Forescout integreren met Microsoft Defender voor IoT
Notitie
Microsoft Defender voor IoT stond formeel bekend als CyberX. Verwijzingen naar CyberX verwijzen naar Defender for IoT.
In dit artikel leert u hoe u Forescout kunt integreren met Microsoft Defender voor IoT.
Microsoft Defender for IoT biedt een ICS- en IoT-cyberbeveiligingsplatform. Defender for IoT is het enige platform met ICS-bewuste bedreigingsanalyses en machine learning. Defender for IoT biedt:
Onmiddellijke inzichten over ICS en het landschap van apparaten met een uitgebreid scala aan details over kenmerken.
ICS-bewuste diepe ingesloten kennis van OT-protocollen, apparaten, toepassingen en hun gedrag.
Direct inzicht in beveiligingsproblemen en bekende zero-day-bedreigingen.
Een geautomatiseerde ICS-technologie voor bedreigingsmodellering om de meest waarschijnlijke paden van gerichte ICS-aanvallen te voorspellen via eigen analyses.
De Forescout-integratie helpt bij het verkorten van de tijd die organisaties in de industriële en kritieke infrastructuur nodig hebben om cyberbedreigingen te detecteren, te onderzoeken en erop te reageren.
Gebruik Microsoft Defender voor IoT OT-apparaatintelligentie om de beveiligingscyclus te sluiten door Forescout-beleidsacties te activeren. U kunt bijvoorbeeld automatisch een waarschuwingsmail verzenden naar SOC-beheerders wanneer specifieke protocollen worden gedetecteerd of wanneer firmwaredetails veranderen.
Defender for IoT-gegevens correleren met andere Forescout eyeExtended-modules die toezicht houden op bewaking, incidentbeheer en apparaatbeheer.
De integratie van Defender for IoT met het Forescout-platform biedt gecentraliseerde zichtbaarheid, bewaking en controle voor het IoT- en OT-landschap. Deze overbrugde platforms maken geautomatiseerde zichtbaarheid van apparaten, beheer van ICS-apparaten en silowerkstromen mogelijk. De integratie biedt SOC-analisten inzicht op meerdere niveaus in OT-protocollen die zijn geïmplementeerd in industriële omgevingen. Er wordt informatie beschikbaar, zoals firmware, apparaattypen, besturingssystemen en risicoanalysescores, op basis van eigen Microsoft Defender voor IoT-technologieën.
In dit artikel leert u het volgende:
- Een toegangstoken genereren
- Het Forescout-platform configureren
- Communicatie verifiëren
- Apparaatkenmerken weergeven in Forescout
- Maak Microsoft Defender voor IoT-beleid in Forescout
Vereisten
Voordat u begint, moet u ervoor zorgen dat u aan de volgende vereisten voldoet:
Microsoft Defender voor IoT versie 2.4 of hoger
Forescout versie 8.0 of hoger
Een licentie voor de Module Forescout eyeExtend voor de Microsoft Defender voor IoT Platform.
Toegang tot een Defender for IoT OT-sensor als een Beheer gebruiker. Zie On-premises gebruikers en rollen voor OT-bewaking met Defender for IoT voor meer informatie.
Een toegangstoken genereren
Met toegangstokens hebben externe systemen toegang tot gegevens die zijn gedetecteerd door Defender for IoT. Met toegangstokens kunnen die gegevens worden gebruikt voor externe REST API's en via SSL-verbindingen. U kunt toegangstokens genereren om toegang te krijgen tot de Microsoft Defender voor IoT REST API.
Om communicatie van Defender for IoT naar Forescout te garanderen, moet u een toegangstoken genereren in Defender for IoT.
Een toegangstoken genereren:
Meld u aan bij de Defender for IoT-sensor waarop een query wordt uitgevoerd door Forescout.
Selecteer Systeeminstellingen>Integraties Toegangstokens>.
Selecteer Token genereren.
Voeg in het veld Beschrijving een korte beschrijving toe met betrekking tot het doel van het toegangstoken. Bijvoorbeeld: 'integratie met Python-script'.
Selecteer Genereren. Het token wordt vervolgens weergegeven in het dialoogvenster.
Notitie
Noteer het token op een veilige plaats. U hebt deze nodig wanneer u het Forescout-platform configureert.
Selecteer Finish.
Het Forescout-platform configureren
U kunt nu het Forescout-platform configureren om te communiceren met een Defender for IoT-sensor.
Het Forescout-platform configureren:
Zoek en installeer op het Forescout-platform de Forescout eyeExtend-module voor CyberX.
Meld u aan bij de CounterACT-console.
