Bemærk
Adgang til denne side kræver godkendelse. Du kan prøve at logge på eller ændre mapper.
Adgang til denne side kræver godkendelse. Du kan prøve at ændre mapper.
Bemærk!
Microsoft Defender for IoT blev formelt kendt som CyberX. Henvisninger til CyberX henviser til Defender for IoT.
Denne artikel hjælper dig med at få mere at vide om, hvordan du integrerer Forescout med Microsoft Defender til IoT.
Microsoft Defender til IoT leverer en ICS- og IoT-cybersikkerhedsplatform. Defender for IoT er den eneste platform med ICS-klar trusselsanalyse og maskinel indlæring. Defender for IoT indeholder:
Øjeblikkelig indsigt i ICS og enhedens landskab med en lang række oplysninger om attributter.
ICS-klar dyb integreret viden om OT-protokoller, enheder, programmer og deres adfærd.
Øjeblikkelig indsigt i sikkerhedsrisici og kendte nuldagstrusler.
En automatiseret teknologi til ICS-trusselsmodellering for at forudsige de mest sandsynlige veje til målrettede ICS-angreb via beskyttede analyser.
Forescout-integrationen hjælper med at reducere den tid, det kræver for organisationer med industriel og kritisk infrastruktur at registrere, undersøge og reagere på cybertrusler.
Brug Microsoft Defender til IoT OT-enhedsintelligens til at lukke sikkerhedscyklussen ved at udløse Forescout-politikhandlinger. Du kan f.eks. automatisk sende en beskedmail til SOC-administratorer, når der registreres specifikke protokoller, eller når firmwaredetaljerne ændres.
Korreler Defender for IoT-oplysninger med andre Forescout eyeExtended-moduler , der overvåger overvågning, administration af hændelser og enhedskontrol.
Defender for IoT-integration med Forescout-platformen giver central synlighed, overvågning og kontrol i IoT- og OT-liggende format. Disse brolagte platforme muliggør automatisk enhedssynlighed, administration af ICS-enheder og siloiserede arbejdsprocesser. Integrationen giver SOC-analytikere mulighed for at se flere niveauer i OT-protokoller, der udrulles i industrielle miljøer. Oplysninger bliver tilgængelige, f.eks. firmware, enhedstyper, operativsystemer og scorer for risikoanalyse baseret på beskyttede Microsoft Defender til IoT-teknologier.
I denne artikel får du mere at vide om, hvordan du:
- Opret et adgangstoken
- Konfigurer Forescout-platformen
- Bekræft kommunikation
- Vis enhedsattributter i Forescout
- Opret Microsoft Defender til IoT-politikker i Forescout
Forudsætninger
Før du begynder, skal du sørge for, at du har følgende forudsætninger:
Microsoft Defender til IoT version 2.4 eller nyere
Forescout version 8.0 eller nyere
En licens til Forescout eyeExtend-modulet til Microsoft Defender til IoT Platform.
Adgang til en Defender for IoT OT-sensor som Administration bruger. Du kan få flere oplysninger under Brugere i det lokale miljø og roller til OT-overvågning med Defender for IoT.
Opret et adgangstoken
Adgangstokens gør det muligt for eksterne systemer at få adgang til data, der registreres af Defender for IoT. Adgangstokens gør det muligt at bruge disse data til eksterne REST API'er og via SSL-forbindelser. Du kan generere adgangstokens for at få adgang til Microsoft Defender for IoT REST API.
Hvis du vil sikre kommunikationen fra Defender for IoT til Forescout, skal du generere et adgangstoken i Defender for IoT.
Sådan opretter du et adgangstoken:
Log på Defender for IoT-sensoren, der forespørges af Forescout.
Vælg Systemindstillinger>Integrationer>Adgangstokens.
Vælg Generér token.
I feltet Beskrivelse skal du tilføje en kort beskrivelse af formålet med adgangstokenet. For eksempel: "integration med Python-script".
Vælg Generér. Tokenet vises derefter i dialogboksen.
Bemærk!
Registrer tokenet et sikkert sted. Du skal bruge den, når du konfigurerer Forescout-platformen.
Vælg Udfør.
Konfigurer Forescout-platformen
Du kan nu konfigurere Forescout-platformen til at kommunikere med en Defender for IoT-sensor.
