Informazioni sull'integrazione di ForeScout

Azure Defender per Internet delle cose offre una piattaforma ICS e Cybersecurity creata da esperti del team blu con una traccia di difesa dell'infrastruttura nazionale critica. Defender for Internet è l'unica piattaforma con l'analisi delle minacce e l'apprendimento automatico compatibili con ICS. Defender per l'it fornisce:

  • Informazioni immediate su ICS il paesaggio del dispositivo con una vasta gamma di dettagli sugli attributi.
  • Conoscenza incorporate approfondita con compatibilità con ICS di protocolli, dispositivi, applicazioni e comportamenti.
  • Informazioni immediate sulle vulnerabilità e minacce note e zero-day.
  • Una tecnologia di modellazione delle minacce ICS automatizzata per prevedere i percorsi più probabili degli attacchi ICS mirati tramite l'analisi proprietaria.

Il Defender per l'integrazione con la piattaforma ForeScout fornisce un nuovo livello di visibilità, monitoraggio e controllo centralizzato per le cose e il panorama.

Queste piattaforme con bridging consentono la visibilità e la gestione automatizzate dei dispositivi a dispositivi ICS precedentemente non raggiungibili e a flussi di lavoro silo.

L'integrazione fornisce analisti SOC con visibilità a più livelli nei protocolli OT distribuiti in ambienti industriali. Sono disponibili informazioni dettagliate per elementi quali firmware, tipi di dispositivi, sistemi operativi e punteggi di analisi dei rischi basati su Azure Defender proprietario per le tecnologie Internet.

Nota

I riferimenti a CyberX fanno riferimento ad Azure Defender per l'it.

Dispositivi

Visibilità e gestione dei dispositivi

L'inventario del dispositivo è arricchito con gli attributi critici rilevati dal Defender per la piattaforma Internet. Ciò consente di:

  • Ottieni visibilità completa e continua nel panorama del dispositivo OT da un singolo riquadro di vetro.
  • Ottenere informazioni in tempo reale sui rischi di OT.

Inventario dei dispositivi

Dettagli dispositivo

Controllo del dispositivo

L'integrazione di ForeScout consente di ridurre il tempo necessario per le organizzazioni di infrastruttura industriali e critiche per rilevare, analizzare e agire su minacce informatiche.

  • Usare Azure Defender per le funzionalità di Business Intelligence per dispositivi per chiudere il ciclo di sicurezza attivando azioni dei criteri di ForeScout. Ad esempio, è possibile inviare automaticamente un messaggio di posta elettronica di avviso agli amministratori SOC quando vengono rilevati protocolli specifici o quando i dettagli del firmware cambiano.

  • Correlare Defender per informazioni su Internet con altri moduli ForeScout eyeExtended che controllano il monitoraggio, la gestione degli eventi imprevisti e il controllo dei dispositivi.

Requisiti di sistema

  • Azure Defender per la versione 2,4 o successiva
  • ForeScout versione 8,0 o successiva
  • Una licenza per il modulo ForeScout eyeExtend per Azure Defender per la piattaforma Internet.

Ottenere altre informazioni su ForeScout

Per ulteriori informazioni sulla piattaforma ForeScout, vedere il Centro risorse di ForeScout.

Installazione del sistema

Questo articolo descrive come configurare la comunicazione tra il Defender per la piattaforma Internet e la piattaforma ForeScout.

Configurare il Defender per la piattaforma Internet

Per garantire la comunicazione da Defender for ForeScout, generare un token di accesso in Defender per l'intero.

I token di accesso consentono ai sistemi esterni di accedere ai dati individuati da Defender per l'IT e di eseguire azioni con tali dati usando l'API REST esterna, tramite le connessioni SSL. È possibile generare token di accesso per accedere ad Azure Defender per l'API REST di Azure.

Per generare un token:

  1. Accedere alla pagina Defender per il sensore Internet delle cose che verrà sottoposta a query da ForeScout.

  2. Selezionare impostazioni di sistema , quindi selezionare token di accesso dalla sezione generale . Verrà visualizzata la finestra di dialogo token di accesso . Token di accesso

  3. Selezionare genera nuovo token dalla finestra di dialogo token di accesso .

  4. Immettere una descrizione del token nella finestra di dialogo nuovo token di accesso . Nuovo token di accesso

  5. Selezionare Avanti. Il token viene visualizzato nella finestra di dialogo. Visualizza token

    Nota

    Registrare il token in un luogo sicuro. Sarà necessario quando si configura la piattaforma ForeScout.

