Integrera forescout med Microsoft Defender för IoT
Anteckning
Microsoft Defender för IoT kallades formellt CyberX. Referenser till CyberX refererar till Defender för IoT.
Den här artikeln hjälper dig att lära dig hur du integrerar Forescout med Microsoft Defender för IoT.
Microsoft Defender för IoT levererar en ICS- och IoT-cybersäkerhetsplattform. Defender för IoT är den enda plattformen med ICS-medveten hotanalys och maskininlärning. Defender för IoT tillhandahåller:
Omedelbara insikter om ICS och enhetslandskapet med en omfattande mängd information om attribut.
ICS-medveten djup inbäddad kunskap om OT-protokoll, enheter, program och deras beteenden.
Omedelbara insikter om sårbarheter och kända nolldagarshot.
En automatiserad ICS-hotmodelleringsteknik för att förutsäga de mest sannolika sökvägarna för riktade ICS-attacker via egenutvecklad analys.
Forescout-integreringen bidrar till att minska den tid som krävs för organisationer inom industriell och kritisk infrastruktur för att upptäcka, undersöka och agera på cyberhot.
Använd Microsoft Defender för IoT OT-enhetsintelligens för att stänga säkerhetscykeln genom att utlösa forescout-principåtgärder. Du kan till exempel automatiskt skicka ett e-postmeddelande med aviseringar till SOC-administratörer när specifika protokoll identifieras eller när information om inbyggd programvara ändras.
Korrelera Defender för IoT-information med andra Forescout eyeExtended-moduler som övervakar övervakning, incidenthantering och enhetskontroll.
Defender for IoT-integreringen med Forescout-plattformen ger centraliserad synlighet, övervakning och kontroll för IoT- och OT-liggande. Dessa bryggda plattformar möjliggör automatisk enhetssynlighet, hantering till ICS-enheter och silobaserade arbetsflöden. Integreringen ger SOC-analytiker insyn i OT-protokoll som distribueras i industriella miljöer på flera nivåer. Information blir tillgänglig, till exempel inbyggd programvara, enhetstyper, operativsystem och riskanalyspoäng, baserat på upphovsrättsskyddade Microsoft Defender för IoT-tekniker.
I den här artikeln kan du se hur du:
- Generera en åtkomsttoken
- Konfigurera Forescout-plattformen
- Verifiera kommunikationen
- Visa enhetsattribut i Forescout
- Skapa Microsoft Defender för IoT-principer i Forescout
Förutsättningar
Kontrollera att du har följande förutsättningar innan du börjar:
Microsoft Defender för IoT version 2.4 eller senare
Forescout version 8.0 eller senare
En licens för Modulen Forescout eyeExtend för Microsoft Defender för IoT Platform.
Åtkomst till en Defender for IoT OT-sensor som en Admin användare. Mer information finns i Lokala användare och roller för OT-övervakning med Defender för IoT.
Generera en åtkomsttoken
Med åtkomsttoken kan externa system komma åt data som identifieras av Defender för IoT. Med åtkomsttoken kan dessa data användas för externa REST-API:er och över SSL-anslutningar. Du kan generera åtkomsttoken för att få åtkomst till Microsoft Defender för IoT REST API.
För att säkerställa kommunikation från Defender för IoT till Forescout måste du generera en åtkomsttoken i Defender för IoT.
Så här genererar du en åtkomsttoken:
Logga in på Defender for IoT-sensorn som forescout kommer att fråga efter.
Välj Systeminställningar>Integreringar>Åtkomsttoken.
Välj Generera token.
I fältet Beskrivning lägger du till en kort beskrivning om syftet med åtkomsttoken. Exempel: "integrering med Python-skript".
Välj Generera. Token visas sedan i dialogrutan.
Anteckning
Registrera token på en säker plats. Du behöver den när du konfigurerar Forescout Platform.
Välj Slutför.
Konfigurera Forescout-plattformen
Nu kan du konfigurera Forescout-plattformen så att den kommunicerar med en Defender for IoT-sensor.
