Condividi tramite

Integrare Forescout con Microsoft Defender per IoT

  • Articolo

Nota

Microsoft Defender per IoT è stato formalmente noto come CyberX. I riferimenti a CyberX fanno riferimento a Defender per IoT.

Questo articolo illustra come integrare Forescout con Microsoft Defender per IoT.

Microsoft Defender per IoT offre una piattaforma di sicurezza informatica ICS e IoT. Defender per IoT è l'unica piattaforma con analisi delle minacce e Machine Learning con riconoscimento di ICS. Azure Defender per IoT offre:

  • Informazioni immediate su ICS e il panorama del dispositivo con un'ampia gamma di dettagli sugli attributi.

  • Conoscenza approfondita dei protocolli OT, dei dispositivi, delle applicazioni e dei comportamenti di ICS.

  • Informazioni immediate sulle vulnerabilità e sulle minacce zero-day note.

  • Tecnologia di modellazione delle minacce ICS automatizzata per stimare i percorsi più probabili degli attacchi ICS mirati tramite analisi proprietarie.

L'integrazione forescout consente di ridurre il tempo necessario per le organizzazioni di infrastrutture industriali e critiche per rilevare, analizzare e agire sulle minacce informatiche.

  • Usare Microsoft Defender per l'intelligenza dei dispositivi IoT OT per chiudere il ciclo di sicurezza attivando le azioni dei criteri Forescout. Ad esempio, è possibile inviare automaticamente un messaggio di posta elettronica di avviso agli amministratori SOC quando vengono rilevati protocolli specifici o quando i dettagli del firmware cambiano.

  • Correlare le informazioni di Defender per IoT con altri moduli eyeExtended Forescout che controllano il monitoraggio, la gestione degli eventi imprevisti e il controllo del dispositivo.

L'integrazione di Defender per IoT con la piattaforma Forescout offre visibilità, monitoraggio e controllo centralizzati per il panorama IoT e OT. Queste piattaforme bridge abilitano la visibilità automatica dei dispositivi, la gestione dei dispositivi ICS e i flussi di lavoro in silo. L'integrazione offre agli analisti SOC la visibilità multilivello nei protocolli OT distribuiti in ambienti industriali. Le informazioni diventano disponibili, ad esempio firmware, tipi di dispositivo, sistemi operativi e punteggi di analisi dei rischi, in base alle Microsoft Defender proprietarie per le tecnologie IoT.

In questo articolo vengono illustrate le operazioni seguenti:

  • Generare un token di accesso
  • Configurare la piattaforma Forescout
  • Verificare la comunicazione
  • Visualizzare gli attributi del dispositivo in Forescout
  • Creare Microsoft Defender per i criteri IoT in Forescout

Prerequisiti

Prima di iniziare, assicurarsi di disporre dei prerequisiti seguenti:

  • Microsoft Defender per IoT versione 2.4 o successiva

  • Forescout versione 8.0 o successiva

  • Licenza per il modulo forescout eyeExtend per la Microsoft Defender per la piattaforma IoT.

  • Accesso a un sensore Defender per IoT OT come utente Amministrazione. Per altre informazioni, vedere Utenti e ruoli locali per il monitoraggio OT con Defender per IoT.

Generare un token di accesso

I token di accesso consentono ai sistemi esterni di accedere ai dati individuati da Defender per IoT. I token di accesso consentono l'uso dei dati per le API REST esterne e le connessioni SSL. È possibile generare token di accesso per accedere alla Microsoft Defender per l'API REST IoT.

Per garantire la comunicazione da Defender per IoT a Forescout, è necessario generare un token di accesso in Defender per IoT.

Per generare un token di accesso:

  1. Accedere al sensore Defender per IoT che verrà eseguito una query da Forescout.

  2. Selezionare Integrations System SettingsIntegrations Access Tokens .Select System SettingsIntegrations Access Tokens.SelectSystem Settings Integrations> Access Tokens >

  3. Selezionare Genera token.

  4. Nel campo Descrizione aggiungere una breve descrizione relativa allo scopo del token di accesso. Ad esempio: "integrazione con script Python".

  5. Selezionare Genera. Il token viene quindi visualizzato nella finestra di dialogo.

    Nota

    Registrare il token in un luogo sicuro. Sarà necessario quando si configura la piattaforma Forescout.

  6. Selezionare Fine.

Configurare la piattaforma Forescout

È ora possibile configurare la piattaforma Forescout per comunicare con un sensore Defender per IoT.

