整合 Forescout 與適用於 IoT 的 Microsoft Defender
注意
適用於 IoT 的 Microsoft Defender 正式稱為 CyberX。 CyberX 的參考是指適用於 IoT 的 Defender。
此文章可協助您了解如何整合 Forescout 與適用於 IoT 的 Microsoft Defender。
適用於 IoT 的 Microsoft Defender 提供 ICS 和 IoT 網路安全性平台。 適用於 IoT 的 Defender 是唯一具有 ICS 感知威脅分析和機器學習的平台。 適用於 IoT 的 Defender 提供下列項目:
立即深入解析 ICS 和裝置環境,其中包含有關屬性的廣泛詳細資料。
ICS 感知的 OT 通訊協定、裝置、應用程式及其行為的深入內嵌知識。
立即深入解析弱點,以及已知的零時差威脅。
自動化 ICS 威脅模型化技術,可透過專屬分析預測最可能的目標式 ICS 攻擊路徑。
Forescout 整合有助於減少產業和重要基礎結構組織偵測、調查及處理網路威脅所需的時間。
藉由觸發 Forescout 原則動作,使用適用於 IoT 的 Microsoft Defender OT 裝置智慧來關閉安全性週期。 例如,您可以在偵測到特定通訊協定或韌體詳細資料變更時,將警示電子郵件自動傳送給 SOC 管理員。
將適用於 IoT 的 Defender 資訊與其他 Forescout eyeExtended 模組相互關聯,以監督監視、事件管理和裝置控制。
適用於 IoT 的 Defender 與 Forescout 平台整合,可為 IoT 和 OT 環境提供集中式可見度、監視和控制。 這些橋接的平台可啟用自動化裝置可見度、ICS 裝置的管理,以及孤立的工作流程。 此整合可讓 SOC 分析師深入了解在產業環境中部署的 OT 通訊協定。 根據適用於 IoT 的 Microsoft Defender 的專屬技術,資訊會變成可用,例如韌體、裝置類型、作業系統和風險分析分數。
在本文中,您將學會如何:
- 產生存取權杖
- 設定 Forescout 平台
- 驗證通訊
- 在 Forescout 中檢視裝置屬性
- 在 Forescout 中建立適用於 IoT 的 Microsoft Defender 原則
必要條件
開始之前,請先確定您已擁有下列必要條件:
適用於 IoT 的 Microsoft Defender 2.4 版或更新版本
Forescout 8.0 版或更新版本
適用於 IoT 的 Microsoft Defender 平台的 Forescout eyeExtend 模組授權。
以管理使用者身分存取適用於 IoT 的 Defender OT 感應器。 如需詳細資訊,請參閱使用適用於 IoT 的 Defender 進行 OT 監視的內部部署使用者和角色。
產生存取權杖
存取權杖可讓外部系統存取適用於 IoT 的 Defender 探索的資料。 存取權杖允許該資料用於外部 REST API,以及透過 SSL 連線。 您可以產生存取權杖,以存取適用於 IoT REST API 的 Microsoft Defender。
若要確保從適用於 IoT 的 Defender 與 Forescout 進行通訊,您必須在適用於 IoT 的 Defender 中產生存取權杖。
若要產生存取權杖:
登入 Forescout 將查詢的適用於 IoT 的 Defender 感應器。
選取 [系統設定]>[整合]>[存取權杖]。
選取 [產生權杖]。
在 [描述] 欄位中,新增有關存取權杖用途的簡短描述。 例如:「與 python 指令碼整合」。
選取產生。 然後,對話方塊中會顯示權杖。
注意
在安全的地方記錄權杖。 設定 Forescout 平台時,您將需要它。
選取 [完成]。
設定 Forescout 平台
您現在可以設定 Forescout 平台,以與適用於 IoT 的 Defender 感應器進行通訊。
若要設定 Forescout 平台:
