Partilhar via


Integrar Forescout com Microsoft Defender para IoT

Nota

Microsoft Defender para ioT era formalmente conhecido como CyberX. Referências ao CyberX referem-se ao Defender para IoT.

Este artigo ajuda-o a aprender a integrar Forescout com Microsoft Defender para IoT.

Microsoft Defender para IoT fornece uma plataforma de cibersegurança ICS e IoT. O Defender para IoT é a única plataforma com análise de ameaças e machine learning com conhecimento do ICS. O Defender para IoT fornece:

  • Informações imediatas sobre o ICS e o panorama do dispositivo com um vasto leque de detalhes sobre atributos.

  • Conhecimentos incorporados aprofundados com suporte para ICS sobre protocolos OT, dispositivos, aplicações e respetivos comportamentos.

  • Informações imediatas sobre vulnerabilidades e ameaças conhecidas de zero dias.

  • Uma tecnologia automatizada de modelação de ameaças do ICS para prever os caminhos mais prováveis de ataques ICS direcionados através da análise proprietária.

A integração forescout ajuda a reduzir o tempo necessário para que as organizações de infraestrutura industriais e críticas detetem, investiguem e ajam sobre ameaças cibernéticas.

  • Utilize Microsoft Defender para informações de dispositivos OT IoT para fechar o ciclo de segurança ao acionar ações de política forescout. Por exemplo, pode enviar automaticamente um e-mail de alerta aos administradores do SOC quando forem detetados protocolos específicos ou quando os detalhes do firmware forem alterados.

  • Correlacione as informações do Defender para IoT com outros módulos forescout eyeExtended que supervisionam a monitorização, a gestão de incidentes e o controlo de dispositivos.

A integração do Defender para IoT com a plataforma Forescout fornece visibilidade centralizada, monitorização e controlo para o panorama de IoT e OT. Estas plataformas com bridge permitem visibilidade automatizada do dispositivo, gestão para dispositivos ICS e fluxos de trabalho siloed. A integração fornece aos analistas do SOC visibilidade de vários níveis sobre os protocolos OT implementados em ambientes industriais. As informações ficam disponíveis, como firmware, tipos de dispositivos, sistemas operativos e pontuações de análise de risco, com base em Microsoft Defender proprietários para tecnologias IoT.

Neste artigo, vai aprender a:

  • Gerar um token de acesso
  • Configurar a plataforma Forescout
  • Verificar a comunicação
  • Ver atributos do dispositivo em Forescout
  • Criar Microsoft Defender para políticas IoT no Forescout

Pré-requisitos

Antes de começar, certifique-se de que tem os seguintes pré-requisitos:

Gerar um token de acesso

Os tokens de acesso permitem que sistemas externos acedam a dados detetados pelo Defender para IoT. Os tokens de acesso permitem que esses dados sejam utilizados para APIs REST externas e através de ligações SSL. Pode gerar tokens de acesso para aceder ao Microsoft Defender da API REST do IoT.

Para garantir a comunicação do Defender para IoT para Forescout, tem de gerar um token de acesso no Defender para IoT.

Para gerar um token de acesso:

  1. Inicie sessão no sensor do Defender para IoT que será consultado por Forescout.

  2. SelecioneTokens de Acesso deIntegrações de Definições>> do Sistema.

  3. Selecione Gerar token.

  4. No campo Descrição , adicione uma breve descrição sobre a finalidade do token de acesso. Por exemplo: "integração com script python".

  5. Selecione Gerar. Em seguida, o token é apresentado na caixa de diálogo.

    Nota

    Grave o token num local seguro. Irá precisar dele quando configurar a Plataforma Forescout.

  6. Selecione Concluir.

Configurar a plataforma Forescout

Agora, pode configurar a plataforma Forescout para comunicar com um sensor do Defender para IoT.

Para configurar a plataforma Forescout:

  1. Na plataforma Forescout, procure e instale o módulo Forescout eyeExtend para CyberX.

  2. Inicie sessão na consola CounterACT.

  3. No menu Ferramentas, selecione Opções.

  4. Navegue para aPlataforma CyberXdos Módulos>.

  5. No campo Endereço do Servidor, introduza o endereço IP do sensor do Defender para IoT que será consultado pela aplicação Forescout.

