Merk
Tilgang til denne siden krever autorisasjon. Du kan prøve å logge på eller endre kataloger.
Tilgang til denne siden krever autorisasjon. Du kan prøve å endre kataloger.
Obs!
Microsoft Defender for IoT var formelt kjent som CyberX. Referanser til CyberX refererer til Defender for IoT.
Denne artikkelen hjelper deg med å lære hvordan du integrerer Forescout med Microsoft Defender for IoT.
Microsoft Defender for IoT leverer en ICS- og IoT-plattform for cybersikkerhet. Defender for IoT er den eneste plattformen med ICS-klar trusselanalyse og maskinlæring. Defender for IoT gir:
Umiddelbar innsikt om ICS og enhetslandskapet med et omfattende utvalg av detaljer om attributter.
ICS-bevisst dyp innebygd kunnskap om OT-protokoller, enheter, programmer og deres atferd.
Umiddelbar innsikt i sårbarheter og kjente nulldagstrusler.
En automatisert ICS trusselmodelleringsteknologi for å forutsi de mest sannsynlige banene til målrettede ICS-angrep via proprietær analyse.
Forescout-integreringen bidrar til å redusere tiden som kreves for at organisasjoner med industriell og kritisk infrastruktur skal kunne oppdage, undersøke og handle på cybertrusler.
Bruk Microsoft Defender for IoT OT-enhetsintelligens for å lukke sikkerhetssyklusen ved å utløse Forescout-policyhandlinger. Du kan for eksempel automatisk sende en e-postvarsel til SOC-administratorer når bestemte protokoller oppdages, eller når fastvaredetaljene endres.
Korreler Defender for IoT-informasjon med andre Forescout eyeExtended-moduler som fører tilsyn med overvåking, hendelsesbehandling og enhetskontroll.
Defender for IoT-integrering med Forescout-plattformen gir sentralisert synlighet, overvåking og kontroll for IoT- og OT-landskapet. Disse brolagte plattformene muliggjør automatisert enhetssynlighet, administrasjon til ICS-enheter og siloed arbeidsflyter. Integreringen gir SOC-analytikere synlighet på flere nivåer i OT-protokoller distribuert i industrielle miljøer. Informasjon blir tilgjengelig, for eksempel fastvare, enhetstyper, operativsystemer og risikoanalyseresultater, basert på proprietære Microsoft Defender for IoT-teknologier.
I denne artikkelen lærer du hvordan du:
- Generer et tilgangstoken
- Konfigurer Forescout-plattformen
- Bekreft kommunikasjon
- Vis enhetsattributter i Forescout
- Opprett Microsoft Defender for IoT-policyer i Forescout
Forutsetninger
Før du begynner, må du kontrollere at du har følgende forutsetninger:
Microsoft Defender for IoT versjon 2.4 eller nyere
Forutsent versjon 8.0 eller nyere
En lisens for Forescout eyeExtend-modulen for Microsoft Defender for IoT Platform.
Tilgang til en Defender for IoT OT-sensor som en Admin bruker. Hvis du vil ha mer informasjon, kan du se lokale brukere og roller for OT-overvåking med Defender for IoT.
Generer et tilgangstoken
Tilgangstokener gir eksterne systemer tilgang til data som oppdages av Defender for IoT. Tilgangstokener tillater at dataene brukes for eksterne REST-API-er og over SSL-tilkoblinger. Du kan generere tilgangstokener for å få tilgang til Microsoft Defender for REST-API for IoT.
For å sikre kommunikasjon fra Defender for IoT til Forescout, må du generere et tilgangstoken i Defender for IoT.
Slik genererer du et tilgangstoken:
Logg på Defender for IoT-sensoren som blir forespurt av Forescout.
Velgtilgangstokener forsysteminnstillingerintegreringer>>.
Velg Generer token.
Legg til en kort beskrivelse av formålet med tilgangstokenet i Beskrivelse-feltet . Eksempel: «integrering med python-skript».
Velg Generer. Tokenet vises deretter i dialogboksen.
Obs!
Registrer tokenet på et trygt sted. Du trenger den når du konfigurerer Forescout-plattformen.
Klikk Fullfør.
Konfigurer Forescout-plattformen
Nå kan du konfigurere Forescout-plattformen til å kommunisere med en Defender for IoT-sensor.