Selecteer Opties in het menu Extra.
Navigeer naar Modules>CyberX Platform.
Voer in het veld Serveradres het IP-adres in van de Defender for IoT-sensor die wordt opgevraagd door het Forescout-apparaat.
Voer in het veld Toegangstoken het toegangstoken in dat eerder is gegenereerd.
Selecteer Toepassen.
Sensoren wijzigen in Forescout
Om het Forescout-platform te laten communiceren met een andere sensor, moet de configuratie binnen Forescout worden gewijzigd.
Sensoren wijzigen in Forescout:
Maak een nieuw toegangstoken in de relevante Defender for IoT-sensor.
Navigeer naar Forescout Modules>CyberX Platform.
Verwijder de informatie die in beide velden wordt weergegeven.
Meld u aan bij de nieuwe Defender for IoT-sensor en genereer een nieuw toegangstoken.
Voer in het veld Serveradres het nieuwe IP-adres in van de Defender for IoT-sensor die door het Forescout-apparaat wordt opgevraagd.
Voer in het veld Toegangstoken het nieuwe toegangstoken in.
Selecteer Toepassen.
Communicatie verifiëren
Zodra de verbinding is geconfigureerd, moet u controleren of de twee platforms communiceren.
Ga als volgt te werk om te bevestigen dat de twee platforms communiceren:
Meld u aan bij de Defender for IoT-sensor.
Navigeer naar Toegangstokens voor systeeminstellingen>.
Het veld Gebruikt waarschuwt u als de verbinding tussen de sensor en het Forescout-apparaat niet werkt. Als n.v.t . wordt weergegeven, werkt de verbinding niet. Als Gebruikt wordt weergegeven, geeft dit de laatste keer aan dat een externe aanroep met dit token is ontvangen.
Apparaatkenmerken weergeven in Forescout
Door Defender for IoT te integreren met Forescout, kunt u de kenmerken van verschillende apparaten bekijken die zijn gedetecteerd door Defender for IoT in de Forescout-toepassing.
Ga als volgt te werk om de kenmerken van een apparaat weer te geven:
Meld u aan bij het Forescout-platform en navigeer vervolgens naar de inventaris van activa.
Selecteer het CyberX-platform.
Als u aanvullende informatie wilt weergeven, klikt u in de sectie Apparaatinventarishosts met de rechtermuisknop op een apparaat. Het dialoogvenster details van de host wordt geopend met aanvullende informatie.
De volgende tabel bevat alle kenmerken die zichtbaar zijn via de Forescout-toepassing:
| Kenmerk | Beschrijving |
|---|---|
| Geautoriseerd door Microsoft Defender voor IoT | Een apparaat dat in uw netwerk is gedetecteerd door Defender for IoT tijdens de netwerkleerperiode. |
| Firmware | De firmwaredetails van het apparaat. Bijvoorbeeld model- en versiedetails. |
| Naam | De naam van het apparaat. |
| Besturingssysteem | Het besturingssysteem van het apparaat. |
| Type | Het type apparaat. Bijvoorbeeld een PLC, Historicus of Engineering Station. |
| Leverancier | De leverancier van het apparaat. Bijvoorbeeld Rockwell Automation. |
| Risiconiveau | Het risiconiveau dat wordt berekend door Defender for IoT. |
| Protocollen | De protocollen die zijn gedetecteerd in het verkeer dat door het apparaat wordt gegenereerd. |
Maak Microsoft Defender voor IoT-beleid in Forescout
Forescout-beleid kan worden gebruikt voor het automatiseren van het beheer en beheer van apparaten die zijn gedetecteerd door Defender for IoT. Bijvoorbeeld:
Stuur automatisch een e-mail naar de SOC-beheerders wanneer specifieke firmwareversies worden gedetecteerd.
Voeg specifieke door Defender for IoT gedetecteerde apparaten toe aan een Forescout-groep voor verdere verwerking in incident- en beveiligingswerkstromen, bijvoorbeeld met andere SIEM-integraties.
U kunt aangepaste beleidsregels maken in Forescout met behulp van voorwaardelijke eigenschappen van Defender for IoT.
Toegang krijgen tot Defender for IoT-eigenschappen:
Navigeer naareigenschappenstructuurvan beleidsvoorwaarden>.
Vouw in de eigenschappenstructuur de map CyberX Platform uit. De volgende eigenschappen van Defender for IoT zijn beschikbaar:
- Protocollen
- Risiconiveau
- Geautoriseerd door CyberX
- Type
- Firmware
- Naam
- Besturingssysteem
- Leverancier