Over de Forescout-integratieAbout the Forescout integration

Azure Defender voor IoT levert een ICS-en IoT Cyber beveiliging-platform dat is gebouwd door Blue team experts, met een bijhouden van een belang rijke nationale infra structuur.Azure Defender for IoT delivers an ICS and IoT cybersecurity platform built by blue team experts with a track record of defending critical national infrastructure. Defender voor IoT is het enige platform met gepatenteerde ICS-Detectie en machine learning.Defender for IoT is the only platform with patented ICS aware threat analytics and machine learning. Defender voor IoT biedt:Defender for IoT provides:

  • Direct inzicht in de Internet verbinding van het apparaat is liggend, met een uitgebreid scala aan details over kenmerken.Immediate insights about ICS the device landscape with an extensive range of details about attributes.
  • Met Internet verbinding met uitgebreide Inge sloten kennis van protocollen, apparaten, toepassingen en het gedrag ervan.ICS-aware deep embedded knowledge of OT protocols, devices, applications, and their behaviors.
  • Direct inzicht in beveiligings problemen en bedreigingen met bekende en Zero dagen.Immediate insights into vulnerabilities, and known and zero-day threats.
  • Een geautomatiseerde ICS-technologie voor het afhandelen van bedreigingen om de meest waarschijnlijke paden van gerichte ICS-aanvallen te voors pellen via eigen analyses.An automated ICS threat modeling technology to predict the most likely paths of targeted ICS attacks via proprietary analytics.

De integratie van de Defender voor IoT met het Forescout-platform biedt een nieuw niveau voor gecentraliseerde zicht baarheid, bewaking en beheer voor IoT en het landschap.The Defender for IoT integration with the Forescout platform provides a new level of centralized visibility, monitoring, and control for the IoT and OT landscape.

Met deze met brug geschakelde platforms wordt de zicht baarheid en het beheer van apparaten geautomatiseerd op voorheen onbereikbare ICS-apparaten en bewerkte workflowsThese bridged platforms enable automated device visibility and management to previously unreachable ICS devices and siloed workflows.

De integratie biedt SOC analisten inzicht in de bewaarden van de protocollen die in industriële omgevingen worden geïmplementeerd.The integration provides SOC analysts with multilevel visibility into OT protocols deployed in industrial environments. Er zijn details beschikbaar voor items zoals firmware, apparaattypen, besturings systemen en scores voor risico analyse op basis van bedrijfs eigen Azure Defender voor IoT-technologieën.Details are available for items such as firmware, device types, operating systems, and risk analysis scores based on proprietary Azure Defender for IoT technologies.

Notitie

Verwijzingen naar Cyberx verwijzen naar Azure Defender voor IoT.References to CyberX refer to Azure Defender for IoT.

ApparatenDevices

Zicht baarheid en beheer van apparatenDevice visibility and management

De inventaris van het apparaat wordt verrijkt met essentiële kenmerken die zijn gedetecteerd door het Defender voor IoT-platform.The device's inventory is enriched with critical attributes detected by the Defender for IoT platform. Dit zorgt ervoor dat u:This will ensures that you:

  • Verkrijg uitgebreide en doorlopende zicht baarheid in de lands Cape van een enkel deel venster.Gain comprehensive and continuous visibility into the OT device landscape from a single-pane-of-glass.
  • Ontvang real-time informatie over Risico's.Obtain real-time intelligence about OT risks.

Inventaris van apparaten

Apparaatgegevens

ApparaatbeheerDevice control

De Forescout-integratie helpt de tijd te verkorten die nodig is voor industriële en kritieke infrastructuur organisaties om Cyber bedreigingen te detecteren, te onderzoeken en te reageren.The Forescout integration helps reduce the time required for industrial and critical infrastructure organizations to detect, investigate, and act on cyber threats.

  • Gebruik Azure Defender voor IoT OT van het apparaat om de beveiligings cyclus te sluiten door Forescout-beleids acties te activeren.Use Azure Defender for IoT OT device intelligence to close the security cycle by triggering Forescout policy actions. U kunt bijvoorbeeld automatisch een waarschuwings bericht sturen naar SOC-beheerders wanneer er specifieke protocollen worden gedetecteerd of wanneer de details van de firmware worden gewijzigd.For example, you can automatically send alert email to SOC administrators when specific protocols are detected, or when firmware details change.

  • Correleer Defender voor IoT-informatie met andere Forescout eyeExtended -modules die toezicht houden op bewaking, incident beheer en apparaatbesturing.Correlate Defender for IoT information with other Forescout eyeExtended modules that oversee monitoring, incident management, and device control.

SysteemvereistenSystem requirements

  • Azure Defender voor IoT versie 2,4 of hogerAzure Defender for IoT version 2.4 or above
  • Forescout-versie 8,0 of hogerForescout version 8.0 or above
  • Een licentie voor de Forescout eyeExtend -module voor het Azure Defender voor IOT-platform.A license for the Forescout eyeExtend module for the Azure Defender for IoT Platform.

