Integrieren von Forescout in Microsoft Defender für IoT

In diesem Artikel erfahren Sie, wie Sie Forescout in Microsoft Defender für IoT integrieren.

Microsoft Defender für IoT bietet eine ICS- und IoT-Cybersicherheitsplattform. Defender für IoT ist die einzige Plattform mit ICS-fähiger Bedrohungsanalyse und maschinellem Lernen. Defender für IoT bietet Folgendes:

• Sofortige Einblicke in ICS und die Gerätelandschaft mit umfangreichen Details zu Attributen.

• ICS-fähiges, tief eingebettetes Wissen über OT-Protokolle, Geräte, Anwendungen und deren Verhalten.

• Sofortige Einblicke in Sicherheitsrisiken und bekannte Zero-Day-Bedrohungen.

• Eine automatisierte ICS-Bedrohungsmodellierungstechnologie zur Vorhersage der wahrscheinlichsten Pfade gezielter ICS-Angriffe über proprietäre Analysen.

Die Forescout-Integration trägt dazu bei, die Zeit zu verkürzen, die Organisationen aus der Industrie und kritischen Infrastruktur benötigen, um Cyberbedrohungen zu erkennen, zu untersuchen und darauf zu reagieren.

• Verwenden Sie Microsoft Defender für IoT OT-Geräteintelligenz, um den Sicherheitszyklus zu schließen, indem Sie Forescout-Richtlinienaktionen auslösen. Beispielsweise können Sie automatisch eine Warnungs-E-Mail an SOC-Administratoren senden, wenn bestimmte Protokolle erkannt werden oder sich Firmwaredetails ändern.

• Korrelieren Sie Defender für IoT-Informationen mit anderen Forescout eyeExtended-Modulen , die überwachung, Incidentverwaltung und Gerätesteuerung überwachen.

Die Integration von Defender für IoT mit der Forescout-Plattform bietet zentralisierte Sichtbarkeit, Überwachung und Kontrolle für die IoT- und OT-Landschaft. Diese Überbrückungsplattformen ermöglichen automatisierte Gerätesichtbarkeit, Verwaltung für ICS-Geräte und isolierte Workflows. Die Integration bietet SOC-Analysten mehrstufige Einblicke in OT-Protokolle, die in industriellen Umgebungen bereitgestellt werden. Informationen wie Firmware, Gerätetypen, Betriebssysteme und Risikobewertungsbewertungen werden basierend auf proprietären Microsoft Defender für IoT-Technologien verfügbar.

In diesem Artikel erfahren Sie folgendes:

Voraussetzungen

Stellen Sie zunächst sicher, dass die folgenden Voraussetzungen erfüllt sind:

• Microsoft Defender für IoT Version 2.4 oder höher

• Forescout Version 8.0 oder höher

• Eine Lizenz für das Forescout eyeExtend-Modul für die Microsoft Defender für IoT-Plattform.

• Zugriff auf einen Defender für IoT OT-Sensor als Admin Benutzer. Weitere Informationen finden Sie unter Lokale Benutzer und Rollen für die OT-Überwachung mit Defender für IoT.

Generieren eines Zugriffstokens

Zugriffstoken ermöglichen externen Systemen den Zugriff auf daten, die von Defender für IoT ermittelt wurden. Zugriffstoken ermöglichen die Verwendung dieser Daten für externe REST-APIs und über SSL-Verbindungen. Sie können Zugriffstoken generieren, um auf die Microsoft Defender für die IoT-REST-API zuzugreifen.

Um die Kommunikation zwischen Defender für IoT und Forescout sicherzustellen, müssen Sie ein Zugriffstoken in Defender für IoT generieren.

So generieren Sie ein Zugriffstoken:

1. Melden Sie sich beim Defender für IoT-Sensor an, der von Forescout abgefragt wird.

2. Wählen Sie Systemeinstellungen>IntegrationenZugriffstoken> aus.

3. Wählen Sie Token generieren aus.

4. Fügen Sie im Feld Beschreibung eine kurze Beschreibung zum Zweck des Zugriffstokens hinzu. Beispiel: "Integration mit Python-Skript".

5. Wählen Sie Generieren. Das Token wird dann im Dialogfeld angezeigt.

   Hinweis

   Notieren Sie das Token an einem sicheren Ort. Sie benötigen sie, wenn Sie die Forescout-Plattform konfigurieren.

6. Klicken Sie auf Fertigstellen.

Konfigurieren der Forescout-Plattform

Sie können die Forescout-Plattform jetzt für die Kommunikation mit einem Defender für IoT-Sensor konfigurieren.