  6. Selezionare Fine.

    Fine aggiunta token

Configurare la piattaforma ForeScout

È possibile configurare la piattaforma ForeScout per comunicare con un Defender per il sensore Internet.

Per configurare:

  1. Installare il modulo ForeScout eyeExtend per CyberX nella piattaforma ForeScout.

  2. Accedere alla console di contrasto e scegliere Opzioni dal menu strumenti . Verrà visualizzata la finestra di dialogo Opzioni .

  3. Passare a e selezionare la cartella moduli .

  4. Nel riquadro moduli selezionare piattaforma CyberX. Viene visualizzato il riquadro Defender for Internets Platform.

    Impostazioni del modulo Azure Defender per le cose

    Immettere le seguenti informazioni:

    • Indirizzo server : immettere l'indirizzo IP di Defender per il sensore Internet che verrà sottoposto a query dal dispositivo ForeScout.
    • Token di accesso : immettere il token di accesso generato per il sensore Defender for Internet che si connetterà al dispositivo ForeScout. Per generare un token, vedere configurare il Defender per la piattaformaInternet.
  5. Selezionare Applica.

Se si vuole che la piattaforma ForeScout comunichi con un altro sensore:

  1. Creare un nuovo token di accesso nel Defender pertinente per il sensore Internet.

  2. Nella finestra di dialogo ForeScout Modules > CyberX Platform :

    • Elimina le informazioni visualizzate.

    • Immettere il nuovo indirizzo IP del sensore e le nuove informazioni sul token di accesso.

Verifica comunicazione

Dopo aver configurato Defender per le cose e ForeScout, aprire la finestra di dialogo token di accesso del sensore in Defender per tutto.

Se N/A viene visualizzato nel campo usato per questo token, la connessione tra il sensore e l'appliance ForeScout non funziona.

Usato indica l'ultima volta che è stata ricevuta una chiamata esterna con questo token.

Verifica che il token sia stato ricevuto

Visualizza il Defender per i rilevamenti delle cose in ForeScout

Per visualizzare gli attributi di un dispositivo:

  1. Accedere alla piattaforma ForeScout e quindi passare all' inventario asset.

  2. Passare alla piattaforma CyberX. Gli attributi del dispositivo seguenti vengono visualizzati per i dispositivi OT rilevati da Defender per l'it.

    Elemento Descrizione
    Autorizzato da Azure Defender per l'it Un dispositivo rilevato nella rete da Defender per tutto il periodo di apprendimento della rete.
    Firmware Dettagli del firmware del dispositivo. Ad esempio, Model e Version details.
    Name Nome del dispositivo.
    Sistema operativo Sistema operativo del dispositivo.
    Tipo Tipo di dispositivo. Ad esempio, un PLC, uno storico o una stazione di progettazione.
    Vendor Fornitore del dispositivo. Ad esempio, Rockwell Automation.
    Livello di rischio Livello di rischio calcolato da Defender per l'it.
    Protocolli Protocolli rilevati nel traffico generato dal dispositivo.

Visualizzare gli attributi del firmware.

Visualizzare gli attributi dei fornitori.

Visualizzazione di altri dettagli

Visualizza informazioni aggiuntive sul dispositivo per i dispositivi indirizzati da Defender per l'it. Ad esempio, le informazioni sulla conformità e i criteri di ForeScout.

A tale scopo, fare clic con il pulsante destro del mouse su un dispositivo nella sezione host inventario dispositivi . Verrà visualizzata la finestra di dialogo Dettagli host con ulteriori informazioni.

Dettagli host

Creare i criteri di Azure Defender per l'it in ForeScout

I criteri ForeScout possono essere usati per automatizzare il controllo e la gestione dei dispositivi rilevati da Defender per l'it. Ad esempio,

  • Invia automaticamente gli amministratori SOC quando vengono rilevate versioni specifiche del firmware.

  • Aggiungere un Defender specifico per i dispositivi rilevati in un gruppo di ForeScout per un'ulteriore gestione nei flussi di lavoro di eventi imprevisti e di sicurezza, ad esempio con altre integrazioni SIEM.

Creare un criterio personalizzato ForeScout con Defender per l'uso delle proprietà della condizione.

Per accedere a Defender per le proprietà delle cose:

  1. Passare all' albero delle proprietà dalla finestra di dialogo condizioni dei criteri .

  2. Espandere la cartella CyberX Platform nell' albero proprietà. Sono disponibili le proprietà Defender per l'it.

Proprietà

Passaggi successivi

Informazioni su come inviare le informazioni sugli avvisi.