Meer informatie over Forescout ophalenGetting more Forescout information

Zie het Forescout Resource Centervoor meer informatie over het Forescout-platform.For more information about the Forescout platform, see the Forescout Resource Center.

Systeem installatieSystem setup

In dit artikel wordt beschreven hoe u communicatie kunt instellen tussen het Defender voor IoT-platform en het Forescout-platform.This article describes how to set up communication between the Defender for IoT platform and the Forescout platform.

Het Defender voor IoT-platform instellenSet up the Defender for IoT platform

Genereer een toegangs token in Defender voor IoT om te zorgen voor communicatie vanuit Defender voor IoT naar Forescout.To ensure communication from Defender for IoT to Forescout, generate an access token in Defender for IoT.

Met toegangs tokens kunnen externe systemen toegang krijgen tot gegevens die zijn gedetecteerd door Defender voor IoT en acties uitvoeren met die gegevens via de externe REST API, via SSL-verbindingen.Access tokens allow external systems to access data discovered by Defender for IoT and perform actions with that data using the external REST API, over SSL connections. U kunt toegangs tokens genereren om toegang te krijgen tot de Azure Defender voor IoT-REST API.You can generate access tokens in order to access the Azure Defender for IoT REST API.

Een token genereren:To generate a token:

  1. Meld u aan bij de Defender voor IoT-sensor die wordt doorzocht op Forescout.Sign in to the Defender for IoT Sensor that will be queried by Forescout.

  2. Selecteer systeem instellingen en selecteer vervolgens toegangs tokens in de sectie Algemeen .Select System Settings and then select Access Tokens from the General section. Het dialoog venster toegangs tokens wordt geopend.The Access Tokens dialog box opens. Toegangstokens

  3. Selecteer nieuw token genereren in het dialoog venster toegangs tokens .Select Generate new token from the Access Tokens dialog box.

  4. Voer een beschrijving van het token in het dialoog venster nieuw toegangs token in.Enter a token description in the New access token dialog box. Nieuw toegangs token

  5. Selecteer Next.Select Next. Het token wordt weer gegeven in het dialoog venster.The token is displayed in the dialog box. Token weer geven

    Notitie

    Registreer het token op een veilige plaats. U hebt deze nodig bij het configureren van het Forescout-platform.Record the token in a safe place. You will need it when configuring the Forescout Platform.

  6. Selecteer Finish.Select Finish.

    Toevoegen van token volt ooien

Het Forescout-platform instellenSet up the Forescout platform

U kunt het Forescout-platform instellen om te communiceren met een Defender voor IoT-sensor.You can set up the Forescout platform to communicate with a Defender for IoT sensor.

Instellen:To set up:

  1. Installeer de Forescout eyeExtend-module voor cyberx op het Forescout-platform.Install the Forescout eyeExtend module for CyberX on the Forescout platform.

  2. Meld u aan bij de bestaans console en selecteer Opties in het menu extra .Sign in to the CounterACT console and select Options from the Tools menu. Het dialoog venster Opties wordt geopend.The Options dialog box opens.

  3. Navigeer naar en selecteer de map modules .Navigate to and select the Modules folder.

  4. Selecteer in het deel venster modules cyberx-platform.In the Modules pane, select CyberX Platform. Het deel venster Defender voor IoT-platform wordt geopend.The Defender for IoT platform pane opens.

    Instellingen voor Azure Defender voor IoT-module

    Voer de volgende informatie in:Enter the following information:

    • Server adres : Voer het IP-adres in van de Defender voor IOT-sensor die wordt doorzocht op het Forescout-apparaat.Server Address - Enter the IP address of the Defender for IoT sensor that will be queried by the Forescout appliance.
    • Toegangs token : Voer het toegangs token in dat is gegenereerd voor de Defender voor IOT-sensor dat verbinding maakt met het Forescout-apparaat.Access Token - Enter the access token generated for the Defender for IoT sensor that will connect to the Forescout appliance. Zie het platform Defender voor IOT instellen voor het genereren vaneen token.To generate a token, see Set up the Defender for IoT platform.
  5. Selecteer Toepassen.Select Apply.

Als u wilt dat het Forescout-platform met een andere sensor communiceert:If you want the Forescout platform to communicate with another sensor:

  1. Maak een nieuw toegangs token in de relevante Defender voor IoT-sensor.Create a new access token in the relevant Defender for IoT sensor.

  2. In het dialoog venster Forescout modules > cyberx platform :In the Forescout Modules > CyberX Platform dialog box:

    • De weer gegeven informatie verwijderen.Delete the information displayed.

    • Voer het nieuwe IP-adres van de sensor en de nieuwe toegangs token gegevens in.Enter the new sensor IP address and the new access token information.