So konfigurieren Sie die Forescout-Plattform:

1. Suchen Sie auf der Forescout-Plattform nach dem Forescout eyeExtend-Modul für CyberX, und installieren Sie es.

2. Melden Sie sich bei der CounterACT-Konsole an.

3. Klicken Sie im Menü Extras auf Optionen.

4. Navigieren Sie zu Module>CyberX Platform.

5. Geben Sie im Feld Serveradresse die IP-Adresse des Defender für IoT-Sensors ein, der vom Forescout-Anwendung abgefragt wird.

6. Geben Sie im Feld Zugriffstoken das zuvor generierte Zugriffstoken ein.

7. Wählen Sie Anwenden aus.

Ändern von Sensoren in Forescout

Damit die Forescout-Plattform mit einem anderen Sensor kommunizieren kann, muss die Konfiguration in Forescout geändert werden.

So ändern Sie Sensoren in Forescout:

1. Erstellen Sie ein neues Zugriffstoken im relevanten Defender für IoT-Sensor.

2. Navigieren Sie zu Forescout Modules>CyberX Platform.

3. Löschen Sie die in beiden Feldern angezeigten Informationen.

4. Melden Sie sich beim neuen Defender für IoT-Sensor an, und generieren Sie ein neues Zugriffstoken.

5. Geben Sie im Feld Serveradresse die neue IP-Adresse des Defender für IoT-Sensors ein, die vom Forescout-Anwendung abgefragt wird.

6. Geben Sie im Feld Zugriffstoken das neue Zugriffstoken ein.

7. Wählen Sie Anwenden aus.

Kommunikation überprüfen

Nachdem die Verbindung konfiguriert wurde, müssen Sie bestätigen, dass die beiden Plattformen kommunizieren.

So bestätigen Sie, dass die beiden Plattformen kommunizieren:

1. Melden Sie sich beim Defender für IoT-Sensor an.

2. Navigieren Sie zu Systemeinstellungen>Zugriffstoken.

Das Feld Verwendet warnt Sie, wenn die Verbindung zwischen dem Sensor und dem Forescout-Anwendung nicht funktioniert. Wenn N/V angezeigt wird, funktioniert die Verbindung nicht. Wenn Verwendet angezeigt wird, gibt dies den letzten Empfang eines externen Aufrufs mit diesem Token an.

Anzeigen von Geräteattributen in Forescout

Durch die Integration von Defender für IoT in Forescout können Sie verschiedene Geräteattribute anzeigen, die von Defender für IoT erkannt wurden, in der Forescout-Anwendung.

So zeigen Sie die Attribute eines Geräts an:

1. Melden Sie sich bei der Forescout-Plattform an, und navigieren Sie dann zum Bestandsbestand.

2. Wählen Sie die CyberX-Plattform aus.

   Um weitere Details anzuzeigen, klicken Sie im Abschnitt Geräteinventurhosts mit der rechten Maustaste auf ein Gerät. Das Dialogfeld "Hostdetails" wird mit zusätzlichen Informationen geöffnet.

In der folgenden Tabelle sind alle Attribute aufgeführt, die über die Forescout-Anwendung sichtbar sind:

Erstellen von Microsoft Defender für IoT-Richtlinien in Forescout

Forescout-Richtlinien können verwendet werden, um die Steuerung und Verwaltung von Geräten zu automatisieren, die von Defender für IoT erkannt werden. Zum Beispiel:

• Senden Sie die SOC-Administratoren automatisch per E-Mail, wenn bestimmte Firmwareversionen erkannt werden.

• Hinzufügen bestimmter von Defender für IoT erkannter Geräte zu einer Forescout-Gruppe zur weiteren Behandlung in Incident- und Sicherheitsworkflows, z. B. mit anderen SIEM-Integrationen.

Sie können benutzerdefinierte Richtlinien in Forescout mithilfe bedingter Eigenschaften von Defender für IoT erstellen.

So greifen Sie auf Defender für IoT-Eigenschaften zu:

1. Navigieren Sie zurEigenschaftenstruktur für Richtlinienbedingungen>.

2. Erweitern Sie in der Eigenschaftenstruktur den Ordner CyberX Platform . Die folgenden Eigenschaften von Defender für IoT sind verfügbar:

   • Protokolle
   • Risikostufe
   • Autorisiert von CyberX
   • Typ
   • Firmware
   • Name
   • Betriebssystem
   • Anbieter

Nächste Schritte