  6. No campo Token de Acesso, introduza o token de acesso que foi gerado anteriormente.

  7. Selecione Aplicar.

Alterar sensores em Forescout

Para que a plataforma Forescout comunique com um sensor diferente, a configuração no Forescout tem de ser alterada.

Para alterar os sensores em Forescout:

  1. Crie um novo token de acesso no sensor do Defender para IoT relevante.

  2. Navegue para Forescout Modules>CyberX Platform.

  3. Elimine as informações apresentadas em ambos os campos.

  4. Inicie sessão no novo sensor do Defender para IoT e gere um novo token de acesso.

  5. No campo Endereço do Servidor, introduza o novo endereço IP do sensor do Defender para IoT que será consultado pela aplicação Forescout.

  6. No campo Token de Acesso, introduza o novo token de acesso.

  7. Selecione Aplicar.

Verificar a comunicação

Depois de configurar a ligação, tem de confirmar que as duas plataformas estão a comunicar.

Para confirmar que as duas plataformas estão a comunicar:

  1. Inicie sessão no sensor defender para IoT.

  2. Navegue paraTokens de Acessodas Definições> do Sistema.

O campo Utilizado alerta-o se a ligação entre o sensor e a aplicação Forescout não estiver a funcionar. Se N/D for apresentado, a ligação não está a funcionar. Se Utilizado for apresentado, indica a última vez que uma chamada externa com este token foi recebida.

Captura de ecrã dos tokens de acesso gerados

Ver atributos do dispositivo em Forescout

Ao integrar o Defender para IoT com Forescout, pode ver os atributos de dispositivos diferentes que foram detetados pelo Defender para IoT, na aplicação Forescout.

Para ver os atributos de um dispositivo:

  1. Inicie sessão na plataforma Forescout e, em seguida, navegue para o Inventário de Recursos.

  2. Selecione a Plataforma CyberX.

    Para ver detalhes adicionais, na secção Anfitriões de Inventário de Dispositivos , clique com o botão direito do rato num dispositivo. A caixa de diálogo detalhes do anfitrião é aberta com informações adicionais.

A tabela seguinte lista todos os atributos que estão visíveis através da aplicação Forescout:

Atributo Descrição
Autorizado por Microsoft Defender para IoT Um dispositivo detetado na sua rede pelo Defender para IoT durante o período de aprendizagem de rede.
Firmware Os detalhes de firmware do dispositivo. Por exemplo, detalhes do modelo e da versão.
Nome O nome do dispositivo.
Sistema operativo O sistema operativo do dispositivo.
Tipo O tipo de dispositivo. Por exemplo, um PLC, Historiador ou Estação de Engenharia.
Fornecedor O fornecedor do dispositivo. Por exemplo, Rockwell Automation.
Nível de risco O nível de risco calculado pelo Defender para IoT.
Protocolos Os protocolos detetados no tráfego gerado pelo dispositivo.

Criar Microsoft Defender para políticas IoT no Forescout

As políticas forescout podem ser utilizadas para automatizar o controlo e a gestão de dispositivos detetados pelo Defender para IoT. Por exemplo:

  • Envie automaticamente um e-mail aos administradores do SOC quando forem detetadas versões de firmware específicas.

  • Adicione dispositivos específicos do Defender para IoT detetados a um grupo Forescout para processamento adicional em fluxos de trabalho de incidentes e segurança, por exemplo, com outras integrações SIEM.

Pode criar políticas personalizadas no Forescout com as propriedades condicionais do Defender para IoT.

Para aceder às propriedades do Defender para IoT:

  1. Navegue paraÁrvore de Propriedadesdas Condições> da Política.

  2. Na Árvore de Propriedades, expanda a pasta Plataforma CyberX . Estão disponíveis as seguintes propriedades do Defender para IoT:

    • Protocolos
    • Nível de Risco
    • Autorizado pela CyberX
    • Tipo
    • Firmware
    • Name
    • Sistema Operativo
    • Fornecedor

Passos seguintes