Communicatie verifiërenVerify communication

Nadat u Defender voor IoT en Forescout hebt geconfigureerd, opent u het dialoog venster toegangs tokens van de sensor in Defender voor IoT.After configuring Defender for IoT and Forescout, open the sensor's Access Tokens dialog box in Defender for IoT.

Als N/A wordt weer gegeven in het veld gebruikt voor deze token, werkt de verbinding tussen de sensor en het Forescout-apparaat niet.If N/A is displayed in the Used field for this token, the connection between the sensor and the Forescout appliance is not working.

Wordt gebruikt geeft aan wanneer een externe aanroep met dit token voor het laatst is ontvangen.Used indicates the last time an external call with this token was received.

Hiermee wordt gecontroleerd of het token is ontvangen

Defender voor IoT-detecties in Forescout weer gevenView Defender for IoT detections in Forescout

De kenmerken van een apparaat weer geven:To view a device's attributes:

  1. Meld u aan bij het Forescout-platform en navigeer vervolgens naar de inventaris van activa.Sign in to the Forescout platform and then navigate to the Asset Inventory.

  2. Navigeer naar het Cyber-x-platform.Navigate to the CyberX Platform. De volgende apparaatfuncties worden weer gegeven voor apparaten die zijn gedetecteerd door Defender voor IoT.The following device attributes are displayed for OT devices detected by Defender for IoT.

    ItemItem BeschrijvingDescription
    Geautoriseerd door Azure Defender voor IoTAuthorized by Azure Defender for IoT Een apparaat dat in uw netwerk is gedetecteerd door Defender voor IoT tijdens de netwerk Leer periode.A device detected on your network by Defender for IoT during the network learning period.
    FirmwareFirmware De firmware details van het apparaat.The firmware details of the device. Bijvoorbeeld model en Details van versie.For example, model, and version details.
    NaamName De naam van het apparaat.The name of the device.
    BesturingssysteemOperating System Het besturings systeem van het apparaat.The operating system of the device.
    TypeType Het type apparaat.The type of device. Bijvoorbeeld een PLC, historian of technisch station.For example, a PLC, Historian or Engineering Station.
    LeverancierVendor De leverancier van het apparaat.The vendor of the device. Bijvoorbeeld Rock well Automation.For example, Rockwell Automation.
    Risico niveauRisk level Het risico niveau dat wordt berekend door Defender voor IoT.The risk level calculated by Defender for IoT.
    ProtocollenProtocols De protocollen die zijn gedetecteerd in het verkeer dat door het apparaat is gegenereerd.The protocols detected in the traffic generated by the device.

De firmware kenmerken weer geven.

De kenmerken van de leverancier weer geven.

Meer details weer gevenViewing more details

Extra apparaatgegevens weer geven voor apparaten die door Defender voor IoT worden gestuurd.View extra device information for devices directed by Defender for IoT. Bijvoorbeeld Forescout-naleving en beleids gegevens.For example, Forescout compliance and policy information.

Als u dit wilt doen, klikt u met de rechter muisknop op een apparaat in de sectie device Inventory-hosts .To accomplish this, right-click on a device from the Device Inventory Hosts section. Het dialoog venster host Details wordt geopend met aanvullende informatie.The host details dialog box opens with additional information.

Details van host

Azure Defender voor IoT-beleid maken in ForescoutCreate Azure Defender for IoT policies in Forescout

Forescout-beleid kan worden gebruikt om het beheer en het beheer van apparaten die door Defender voor IoT worden gedetecteerd, te automatiseren.Forescout policies can be used to automate control and management of devices detected by Defender for IoT. Bijvoorbeeld:For example,

  • Automatisch de SOC-beheerders e-mailen wanneer specifieke firmware versies worden gedetecteerd.Automatically email the SOC administrators when specific firmware versions are detected.

  • Voeg specifieke Defender voor IoT-apparaten toe aan een Forescout-groep voor verdere verwerking in incident-en beveiligings werk stromen, bijvoorbeeld met andere SIEM-integraties.Add specific Defender for IoT detected devices to a Forescout group for further handling in incident and security workflows, for example with other SIEM integrations.

Maak een aangepast Forescout-beleid, met Defender voor IoT, met behulp van voorwaarde eigenschappen.Create a Forescout custom policy, with Defender for IoT using condition properties.

Om toegang te krijgen tot Defender voor IoT-eigenschappen:To access Defender for IoT properties:

  1. Ga naar de structuur eigenschappen in het dialoog venster beleids voorwaarden .Navigate to the Properties Tree from the Policy Conditions dialog box.

  2. Vouw de map cyberx platform in de structuur eigenschappen uit.Expand the CyberX Platform folder in the Properties Tree. De volgende eigenschappen van Defender voor IoT zijn beschikbaar.The Defender for IoT following properties are available.

Eigenschappen

Volgende stappenNext steps

Meer informatie over het door sturen van waarschuwings gegevens.Learn how to Forward alert information.