Kommentar
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
Obs!
Microsoft Defender för IoT kallades formellt CyberX. Referenser till CyberX refererar till Defender för IoT.
Den här artikeln beskriver hur du integrerar Forescout med Microsoft Defender för IoT.
Microsoft Defender för IoT levererar en ICS- och IoT-cybersäkerhetsplattform. Defender för IoT är den enda plattformen med ICS-medveten hotanalys och maskininlärning. Defender för IoT tillhandahåller:
Omedelbara insikter om ICS och enhetslandskapet med en omfattande mängd information om attribut.
ICS-medveten djup inbäddad kunskap om OT-protokoll, enheter, program och deras beteenden.
Omedelbara insikter om sårbarheter och kända nolldagarshot.
En automatiserad ICS-hotmodelleringsteknik för att förutsäga de mest sannolika sökvägarna för riktade ICS-attacker via egenutvecklad analys.
Forescout-integreringen bidrar till att minska den tid som krävs för organisationer inom industriell och kritisk infrastruktur för att upptäcka, undersöka och agera mot cyberhot.
Använd Microsoft Defender för IoT OT-enhetsintelligens för att stänga säkerhetscykeln genom att utlösa forescout-principåtgärder. Du kan till exempel automatiskt skicka ett e-postmeddelande med aviseringar till SOC-administratörer när specifika protokoll identifieras eller när information om den inbyggda programvaran ändras.
Korrelera Defender för IoT-information med andra Forescout eyeExtended-moduler som övervakar övervakning, incidenthantering och enhetskontroll.
Defender for IoT-integrering med Forescout-plattformen ger centraliserad synlighet, övervakning och kontroll för IoT- och OT-landskapet. Dessa överbryggade plattformar möjliggör automatisk enhetssynlighet, hantering till ICS-enheter och silobaserade arbetsflöden. Integreringen ger SOC-analytiker flernivåsynlighet i OT-protokoll som distribueras i industriella miljöer. Information blir tillgänglig, till exempel inbyggd programvara, enhetstyper, operativsystem och riskanalyspoäng, baserat på egna Microsoft Defender för IoT-tekniker.
I den här artikeln lär du dig att:
- Generera en åtkomsttoken
- Konfigurera Forescout-plattformen
- Verifiera kommunikationen
- Visa enhetsattribut i Forescout
- Skapa Microsoft Defender för IoT-principer i Forescout
Förhandskrav
Innan du börjar kontrollerar du att du har följande krav:
Microsoft Defender för IoT version 2.4 eller senare
Forescout version 8.0 eller senare
En licens för modulen Forescout eyeExtend för Microsoft Defender för IoT Platform.
Åtkomst till en Defender for IoT OT-sensor som en Admin användare. Mer information finns i Lokala användare och roller för OT-övervakning med Defender för IoT.
Generera en åtkomsttoken
Med åtkomsttoken kan externa system komma åt data som identifieras av Defender för IoT. Med åtkomsttoken kan dessa data användas för externa REST-API:er och via SSL-anslutningar. Du kan generera åtkomsttoken för att få åtkomst till Microsoft Defender för IoT REST API.
För att säkerställa kommunikation från Defender för IoT till Forescout måste du generera en åtkomsttoken i Defender för IoT.
Så här genererar du en åtkomsttoken:
Logga in på Defender for IoT-sensorn som efterfrågas av Forescout.
Välj Systeminställningar>Integreringar>Åtkomsttoken.
Välj Generera token.
I fältet Beskrivning lägger du till en kort beskrivning av syftet med åtkomsttoken. Exempel: "integrering med Python-skript".
Välj Generera. Token visas sedan i dialogrutan.
Obs!
Registrera token på en säker plats. Du behöver den när du konfigurerar Forescout Platform.
Välj Slutför.
Konfigurera Forescout-plattformen
Nu kan du konfigurera Forescout-plattformen så att den kommunicerar med en Defender for IoT-sensor.
