注:
IoT のMicrosoft Defenderは、正式には CyberX として知られていました。 CyberX への参照は、Defender for IoT を参照してください。
この記事では、Forescout と Microsoft Defender for IoT を統合する方法について説明します。
IoT 用のMicrosoft Defenderは、ICS と IoT のサイバーセキュリティ プラットフォームを提供します。 Defender for IoT は、ICS 対応の脅威分析と機械学習を備えた唯一のプラットフォームです。 Defender for IoT では、次の機能が提供されます。
ICS とデバイスの状況に関する即時の分析情報。属性に関する詳細の範囲が豊富です。
OT プロトコル、デバイス、アプリケーション、およびその動作に関する ICS 対応の深い埋め込み知識。
脆弱性と既知のゼロデイ脅威に関する即時分析情報。
独自の分析を介して標的型 ICS 攻撃の最も可能性の高いパスを予測する自動 ICS 脅威モデリング テクノロジ。
Forescout 統合は、産業および重要なインフラストラクチャ組織がサイバー脅威を検出、調査、対処するために必要な時間を短縮するのに役立ちます。
IoT OT デバイス インテリジェンスのMicrosoft Defenderを使用して、Forescout ポリシー アクションをトリガーしてセキュリティ サイクルを閉じます。 たとえば、特定のプロトコルが検出されたとき、またはファームウェアの詳細が変更されたときに、SOC 管理者にアラート メールを自動的に送信できます。
Defender for IoT 情報を、監視、インシデント管理、およびデバイス制御を監視する他の Forescout eyeExtended モジュールと関連付けます。
Defender for IoT と Forescout プラットフォームの統合により、IoT と OT 環境の可視性、監視、制御が一元化されます。 これらのブリッジド プラットフォームにより、自動化されたデバイスの可視性、ICS デバイスへの管理、サイロ化されたワークフローが可能になります。 この統合により、SOC アナリストは、産業環境にデプロイされた OT プロトコルをマルチレベルで可視化できます。 IoT テクノロジの独自のMicrosoft Defenderに基づいて、ファームウェア、デバイスの種類、オペレーティング システム、リスク分析スコアなどの情報が利用可能になります。
この記事では、次の方法について説明します。
- アクセス トークンを生成する
- Forescout プラットフォームを構成する
- 通信の確認
- Forescout でデバイス属性を表示する
- Forescout で IoT ポリシーのMicrosoft Defenderを作成する
前提条件
開始する前に、次の前提条件があることを確認してください。
IoT バージョン 2.4 以降のMicrosoft Defender
Forescout バージョン 8.0 以降
IoT プラットフォーム用のMicrosoft Defenderの Forescout eyeExtend モジュールのライセンス。
管理 ユーザーとしての Defender for IoT OT センサーへのアクセス。 詳細については、「 Defender for IoT を使用した OT 監視のオンプレミス ユーザーとロール」を参照してください。
アクセス トークンを生成する
アクセス トークンを使用すると、外部システムは Defender for IoT によって検出されたデータにアクセスできます。 アクセス トークンを使用すると、外部 REST API と SSL 接続経由でデータを使用できます。 IoT REST API のMicrosoft Defenderにアクセスするために、アクセス トークンを生成できます。
Defender for IoT から Forescout への通信を確実に行うには、Defender for IoT でアクセス トークンを生成する必要があります。
アクセス トークンを生成するには:
Forescout によってクエリされる Defender for IoT センサーにサインインします。
[システム設定>Integrations>Access トークン] を選択します。
[ トークンの生成] を選択します。
[ 説明 ] フィールドに、アクセス トークンの目的に関する簡単な説明を追加します。 たとえば、"python スクリプトとの統合" です。
[生成する] を選択します。 その後、ダイアログ ボックスにトークンが表示されます。
注:
トークンを安全な場所に記録します。 Forescout プラットフォームを構成するときに必要になります。
[完了] を選択します。
Forescout プラットフォームを構成する
Defender for IoT センサーと通信するように Forescout プラットフォームを構成できるようになりました。
Forescout プラットフォームを構成するには:
Forescout プラットフォームで、 CyberX 用の Forescout eyeExtend モジュールを検索してインストールします。
