Tokens de acesso.
Selecione Gerar token.
No campo Descrição, adicione uma breve descrição sobre a finalidade do token de acesso. Por exemplo: "integração com script python".
Selecione Gerar. O token é exibido na caixa de diálogo.
Observação
Registre o token em um local seguro. Você precisará dele quando configurar a plataforma Forescout.
Selecione Concluir.
Configurar a plataforma Forescout
Você pode configurar a plataforma Forescout para se comunicar com um sensor do Defender para IoT.
Para configurar a plataforma Forescout:
Na plataforma Forescout, procure e instale o módulo Forescout eyeExtend para CyberX.
Entre no console do CounterACT.
No menu Ferramentas , selecione Opções.
Navegue até Módulos>Plataforma CyberX.
No campo Endereço do servidor, insira o endereço IP do sensor do Defender para IoT que será consultado pelo dispositivo Forescout.
No campo Token de Acesso, insira o token de acesso que foi gerado anteriormente.
Selecione Aplicar.
Alterar sensores no Forescout
Para fazer a plataforma Forescout se comunicar com um sensor diferente, a configuração no Forescout deve ser alterada.
Para alterar os sensores no Forescout:
Crie um novo token de acesso no sensor relevante do Defender para IoT.
Navegue até Módulos Forescout>Plataforma CyberX.
Exclua as informações exibidas em ambos os campos.
Entre no novo sensor do Defender para IoT e gere um novo token de acesso.
No campo Endereço do servidor, insira o novo endereço IP do sensor do Defender para IoT que será consultado pelo dispositivo Forescout.
No campo token de acesso, insira o novo token de acesso.
Selecione Aplicar.
Verifique a comunicação
Após a configuração da conexão, é necessário confirmar se as duas plataformas estão se comunicando.
Para confirmar se as duas plataformas estão se comunicando:
Entre no sensor do Defender para IoT.
Navegue até Configurações do Sistema>Tokens de Acesso.
O campo usado vai alertar você se a conexão entre o sensor e o dispositivo Forescout não estiver funcionando. Se N/D for exibido, a conexão não estará funcionando. Se Usado for exibido, isso indicará a última vez em que uma chamada externa com esse token foi recebida.
Exibir atributos de dispositivo no Forescout
Ao integrar o Defender para IoT ao Forescout, você poderá exibir atributos diferentes do dispositivo que foram detectados pelo Defender para IoT no aplicativo Forescout.
Para exibir os atributos de um dispositivo:
Entre na plataforma Forescout e, em seguida, navegue até o Inventário de Ativos.
Selecione a Plataforma CyberX.
Para exibir detalhes adicionais, na seção Hosts de Inventário de Dispositivos, clique com o botão direito do mouse em um dispositivo. A caixa de diálogo de detalhes do host é aberta com informações adicionais.
A tabela seguinte lista todos os atributos que são visíveis por meio do aplicativo Forescout:
Atributo | Descrição |
---|---|
Autorizado pelo Microsoft Defender para IoT | Um dispositivo detectado em sua rede pelo Defender para IoT durante o período de aprendizado de rede. |
Firmware | Os detalhes do firmware do dispositivo. Por exemplo, modelo e detalhes da versão. |
Nome | O nome do dispositivo. |
Sistema operacional | O sistema operacional do dispositivo. |
Tipo | O tipo de dispositivo. Por exemplo, uma Estação PLC, Historian ou Engineering. |
Fornecedor | O fornecedor do dispositivo. Por exemplo, a Rockwell Automation. |
Nível de risco | O nível de risco calculado pelo Defender para IoT. |
Protocolos | Os protocolos detectados no tráfego gerado pelo dispositivo. |
Criar políticas do Microsoft Defender para IoT no Forescout
As políticas do Forescout podem ser usadas para automatizar o controle e o gerenciamento de dispositivos detectados pelo Defender para IoT. Por exemplo:
Envie por email os administradores do SOC automaticamente quando versões específicas do firmware forem detectadas.
Adicione dispositivos detectados específicos do Defender para IoT a um grupo do Forescout para gerenciar melhor fluxos de trabalho de incidentes e segurança, como com outras integrações SIEM.
Você pode criar políticas personalizadas no Forescout usando as propriedades condicionais do Defender para IoT.
Para acessar as propriedades do Defender para IoT:
Navegue até Condições da Política>Árvore de Propriedades.
Na Árvore de Propriedades, Expanda a pasta Plataforma CyberX. As seguintes propriedades do defender para IoT estão disponíveis:
- Protocolos
- Nível de risco
- Autorizado pela CyberX
- Type
- Firmware
- Nome
- Sistema operacional
- Fornecedor