Så här konfigurerar du Forescout-plattformen:
På Forescout-plattformen söker du efter och installerar modulen Forescout eyeExtend för CyberX.
Logga in på CounterACT-konsolen.
På menyn Verktyg väljer du Alternativ.
Gå till Modules>CyberX Platform.
I fältet Serveradress anger du IP-adressen för Defender for IoT-sensorn som ska frågas av Forescout-installationen.
I fältet Åtkomsttoken anger du den åtkomsttoken som genererades tidigare.
Välj Använd.
Ändra sensorer i Forescout
För att forescout-plattformen ska kunna kommunicera med en annan sensor måste konfigurationen i Forescout ändras.
Så här ändrar du sensorer i Forescout:
Skapa en ny åtkomsttoken i relevant Defender för IoT-sensor.
Gå till Forescout Modules>CyberX Platform.
Ta bort informationen som visas i båda fälten.
Logga in på den nya Defender for IoT-sensorn och generera en ny åtkomsttoken.
I fältet Serveradress anger du den nya IP-adressen för Defender for IoT-sensorn som efterfrågas av forescout-installationen.
I fältet Åtkomsttoken anger du den nya åtkomsttoken.
Välj Använd.
Verifiera kommunikationen
När anslutningen har konfigurerats måste du bekräfta att de två plattformarna kommunicerar.
Så här bekräftar du att de två plattformarna kommunicerar:
Logga in på Defender for IoT-sensorn.
Gå tillÅtkomsttoken för systeminställningar>.
Fältet Används varnar dig om anslutningen mellan sensorn och Forescout-installationen inte fungerar. Om N/A visas fungerar inte anslutningen. Om Används visas anger det den senaste gången ett externt anrop med den här token togs emot.
Visa enhetsattribut i Forescout
Genom att integrera Defender för IoT med Forescout kan du visa olika enhetsattribut som identifierades av Defender för IoT i Forescout-programmet.
Så här visar du en enhets attribut:
Logga in på Forescout-plattformen och navigera sedan till tillgångsinventeringen.
Välj CyberX-plattformen.
Om du vill visa ytterligare information högerklickar du på en enhet i avsnittet Enhetsinventeringsvärdar . Dialogrutan värdinformation öppnas med ytterligare information.
I följande tabell visas alla attribut som visas via forescout-programmet:
| Attribut | Beskrivning |
|---|---|
| Auktoriserad av Microsoft Defender för IoT | En enhet som identifierats i nätverket av Defender för IoT under nätverksinlärningsperioden. |
| Firmware | Enhetens information om den inbyggda programvaran. Till exempel information om modell och version. |
| Namn | Namnet på enheten. |
| Operativsystem | Enhetens operativsystem. |
| Typ | Typ av enhet. Till exempel en PLC, historiker eller ingenjörsstation. |
| Leverantör | Enhetens leverantör. Till exempel Rockwell Automation. |
| Risknivå | Risknivån som beräknas av Defender för IoT. |
| Protokoll | Protokollen som identifieras i trafiken som genereras av enheten. |
Skapa Microsoft Defender för IoT-principer i Forescout
Forescout-principer kan användas för att automatisera kontrollen och hanteringen av enheter som identifieras av Defender för IoT. Till exempel:
Skicka automatiskt ett e-postmeddelande till SOC-administratörerna när specifika versioner av inbyggd programvara identifieras.
Lägg till specifika Defender för IoT-identifierade enheter i en forescout-grupp för ytterligare hantering i incident- och säkerhetsarbetsflöden, till exempel med andra SIEM-integreringar.
Du kan skapa anpassade principer i Forescout med hjälp av villkorsegenskaper för Defender för IoT.
Så här kommer du åt Defender för IoT-egenskaper:
Gå tillegenskapsträdet förprincipvillkor>.
Expandera mappen CyberX Platform i egenskapsträdet. Följande egenskaper för Defender för IoT är tillgängliga:
- Protokoll
- Risknivå
- Auktoriserad av CyberX
- Typ
- Firmware
- Namn
- Operativsystem
- Leverantör