Integración de Forescout con Microsoft Defender para IoT

Este artículo le ayuda a aprender a integrar Forescout con Microsoft Defender para IoT.

Microsoft Defender para IoT ofrece una plataforma de ciberseguridad de ICS e IoT. Defender para IoT es la única plataforma con análisis de amenazas y aprendizaje automático compatibles con ICS. Defender para IoT proporciona:

• Información inmediata sobre ICS y el entorno del dispositivo con una amplia gama de detalles sobre los atributos.

• Conocimientos integrados profundos y compatibles con ICS de protocolos, dispositivos, aplicaciones y sus comportamientos de OT.

• Información inmediata sobre vulnerabilidades y amenazas conocidas de día cero.

• Una tecnología de modelado de amenazas ICS automatizada para predecir las rutas de acceso más probables de ataques ICS dirigidos a través de análisis propietarios.

La integración de Forescout ayuda a reducir el tiempo necesario para que las organizaciones de infraestructuras industriales y críticas detecten, investiguen y actúen sobre ciberamenazas.

• Use Microsoft Defender para la inteligencia de dispositivos de IoT OT para cerrar el ciclo de seguridad desencadenando acciones de directiva de Forescout. Por ejemplo, puede enviar automáticamente un correo electrónico de alerta a los administradores de SOC cuando se detectan protocolos específicos o cuando cambian los detalles del firmware.

• Correlación de la información de Defender para IoT con otros módulos eyeExtended de Forescout que supervisan la supervisión, la administración de incidentes y el control de dispositivos.

La integración de Defender para IoT con la plataforma Forescout proporciona visibilidad, supervisión y control centralizados para el entorno de IoT y OT. Estas plataformas puente permiten la visibilidad de los dispositivos automatizados, la administración de los dispositivos ICS y los flujos de trabajo aislados. La integración proporciona a los analistas de SOC visibilidad multinivel de los protocolos OT implementados en entornos industriales. La información está disponible, como el firmware, los tipos de dispositivo, los sistemas operativos y las puntuaciones de análisis de riesgos, en función de Microsoft Defender propietarias para las tecnologías de IoT.

En este artículo, aprenderá a:

Requisitos previos

Antes de empezar, asegúrese de que tiene los siguientes requisitos previos:

• Microsoft Defender para IoT versión 2.4 o posterior

• Versión 8.0 o posterior de Forescout

• Una licencia para el módulo eyeExtend de Forescout para la Microsoft Defender para la plataforma IoT.

• Acceso a un sensor ot de Defender para IoT como usuario Administración. Para obtener más información, consulte Usuarios y roles locales para la supervisión de OT con Defender para IoT.

Generación de un token de acceso

Los tokens de acceso permiten a los sistemas externos acceder a los datos detectados por Defender para IoT. Los tokens de acceso permiten que los datos se usen para las API REST externas y a través de conexiones SSL. Puede generar tokens de acceso para acceder al Microsoft Defender para la API REST de IoT.

Para garantizar la comunicación de Defender para IoT con Forescout, debe generar un token de acceso en Defender para IoT.

Para generar un token de acceso:

1. Inicie sesión en el sensor de Defender para IoT que consultaRá Forescout.

2. Seleccione Tokens deaccesode integraciones>de configuración del> sistema.

3. Seleccione Generar token.

4. En el campo Descripción , agregue una breve descripción con respecto al propósito del token de acceso. Por ejemplo: "integración con script de Python".

5. Seleccione Generar. A continuación, el token se muestra en el cuadro de diálogo.

   Nota:

   Registre el token en un lugar seguro. Lo necesitará al configurar la plataforma Forescout.

6. Seleccione Finalizar.

Configuración de la plataforma Forescout

Ahora puede configurar la plataforma Forescout para comunicarse con un sensor de Defender para IoT.

Para configurar la plataforma Forescout:

1. En la plataforma Forescout, busque e instale el módulo eyeExtend de Forescout para CyberX.

2. Inicie sesión en la consola de CounterACT.

3. En el menú Herramientas, seleccione Opciones.

4. Vaya a ModulesCyberX Platform (Plataforma CyberXde módulos>).

5. En el campo Dirección del servidor, escriba la dirección IP del sensor de Defender para IoT que consultará el dispositivo Forescout.

6. En el campo Token de acceso, escriba el token de acceso que se generó anteriormente.

7. Seleccione Aplicar.

Cambio de sensores en Forescout

Para que la plataforma Forescout se comunique con un sensor diferente, la configuración de Forescout debe cambiarse.

Para cambiar los sensores en Forescout:

1. Cree un nuevo token de acceso en el sensor de Defender para IoT correspondiente.

2. Vaya a Forescout Modules>CyberX Platform.

3. Elimine la información mostrada en ambos campos.

4. Inicie sesión en el nuevo sensor de Defender para IoT y genere un nuevo token de acceso.

5. En el campo Dirección del servidor, escriba la nueva dirección IP del sensor de Defender para IoT que consultará el dispositivo Forescout.

6. En el campo Token de acceso, escriba el nuevo token de acceso.

7. Seleccione Aplicar.

Comprobación de la comunicación

Una vez configurada la conexión, debe confirmar que las dos plataformas se comunican.

Para confirmar que las dos plataformas se comunican:

1. Inicie sesión en el sensor de Defender para IoT.

2. Vaya a Tokens de acceso de configuración del> sistema.

El campo Usado le avisa si la conexión entre el sensor y el dispositivo Forescout no funciona. Si se muestra N/A , la conexión no funciona. Si se muestra Usado , indica la última vez que se recibió una llamada externa con este token.

Visualización de atributos de dispositivo en Forescout

Mediante la integración de Defender para IoT con Forescout, puede ver los distintos atributos del dispositivo detectados por Defender para IoT en la aplicación Forescout.

Para ver los atributos de un dispositivo:

1. Inicie sesión en la plataforma Forescout y, a continuación, vaya al inventario de recursos.

2. Seleccione la Plataforma CyberX.

   Para ver detalles adicionales, en la sección Hosts de inventario de dispositivos, haga clic con el botón derecho en un dispositivo. Se abre el cuadro de diálogo de detalles del host con información adicional.

En la tabla siguiente se enumeran todos los atributos visibles a través de la aplicación Forescout:

Creación de Microsoft Defender para directivas de IoT en Forescout

Las directivas de forescout se pueden usar para automatizar el control y la administración de los dispositivos detectados por Defender para IoT. Por ejemplo:

• Envíe automáticamente un correo electrónico a los administradores de SOC cuando se detecten versiones de firmware específicas.

• Agregue dispositivos específicos detectados de Defender para IoT a un grupo de Forescout para controlar aún más los flujos de trabajo de incidentes y seguridad, por ejemplo, con otras integraciones siem.

Puede crear directivas personalizadas en Forescout mediante propiedades condicionales de Defender para IoT.

Para acceder a las propiedades de Defender para IoT:

1. Vaya alárbol de propiedadesde condiciones> de directiva.

2. En el árbol de propiedades, expanda la carpeta Plataforma CyberX . Las siguientes propiedades de Defender para IoT están disponibles:

   • Protocolos
   • Nivel de riesgo
   • Autorizado por CyberX
   • Tipo
   • Firmware
   • Nombre
   • Sistema operativo
   • Proveedor

Pasos siguientes