Slik konfigurerer du Forescout-plattformen:
Søk etter og installer Forescout eyeExtend-modulen for CyberX på Forescout-plattformen.
Logg på CounterACT-konsollen.
Velg Alternativer på Verktøy-menyen.
Gå til CyberX-plattformen for moduler>.
Skriv inn IP-adressen til Defender for IoT-sensoren som skal spørres av Forescout-apparatet, i Serveradresse-feltet.
Skriv inn tilgangstokenet som ble generert tidligere, i Access-tokenfeltet.
Velg Bruk.
Endre sensorer i Forescout
For å få Forescout-plattformen til å kommunisere med en annen sensor, må konfigurasjonen i Forescout endres.
Slik endrer du sensorer i Forescout:
Opprett et nytt tilgangstoken i den relevante Defender for IoT-sensoren.
Naviger til Forescout Modules>CyberX Platform.
Slett informasjonen som vises i begge feltene.
Logg på den nye Defender for IoT-sensoren, og generer et nytt tilgangstoken.
Skriv inn den nye IP-adressen til Defender for IoT-sensoren som skal spørres av Forescout-apparatet, i Serveradresse-feltet.
Skriv inn det nye tilgangstokenet i Access-tokenfeltet.
Velg Bruk.
Bekreft kommunikasjon
Når tilkoblingen er konfigurert, må du bekrefte at de to plattformene kommuniserer.
Slik bekrefter du at de to plattformene kommuniserer:
Logg på Defender for IoT-sensoren.
Gå tiltilgangstokenerfor systeminnstillinger>.
Brukt-feltet varsler deg hvis tilkoblingen mellom sensoren og Forescout-apparatet ikke fungerer. Hvis I/T vises, fungerer ikke tilkoblingen. Hvis Brukt vises, angir den forrige gang et eksternt anrop med dette tokenet ble mottatt.
Vis enhetsattributter i Forescout
Ved å integrere Defender for IoT med Forescout kan du vise attributtene til forskjellige enheter som ble oppdaget av Defender for IoT, i Forescout-programmet.
Slik viser du attributtene til en enhet:
Logg deg på Forescout-plattformen, og gå deretter til aktivabeholdningen.
Velg CyberX-plattformen.
Hvis du vil vise flere detaljer, høyreklikker du på en enhet under Enhetslagerverter . Dialogboksen for vertsdetaljer åpnes med tilleggsinformasjon.
Tabellen nedenfor viser alle attributtene som er synlige gjennom forutsagt program:
| Attributt | Beskrivelse |
|---|---|
| Autorisert av Microsoft Defender for IoT | En enhet som er oppdaget på nettverket av Defender for IoT i løpet av nettverkslæringsperioden. |
| Firmware | Fastvaredetaljene for enheten. For eksempel modell- og versjonsdetaljer. |
| Navn | Navnet på enheten. |
| Operativsystemet | Operativsystemet til enheten. |
| Type | Enhetstypen. For eksempel en PLF, historiker eller ingeniørstasjon. |
| Leverandør | Leverandøren av enheten. For eksempel Rockwell Automation. |
| Risikonivå | Risikonivået beregnet av Defender for IoT. |
| Protokoller | Protokollene som oppdages i trafikken som genereres av enheten. |
Opprett Microsoft Defender for IoT-policyer i Forescout
Forescout-policyer kan brukes til å automatisere kontroll og administrasjon av enheter som oppdages av Defender for IoT. Eksempel:
Send SOC-administratorer automatisk e-post når bestemte fastvareversjoner oppdages.
Legg til bestemte Defender for IoT-oppdagede enheter i en Forescout-gruppe for videre håndtering i hendelses- og sikkerhetsarbeidsflyter, for eksempel med andre SIEM-integreringer.
Du kan opprette egendefinerte policyer i Forescout ved hjelp av Defender for IoT-betingede egenskaper.
Slik får du tilgang til Defender for IoT-egenskaper:
Gå tilegenskapstreetfor policybetingelser>.
Utvid Mappen CyberX-plattform i Egenskaper-treet. Følgende egenskaper for Defender for IoT er tilgjengelige:
- Protokoller
- Risikonivå
- Autorisert av CyberX
- Type:
- Firmware
- Navn
- Operativsystemet
- Leverandør