Integrare Forescout con Microsoft Defender per IoT

Questo articolo illustra come integrare Forescout con Microsoft Defender per IoT.

Microsoft Defender per IoT offre una piattaforma di cybersecurity ICS e IoT. Defender per IoT è l'unica piattaforma con l'analisi delle minacce e l'apprendimento automatico compatibili con ICS. Defender per IoT offre:

• Informazioni dettagliate immediate su ICS e il panorama dei dispositivi con un'ampia gamma di dettagli sugli attributi.

• Conoscenza incorporata approfondita dei protocolli OT, dei dispositivi, delle applicazioni e dei relativi comportamenti.

• Informazioni immediate sulle vulnerabilità e sulle minacce zero-day note.

• Una tecnologia di modellazione delle minacce ICS automatizzata per prevedere i percorsi più probabili di attacchi ICS mirati tramite l'analisi proprietaria.

L'integrazione di Forescout consente di ridurre il tempo necessario alle organizzazioni dell'infrastruttura industriale e critica per rilevare, analizzare e agire sulle minacce informatiche.

• Usare Microsoft Defender per l'intelligenza dei dispositivi IoT OT per chiudere il ciclo di sicurezza attivando azioni dei criteri Forescout. Ad esempio, è possibile inviare automaticamente un messaggio di posta elettronica di avviso agli amministratori soc quando vengono rilevati protocolli specifici o quando cambiano i dettagli del firmware.

• Correlare le informazioni di Defender per IoT con altri moduli forescout eyeExtended che supervisionano il monitoraggio, la gestione degli eventi imprevisti e il controllo dei dispositivi.

L'integrazione di Defender per IoT con la piattaforma Forescout offre visibilità, monitoraggio e controllo centralizzati per l'ambiente IoT e OT. Queste piattaforme bridge consentono la visibilità automatizzata dei dispositivi, la gestione per i dispositivi ICS e i flussi di lavoro in silo. L'integrazione offre agli analisti SOC una visibilità multilivello sui protocolli OT distribuiti in ambienti industriali. Sono disponibili informazioni, ad esempio firmware, tipi di dispositivo, sistemi operativi e punteggi di analisi dei rischi, in base alle Microsoft Defender proprietarie per le tecnologie IoT.

Questo articolo illustra come:

Prerequisiti

Prima di iniziare, assicurarsi di avere i prerequisiti seguenti:

• Microsoft Defender per IoT versione 2.4 o successiva

• Forescout versione 8.0 o successiva

• Una licenza per il modulo Forescout eyeExtend per la piattaforma Microsoft Defender per IoT.

• Accesso a un sensore OT Defender per IoT come utente Amministrazione. Per altre informazioni, vedere Utenti e ruoli locali per il monitoraggio OT con Defender per IoT.

Generare un token di accesso

I token di accesso consentono ai sistemi esterni di accedere ai dati individuati da Defender per IoT. I token di accesso consentono l'uso di tali dati per le API REST esterne e tramite connessioni SSL. È possibile generare token di accesso per accedere al Microsoft Defender per l'API REST IoT.

Per garantire la comunicazione da Defender per IoT a Forescout, è necessario generare un token di accesso in Defender per IoT.

Per generare un token di accesso:

1. Accedere al sensore Defender per IoT su cui verrà eseguita una query da Forescout.

2. Selezionare System Settings>IntegrationsAccess Tokens (Integrazioni di > sistema) Access Tokens (Token di accesso).

3. Selezionare Genera token.

4. Nel campo Descrizione aggiungere una breve descrizione relativa allo scopo del token di accesso. Ad esempio: "integrazione con script Python".

5. Seleziona Genera. Il token viene quindi visualizzato nella finestra di dialogo.

   Nota

   Registrare il token in un luogo sicuro. Sarà necessario quando si configura la piattaforma Forescout.