Per configurare la piattaforma Forescout:

  1. Nella piattaforma Forescout cercare e installare il modulo Forescout eyeExtend per CyberX.

  2. Accedere alla console CounterACT.

  3. Scegliere Opzioni dal menu Strumenti.

  4. Passare a Moduli>CyberX Platform.

  5. Nel campo Indirizzo server immettere l'indirizzo IP del sensore Defender per IoT che verrà eseguito una query dall'appliance Forescout.

  6. Nel campo Token di accesso immettere il token di accesso generato in precedenza.

  7. Selezionare Applica.

Modificare i sensori in Forescout

Per rendere la piattaforma Forescout comunicare con un sensore diverso, la configurazione all'interno di Forescout deve essere modificata.

Per modificare i sensori in Forescout:

  1. Creare un nuovo token di accesso nel sensore Defender per IoT pertinente.

  2. Passare a Forescout Modules>CyberX Platform.

  3. Eliminare le informazioni visualizzate in entrambi i campi.

  4. Accedere al nuovo sensore Defender per IoT e generare un nuovo token di accesso.

  5. Nel campo Indirizzo server immettere il nuovo indirizzo IP del sensore Defender per IoT che verrà eseguito una query dall'appliance Forescout.

  6. Nel campo Token di accesso immettere il nuovo token di accesso.

  7. Selezionare Applica.

Verificare la comunicazione

Dopo aver configurato la connessione, è necessario verificare che le due piattaforme comunicano.

Per confermare che le due piattaforme comunicano:

  1. Accedere al sensore Defender per IoT.

  2. Passare aToken di accessoalle impostazioni> di sistema.

Il campo Usato avvisa se la connessione tra il sensore e l'appliance Forescout non funziona. Se viene visualizzato N/A , la connessione non funziona. Se viene visualizzato Usato , indica l'ultima volta che è stata ricevuta una chiamata esterna con questo token.

Screenshot dei token di accesso generati

Visualizzare gli attributi del dispositivo in Forescout

Integrando Defender per IoT con Forescout, è possibile visualizzare gli attributi di un dispositivo diversi rilevati da Defender per IoT nell'applicazione Forescout.

Per visualizzare gli attributi di un dispositivo:

  1. Accedere alla piattaforma Forescout e quindi passare all'inventario asset.

  2. Selezionare La piattaforma CyberX.

    Per visualizzare altri dettagli, dalla sezione Host inventario dispositivi fare clic con il pulsante destro del mouse su un dispositivo. Verrà visualizzata la finestra di dialogo dettagli host con informazioni aggiuntive.

La tabella seguente elenca tutti gli attributi visibili tramite l'applicazione Forescout:

Attributo Descrizione
Autorizzato da Microsoft Defender per IoT Un dispositivo rilevato nella rete da Defender per IoT durante il periodo di apprendimento di rete.
Firmware Dettagli del firmware del dispositivo. Ad esempio, i dettagli del modello e della versione.
Nome Nome del dispositivo.
Sistema operativo Sistema operativo del dispositivo.
Tipo Tipo di dispositivo. Ad esempio, un PLC, uno storico o una stazione di ingegneria.
Fornitore Fornitore del dispositivo. Ad esempio, Rockwell Automation.
Livello di rischio Livello di rischio calcolato da Defender per IoT.
Protocolli I protocolli rilevati nel traffico generato dal dispositivo.

Creare Microsoft Defender per i criteri IoT in Forescout

I criteri forescout possono essere usati per automatizzare il controllo e la gestione dei dispositivi rilevati da Defender per IoT. Ad esempio:

  • Invia automaticamente un messaggio di posta elettronica agli amministratori SOC quando vengono rilevate versioni specifiche del firmware.

  • Aggiungere dispositivi rilevati specifici di Defender per IoT a un gruppo Forescout per una gestione più approfondita nei flussi di lavoro di sicurezza e eventi imprevisti, ad esempio con altre integrazioni SIEM.

È possibile creare criteri personalizzati in Forescout usando le proprietà condizionali di Defender per IoT.

Per accedere alle proprietà di Defender per IoT:

  1. Passareall'albero delle proprietàdelle condizioni> dei criteri.

  2. Nell'albero delle proprietà espandere la cartella CyberX Platform . Sono disponibili le proprietà seguenti di Defender per IoT:

    • Protocolli
    • Livello di rischio
    • Autorizzato da CyberX
    • Tipo
    • Firmware
    • Nome
    • Sistema operativo
    • Vendor

Passaggi successivi

Integrazioni con Microsoft e i servizi partner