Så här konfigurerar du forescout-plattformen:
På Forescout-plattformen söker du efter och installerar modulen Forescout eyeExtend för CyberX.
Logga in på CounterACT-konsolen.
Välj Alternativ på verktygsmenyn.
Gå till Modules>CyberX Platform.
I fältet Serveradress anger du IP-adressen för Defender for IoT-sensorn som ska frågas av forescout-installationen.
I fältet Åtkomsttoken anger du den åtkomsttoken som genererades tidigare.
Välj Använd.
Ändra sensorer i Forescout
För att forescout-plattformen ska kunna kommunicera med en annan sensor måste konfigurationen i Forescout ändras.
Så här ändrar du sensorer i Forescout:
Skapa en ny åtkomsttoken i relevant Defender for IoT-sensor.
Gå till Forescout Modules>CyberX Platform.
Ta bort informationen som visas i båda fälten.
Logga in på den nya Defender for IoT-sensorn och generera en ny åtkomsttoken.
I fältet Serveradress anger du den nya IP-adressen för Defender for IoT-sensorn som efterfrågas av Forescout-installationen.
I fältet Åtkomsttoken anger du den nya åtkomsttoken.
Välj Använd.
Verifiera kommunikationen
När anslutningen har konfigurerats måste du bekräfta att de två plattformarna kommunicerar.
Så här bekräftar du att de två plattformarna kommunicerar:
Logga in på Defender for IoT-sensorn.
Gå tillÅtkomsttoken för systeminställningar>.
Fältet Används varnar dig om anslutningen mellan sensorn och den förskurna installationen inte fungerar. Om N/A visas fungerar inte anslutningen. Om Används visas anger det den senaste gången ett externt anrop med den här token togs emot.
Visa enhetsattribut i Forescout
Genom att integrera Defender för IoT med Forescout kan du visa olika enhetsattribut som identifierades av Defender för IoT i forescout-programmet.
Så här visar du en enhets attribut:
Logga in på Forescout-plattformen och navigera sedan till tillgångsinventeringen.
Välj CyberX-plattformen.
Om du vill visa ytterligare information högerklickar du på en enhet i avsnittet Enhetsinventeringsvärdar . Dialogrutan värdinformation öppnas med ytterligare information.
I följande tabell visas alla attribut som visas via programmet Forescout:
| Attribut | Beskrivning |
|---|---|
| Auktoriserad av Microsoft Defender för IoT | En enhet som identifierats i nätverket av Defender för IoT under nätverksinlärningsperioden. |
| Inbyggd programvara | Information om enhetens inbyggda programvara. Till exempel modell- och versionsinformation. |
| Namn | Namnet på enheten. |
| Operativsystem | Enhetens operativsystem. |
| Typ | Typ av enhet. Till exempel en PLC, historiker eller ingenjörsstation. |
| Leverantör | Enhetens leverantör. Till exempel Rockwell Automation. |
| Risknivå | Risknivån som beräknas av Defender för IoT. |
| Protokoll | Protokollen som identifieras i trafiken som genereras av enheten. |
Skapa Microsoft Defender för IoT-principer i Forescout
Forescout-principer kan användas för att automatisera kontroll och hantering av enheter som identifierats av Defender för IoT. Exempel:
Skicka automatiskt e-post till SOC-administratörerna när specifika versioner av inbyggd programvara identifieras.
Lägg till specifika Defender för IoT-identifierade enheter i en forescout-grupp för ytterligare hantering i incident- och säkerhetsarbetsflöden, till exempel med andra SIEM-integreringar.
Du kan skapa anpassade principer i Forescout med hjälp av villkorsstyrda Egenskaper för Defender för IoT.
Så här kommer du åt Defender för IoT-egenskaper:
Gå tillegenskapsträdet förprincipvillkor>.
Expandera mappen CyberX Platform i egenskapsträdet. Följande egenskaper för Defender för IoT är tillgängliga:
- Protokoll
- Risknivå
- Auktoriserad av CyberX
- Typ
- Inbyggd programvara
- Name
- Operativsystem
- Leverantör