Sådan konfigurerer du Forescout-platformen:
På Forescout-platformen skal du søge efter og installere Forescout eyeExtend-modulet til CyberX.
Log på CounterACT-konsollen.
Vælg Indstillinger i menuen Funktioner.
Naviger til Modules>CyberX Platform.
I feltet Serveradresse skal du angive IP-adressen på den Defender for IoT-sensor, der forespørges af Forescout-enheden.
Angiv det adgangstoken, der blev genereret tidligere, i feltet Adgangstoken.
Vælg Anvend.
Skift sensorer i Forescout
Hvis Forescout-platformen skal kommunikere med en anden sensor, skal konfigurationen i Forescout ændres.
Sådan skifter du sensorer i Forescout:
Opret et nyt adgangstoken i den relevante Defender for IoT-sensor.
Naviger til Forescout Modules>CyberX Platform.
Slet de oplysninger, der vises i begge felter.
Log på den nye Defender for IoT-sensor, og opret et nyt adgangstoken.
I feltet Serveradresse skal du angive den nye IP-adresse for den Defender for IoT-sensor, der forespørges af Forescout-enheden.
Angiv det nye adgangstoken i feltet Adgangstoken.
Vælg Anvend.
Bekræft kommunikation
Når forbindelsen er konfigureret, skal du bekræfte, at de to platforme kommunikerer.
Sådan bekræfter du, at de to platforme kommunikerer:
Log på Defender for IoT-sensoren.
Gå til Systemindstillinger>Adgangstokens.
Feltet Used giver dig besked, hvis forbindelsen mellem sensoren og Forescout-apparatet ikke virker. Hvis I/T vises, fungerer forbindelsen ikke. Hvis Used vises, angiver det, sidste gang et eksternt opkald med dette token blev modtaget.
Vis enhedsattributter i Forescout
Ved at integrere Defender for IoT med Forescout kan du se forskellige enheds attributter, der blev registreret af Defender for IoT, i Forescout-programmet.
Sådan får du vist en enheds attributter:
Log på Forescout-platformen, og naviger derefter til Aktivlager.
Vælg CyberX-platformen.
Hvis du vil have vist flere oplysninger, skal du højreklikke på en enhed i afsnittet Enhedslagerværter . Dialogboksen med værtsdetaljer åbnes med flere oplysninger.
I følgende tabel vises alle de attributter, der er synlige via forescout-programmet:
| Attribut | Beskrivelse |
|---|---|
| Godkendt af Microsoft Defender til IoT | En enhed, der er registreret på dit netværk af Defender for IoT i løbet af netværkets læringsperiode. |
| Firmware | Firmwaredetaljerne for enheden. Det kan f.eks. være oplysninger om model og version. |
| Navn | Enhedens navn. |
| Operativsystem | Enhedens operativsystem. |
| Type | Enhedstypen. For eksempel en PLC, historiker eller engineering station. |
| Kreditor | Leverandøren af enheden. For eksempel Rockwell Automation. |
| Risikoniveau | Det risikoniveau, der beregnes af Defender for IoT. |
| Protokoller | De protokoller, der registreres i den trafik, der genereres af enheden. |
Opret Microsoft Defender til IoT-politikker i Forescout
Forescout-politikker kan bruges til at automatisere kontrol og administration af enheder, der registreres af Defender for IoT. Det kan f.eks. være:
Send automatisk en mail til SOC-administratorer, når der registreres specifikke firmwareversioner.
Føj specifikke Defender for IoT-registrerede enheder til en Forescout-gruppe for yderligere håndtering i hændelses- og sikkerhedsarbejdsprocesser, f.eks. med andre SIEM-integrationer.
Du kan oprette brugerdefinerede politikker i Forescout ved hjælp af Defender for IoT-betingede egenskaber.
Sådan får du adgang til Defender for IoT-egenskaber:
Naviger tilegenskabstræet for politikbetingelser>.
I egenskabstræet skal du udvide mappen CyberX Platform . Følgende egenskaber for Defender for IoT er tilgængelige:
- Protokoller
- Risikoniveau
- Godkendt af CyberX
- Type
- Firmware
- Navn
- Operativsystem
- Kreditor