CounterACT コンソールにサインインします。
[ツール] メニューの [オプション] をクリックします。
[モジュール>CyberX プラットフォーム] に移動します。
[サーバー アドレス] フィールドに、Forescout アプライアンスによって照会される Defender for IoT センサーの IP アドレスを入力します。
[アクセス トークン] フィールドに、先ほど生成したアクセス トークンを入力します。
[適用] を選択します。
Forescout のセンサーを変更する
Forescout プラットフォームを別のセンサーと通信するには、Forescout 内の構成を変更する必要があります。
Forescout でセンサーを変更するには:
関連する Defender for IoT センサーに新しいアクセス トークンを作成します。
[Forescout Modules>CyberX Platform] に移動します。
両方のフィールドに表示されている情報を削除します。
新しい Defender for IoT センサーにサインインし、 新しいアクセス トークンを生成します。
[サーバー アドレス] フィールドに、Forescout アプライアンスによって照会される Defender for IoT センサーの新しい IP アドレスを入力します。
[アクセス トークン] フィールドに、新しいアクセス トークンを入力します。
[適用] を選択します。
通信の確認
接続が構成されたら、2 つのプラットフォームが通信していることを確認する必要があります。
2 つのプラットフォームが通信していることを確認するには、
Defender for IoT センサーにサインインします。
[システム設定>アクセス トークン] に移動します。
[Used]\(使用済み\) フィールドは、センサーと Forescout アプライアンス間の接続が機能していない場合に警告します。 N/A が表示されている場合、接続は機能しません。 [Used]\(使用\) が表示されている場合は、このトークンを使用した外部呼び出しが最後に受信されたことを示します。
Forescout でデバイス属性を表示する
Defender for IoT と Forescout を統合することで、Defender for IoT によって検出されたさまざまなデバイスの属性を Forescout アプリケーションで表示できます。
デバイスの属性を表示するには:
Forescout プラットフォームにサインインし、[ 資産インベントリ] に移動します。
CyberX プラットフォームを選択します。
追加の詳細を表示するには、[ デバイス インベントリ ホスト ] セクションでデバイスを右クリックします。 [ホストの詳細] ダイアログ ボックスが開き、追加情報が表示されます。
次の表に、Forescout アプリケーションから表示されるすべての属性を示します。
| 属性 | 説明 |
|---|---|
| Microsoft Defender for IoT によって承認される | ネットワーク学習期間中に Defender for IoT によってネットワーク上で検出されたデバイス。 |
| ファームウェア | デバイスのファームウェアの詳細。 たとえば、モデルとバージョンの詳細です。 |
| 名前 | デバイスの名前。 |
| オペレーティング システム | デバイスのオペレーティング システム。 |
| Type | デバイスの種類。 たとえば、PLC、ヒストリアン、エンジニアリング ステーションなどです。 |
| ベンダー | デバイスのベンダー。 たとえば、Rockwell Automation などです。 |
| リスク レベル | Defender for IoT によって計算されるリスク レベル。 |
| プロトコル | デバイスによって生成されたトラフィックで検出されたプロトコル。 |
Forescout で IoT ポリシーのMicrosoft Defenderを作成する
Forescout ポリシーを使用して、Defender for IoT によって検出されたデバイスの制御と管理を自動化できます。 例:
特定のファームウェア バージョンが検出されると、SOC 管理者に自動的にメールを送信します。
特定の Defender for IoT 検出デバイスを Forescout グループに追加して、インシデントとセキュリティのワークフロー (他の SIEM 統合など) をさらに処理します。
Defender for IoT 条件付きプロパティを使用して、Forescout でカスタム ポリシーを作成できます。
Defender for IoT プロパティにアクセスするには:
[ポリシー条件>プロパティ ツリー] に移動します。
[プロパティ] ツリーで、[ CyberX Platform ] フォルダーを展開します。 Defender for IoT では、次のプロパティを使用できます。
- プロトコル
- リスク レベル
- CyberX によって承認されました
- 型
- ファームウェア
- 名前
- オペレーティング システム
- ベンダー