在 Forescout 平台上,搜尋並安裝適用於 CyberX 的 Forescout eyeExtend 模組。
登入 CounterACT 主控台。
請從 [工具] 功能表中,選取 [選項]。
導覽至 [模組]>[CyberX 平台]。
在 [伺服器位址] 欄位中,輸入 Forescout 設備將查詢的適用於 IoT 的 Defender 感應器的 IP 位址。
在 [存取權杖] 欄位中,輸入稍早產生的存取權杖。
選取套用。
變更 Forescout 中的感應器
若要讓 Forescout 平台與不同的感應器進行通訊,必須變更 Forescout 內的設定。
若要變更 Forescout 中的感應器:
在適用於 IoT 的 Defender 感應器中建立新的存取權杖。
導覽至 [Forescout 模組]>[CyberX 平台]。
刪除這兩個欄位中顯示的資訊。
登入新的適用於 IoT 的 Defender 感應器,並產生新的存取權杖。
在 [伺服器位址] 欄位中,輸入 Forescout 設備將查詢的適用於 IoT 的 Defender 感應器的新 IP 位址。
在 [存取權杖] 欄位中,輸入新的存取權杖。
選取套用。
驗證通訊
設定連線之後,您必須確認這兩個平台正在通訊。
若要確認兩個平台是否進行通訊:
登入適用於 IoT 感應器的 Defender。
導覽至 [系統設定]>[存取權杖]。
[已使用] 欄位會在感應器與 Forescout 設備之間的連線無法運作時發出警示。 如果顯示 [N/A],連線將無法運作。 如果顯示 [已使用],則會指出上次收到具有此權杖的外部呼叫。
在 Forescout 中檢視裝置屬性
藉由整合適用於 IoT 的 Defender 與 Forescout,您將能夠在 Forescout 應用程式中,檢視適用於 IoT 的 Defender 偵測到的不同裝置屬性。
若要檢視裝置的屬性:
登入 Forescout 平台,然後導覽至 [資產庫存]。
選取 [CyberX 平台]。
若要檢視其他詳細資料,請從 [裝置詳細目錄主機] 區段,以滑鼠右鍵按一下裝置。 [主機詳細資料] 對話方塊隨即開啟,其中包含其他資訊。
下表列出透過 Forescout 應用程式顯示的所有屬性:
| 屬性 | 描述 |
|---|---|
| 由適用於 IoT 的 Microsoft Defender 授權 | 適用於 IoT 的 Defender 在網路學習期間偵測到您網路上的裝置。 |
| 韌體 | 裝置的韌體詳細資料。 例如,模型和版本詳細資料。 |
| 名稱 | 裝置的名稱。 |
| 作業系統 | 裝置的作業系統。 |
| 類型 | 裝置的類型。 例如,PLC、Historian 或 Engineering Station。 |
| 廠商 | 裝置的廠商。 例如,Rockwell Automation。 |
| 風險層級 | 適用於 IoT 的 Defender 計算的風險等級。 |
| 通訊協定 | 在裝置所產生的流量中偵測到的通訊協定。 |
在 Forescout 中建立適用於 IoT 的 Microsoft Defender 原則
Forescout 原則可用來自動控制和管理適用於 IoT 的 Defender 偵測到的裝置。 例如:
偵測到特定韌體版本時,會自動傳送電子郵件給 SOC 管理員。
將特定適用於 IoT 的 Defender 裝置新增至 Forescout 群組,以進一步處理事件和安全性工作流程,例如,與其他 SIEM 整合。
您可以使用適用於 IoT 的 Defender 條件屬性,在 Forescout 中建立自訂原則。
若要存取適用於 IoT 的 Defender 屬性:
導覽至 [原則條件]>[屬性樹狀結構]。
在 [屬性樹狀結構] 中,展開 [CyberX 平台] 資料夾。 下列適用於 IoT 的 Defender 屬性可供使用:
- 通訊協定
- 風險層級
- 由 CyberX 授權
- 類型
- 韌體
- 名稱
- 作業系統
- 廠商