Intégrer Forescout à Microsoft Defender pour IoT

Cet article vous aide à apprendre à intégrer Forescout à Microsoft Defender pour IoT.

Microsoft Defender pour IoT fournit une plateforme de cybersécurité ICS et IoT. Defender pour IoT est la seule plateforme avec l’analytique des menaces prenant en charge ICS et le Machine Learning. Defender pour IoT fournit :

• Insights immédiats sur ICS et le paysage des appareils avec un large éventail de détails sur les attributs.

• Connaissance approfondie des protocoles OT, des appareils, des applications et de leurs comportements prenant en charge icS.

• Insights immédiats sur les vulnérabilités et les menaces zero-day connues.

• Technologie automatisée de modélisation des menaces ICS pour prédire les chemins les plus probables des attaques ICS ciblées via l’analytique propriétaire.

L’intégration de Forescout permet de réduire le temps nécessaire aux organisations d’infrastructure industrielle et critique pour détecter, examiner et agir sur les cybermenaces.

• Utilisez Microsoft Defender pour l’intelligence des appareils IoT OT pour fermer le cycle de sécurité en déclenchant des actions de stratégie Forescout. Par exemple, vous pouvez envoyer automatiquement un e-mail d’alerte aux administrateurs SOC lorsque des protocoles spécifiques sont détectés ou lorsque les détails du microprogramme changent.

• Mettez en corrélation les informations Defender pour IoT avec d’autres modules eyeExtended Forescout qui supervisent la surveillance, la gestion des incidents et le contrôle des appareils.

L’intégration de Defender pour IoT à la plateforme Forescout offre une visibilité, une surveillance et un contrôle centralisés pour le paysage IoT et OT. Ces plateformes pontées permettent une visibilité automatisée des appareils, une gestion sur les appareils ICS et des flux de travail cloisonnés. L’intégration offre aux analystes SOC une visibilité multiniveau des protocoles OT déployés dans des environnements industriels. Des informations deviennent disponibles, telles que les microprogrammes, les types d’appareils, les systèmes d’exploitation et les scores d’analyse des risques, en fonction des Microsoft Defender propriétaires pour les technologies IoT.

Dans cet article, vous allez apprendre à :

Configuration requise

Avant de commencer, vérifiez que vous disposez des prérequis suivants :

• Microsoft Defender pour IoT version 2.4 ou ultérieure

• Forescout version 8.0 ou ultérieure

• Une licence pour le module Forescout eyeExtend pour la Microsoft Defender pour la plateforme IoT.

• Accès à un capteur OT Defender pour IoT en tant qu’utilisateur Administration. Pour plus d’informations, consultez Utilisateurs et rôles locaux pour la supervision OT avec Defender pour IoT.

Générer un jeton d’accès

Les jetons d’accès permettent aux systèmes externes d’accéder aux données découvertes par Defender pour IoT. Les jetons d’accès permettent d’utiliser ces données pour les API REST externes et via des connexions SSL. Vous pouvez générer des jetons d’accès afin d’accéder aux Microsoft Defender pour l’API REST IoT.

Pour garantir la communication entre Defender pour IoT et Forescout, vous devez générer un jeton d’accès dans Defender pour IoT.

Pour générer un jeton d’accès :

1. Connectez-vous au capteur Defender pour IoT qui sera interrogé par Forescout.

2. Sélectionnez Paramètres> systèmeIntégrations Jetons>d’accès.

3. Sélectionnez Générer un jeton.

4. Dans le champ Description , ajoutez une brève description concernant l’objectif du jeton d’accès. Par exemple : « intégration au script Python ».

5. Sélectionnez ensuite Générer. Le jeton s’affiche ensuite dans la boîte de dialogue.

   Remarque

   Enregistrez le jeton dans un endroit sûr. Vous en aurez besoin lorsque vous configurerez la plateforme Forescout.