6. Seleziona Fine.

Configurare la piattaforma Forescout

È ora possibile configurare la piattaforma Forescout per comunicare con un sensore Defender per IoT.

Per configurare la piattaforma Forescout:

1. Nella piattaforma Forescout cercare e installare il modulo Forescout eyeExtend per CyberX.

2. Accedere alla console CounterACT.

3. Scegliere Opzioni dal menu Strumenti.

4. Passare a ModulesCyberX Platform (Moduli >CyberX Platform).

5. Nel campo Indirizzo server immettere l'indirizzo IP del sensore Defender per IoT su cui verrà eseguita una query dall'appliance Forescout.

6. Nel campo Token di accesso immettere il token di accesso generato in precedenza.

7. Selezionare Applica.

Cambiare i sensori in Forescout

Per fare in modo che la piattaforma Forescout comunichi con un sensore diverso, la configurazione all'interno di Forescout deve essere modificata.

Per modificare i sensori in Forescout:

1. Creare un nuovo token di accesso nel sensore Defender per IoT pertinente.

2. Passare a Forescout Modules>CyberX Platform.

3. Eliminare le informazioni visualizzate in entrambi i campi.

4. Accedere al nuovo sensore Defender per IoT e generare un nuovo token di accesso.

5. Nel campo Indirizzo server immettere il nuovo indirizzo IP del sensore Defender per IoT su cui verrà eseguita una query dall'appliance Forescout.

6. Nel campo Token di accesso immettere il nuovo token di accesso.

7. Selezionare Applica.

Verificare la comunicazione

Dopo aver configurato la connessione, è necessario verificare che le due piattaforme comunichino.

Per verificare che le due piattaforme comunichino:

1. Accedere al sensore Defender per IoT.

2. Passare a Impostazioni> di sistemaToken di accesso.

Il campo Usato avvisa se la connessione tra il sensore e l'appliance Forescout non funziona. Se viene visualizzato N/D , la connessione non funziona. Se viene visualizzato Used , indica l'ultima volta che è stata ricevuta una chiamata esterna con questo token.

Visualizzare gli attributi del dispositivo in Forescout

Integrando Defender per IoT con Forescout, è possibile visualizzare attributi del dispositivo diversi rilevati da Defender per IoT nell'applicazione Forescout.

Per visualizzare gli attributi di un dispositivo:

1. Accedere alla piattaforma Forescout e quindi passare a Inventario asset.

2. Selezionare CyberX Platform.

   Per visualizzare altri dettagli, nella sezione Host inventario dispositivi fare clic con il pulsante destro del mouse su un dispositivo. Verrà visualizzata la finestra di dialogo Dettagli host con informazioni aggiuntive.

Nella tabella seguente sono elencati tutti gli attributi visibili tramite l'applicazione Forescout:

Creare Microsoft Defender per i criteri IoT in Forescout

I criteri forescout possono essere usati per automatizzare il controllo e la gestione dei dispositivi rilevati da Defender per IoT. Ad esempio:

• Inviare automaticamente un messaggio di posta elettronica agli amministratori del SOC quando vengono rilevate versioni specifiche del firmware.

• Aggiungere dispositivi specifici rilevati da Defender per IoT a un gruppo Forescout per gestire ulteriormente gli eventi imprevisti e i flussi di lavoro di sicurezza, ad esempio con altre integrazioni SIEM.

È possibile creare criteri personalizzati in Forescout usando le proprietà condizionali di Defender per IoT.

Per accedere alle proprietà di Defender per IoT:

1. Passareall'albero delle proprietàdelle condizioni> dei criteri.

2. Nell'albero delle proprietà espandere la cartella CyberX Platform . Sono disponibili le proprietà seguenti di Defender per IoT:

   • Protocolli
   • Livello di rischio
   • Autorizzato da CyberX
   • Tipo
   • Firmware
   • Nome
   • Sistema operativo
   • Fornitore

Passaggi successivi