6. Sélectionnez Terminer.

Configurer la plateforme Forescout

Vous pouvez maintenant configurer la plateforme Forescout pour communiquer avec un capteur Defender pour IoT.

Pour configurer la plateforme Forescout :

1. Sur la plateforme Forescout, recherchez et installez le module Forescout eyeExtend pour CyberX.

2. Connectez-vous à la console CounterACT.

3. Dans le menu Outils, sélectionnez Options.

4. Accédez à Modules>CyberX Platform.

5. Dans le champ Adresse du serveur, entrez l’adresse IP du capteur Defender pour IoT qui sera interrogée par le Appliance Forescout.

6. Dans le champ Jeton d’accès, entrez le jeton d’accès qui a été généré précédemment.

7. Sélectionnez Appliquer.

Changer les capteurs dans Forescout

Pour que la plateforme Forescout communique avec un capteur différent, la configuration dans Forescout doit être modifiée.

Pour modifier les capteurs dans Forescout :

1. Créez un jeton d’accès dans le capteur Defender pour IoT approprié.

2. Accédez à Forescout Modules>CyberX Platform.

3. Supprimez les informations affichées dans les deux champs.

4. Connectez-vous au nouveau capteur Defender pour IoT et générez un nouveau jeton d’accès.

5. Dans le champ Adresse du serveur, entrez la nouvelle adresse IP du capteur Defender pour IoT qui sera interrogée par le Appliance Forescout.

6. Dans le champ Jeton d’accès, entrez le nouveau jeton d’accès.

7. Sélectionnez Appliquer.

Vérifier la communication

Une fois la connexion configurée, vous devez vérifier que les deux plateformes communiquent.

Pour confirmer que les deux plateformes communiquent :

1. Connectez-vous au capteur Defender pour IoT.

2. Accédez à Paramètres> systèmeJetons d’accès.

Le champ Utilisé vous avertit si la connexion entre le capteur et le Appliance Forescout ne fonctionne pas. Si N/A est affiché, la connexion ne fonctionne pas. Si Utilisé est affiché, cela indique la dernière fois qu’un appel externe avec ce jeton a été reçu.

Afficher les attributs d’appareil dans Forescout

En intégrant Defender pour IoT à Forescout, vous pouvez afficher différents attributs d’appareil détectés par Defender pour IoT dans l’application Forescout.

Pour afficher les attributs d’un appareil :

1. Connectez-vous à la plateforme Forescout, puis accédez à l’inventaire des ressources.

2. Sélectionnez CyberX Platform.

   Pour afficher des détails supplémentaires, dans la section Hôtes d’inventaire des appareils, cliquez avec le bouton droit sur un appareil. La boîte de dialogue Détails de l’hôte s’ouvre avec des informations supplémentaires.

Le tableau suivant répertorie tous les attributs visibles via l’application Forescout :

Créer des Microsoft Defender pour les stratégies IoT dans Forescout

Les stratégies Forescout peuvent être utilisées pour automatiser le contrôle et la gestion des appareils détectés par Defender pour IoT. Par exemple :

• Envoyez automatiquement un e-mail aux administrateurs SOC lorsque des versions de microprogramme spécifiques sont détectées.

• Ajoutez des appareils defender pour IoT spécifiques détectés à un groupe Forescout pour une gestion plus poussée des workflows d’incidents et de sécurité, par exemple avec d’autres intégrations SIEM.

Vous pouvez créer des stratégies personnalisées dans Forescout à l’aide des propriétés conditionnelles de Defender pour IoT.

Pour accéder aux propriétés de Defender pour IoT :

1. Accédez àl’arborescence des propriétésdes conditions> de stratégie.

2. Dans l’arborescence des propriétés, développez le dossier CyberX Platform . Les propriétés suivantes de Defender pour IoT sont disponibles :

   • Protocoles
   • Niveau de risque
   • Autorisé par CyberX
   • Type
   • Microprogramme
   • Nom
   • Système d’exploitation
   • Fournisseur

Étapes suivantes