Informacje o integracji ForescoutAbout the Forescout integration

Usługa Azure Defender for IoT oferuje usługę ICS i IoT cyberbezpieczeństwa platformę opracowaną przez ekspertów dla zespołów z niebieską grupą.Azure Defender for IoT delivers an ICS and IoT cybersecurity platform built by blue team experts with a track record of defending critical national infrastructure. Usługa Defender for IoT to jedyna platforma z opatentowaną analizą zagrożeń i uczeniem maszynowym.Defender for IoT is the only platform with patented ICS aware threat analytics and machine learning. Usługa Defender for IoT oferuje następujące informacje:Defender for IoT provides:

  • Natychmiastowy wgląd w szczegółowe informacje o tym, jak usługa ICS, ma szeroki zakres szczegółowych informacji o atrybutach.Immediate insights about ICS the device landscape with an extensive range of details about attributes.
  • Oparta na usłudze ICS Szczegółowa baza wiedzy o protokołach, urządzeniach, aplikacjach i ich zachowaniach.ICS-aware deep embedded knowledge of OT protocols, devices, applications, and their behaviors.
  • Natychmiastowe uzyskiwanie szczegółowych informacji na temat luk w zabezpieczeniach oraz znanych i zerowych zagrożeń.Immediate insights into vulnerabilities, and known and zero-day threats.
  • Automatyczna Technologia modelowania zagrożeń dla usługi ICS do przewidywania najbardziej najprawdopodobniej ścieżek skierowanych do nich ataków usługi ICS za pośrednictwem własnej analizy.An automated ICS threat modeling technology to predict the most likely paths of targeted ICS attacks via proprietary analytics.

Integracja usługi Defender for IoT z platformą Forescout zapewnia nowy poziom scentralizowanej widoczności, monitorowania i kontroli na potrzeby IoT i niekrajobrazu.The Defender for IoT integration with the Forescout platform provides a new level of centralized visibility, monitoring, and control for the IoT and OT landscape.

Te platformy połączone umożliwiają automatyczne wgląd i zarządzanie urządzeniami do wcześniej nieosiągalnych urządzeń ICS i przepływów pracy z silosami.These bridged platforms enable automated device visibility and management to previously unreachable ICS devices and siloed workflows.

Integracja zapewnia analitykom SOC z wielopoziomowym wglądem w protokoły wdrożone w środowiskach przemysłowych.The integration provides SOC analysts with multilevel visibility into OT protocols deployed in industrial environments. Szczegóły są dostępne dla elementów, takich jak oprogramowanie układowe, typy urządzeń, systemy operacyjne i oceny ryzyka na podstawie własnościowej usługi Azure Defender dla technologii IoT.Details are available for items such as firmware, device types, operating systems, and risk analysis scores based on proprietary Azure Defender for IoT technologies.

Uwaga

Odwołania do CyberX odnoszą się do usługi Azure Defender dla IoT.References to CyberX refer to Azure Defender for IoT.

UrządzeniaDevices

Widoczność i zarządzanie urządzeniamiDevice visibility and management

Spis urządzenia jest wzbogacany o atrybuty krytyczne wykryte przez usługę Defender for IoT.The device's inventory is enriched with critical attributes detected by the Defender for IoT platform. Dzięki temu można:This will ensures that you:

  • Zyskaj kompleksowy i ciągły wgląd w urządzenia z jednym okienkiem Glass.Gain comprehensive and continuous visibility into the OT device landscape from a single-pane-of-glass.
  • Uzyskiwanie analizy w czasie rzeczywistym informacji o zagrożeniach.Obtain real-time intelligence about OT risks.

Spis urządzeń

Szczegóły urządzenia

Kontrola urządzeniaDevice control

Integracja z usługą Forescout pozwala skrócić czas wymagany dla organizacji infrastruktury przemysłowej i krytycznej do wykrywania i reagowania na zagrożenia cybernetycznymi.The Forescout integration helps reduce the time required for industrial and critical infrastructure organizations to detect, investigate, and act on cyber threats.

  • Aby zamknąć cykl zabezpieczeń, należy użyć usługi Azure Defender do analizy urządzeń IoT, co powoduje wyzwolenie akcji zasad Forescout.Use Azure Defender for IoT OT device intelligence to close the security cycle by triggering Forescout policy actions. Na przykład możesz automatycznie wysyłać wiadomości e-mail z alertami do administratorów SOC po wykryciu określonych protokołów lub zmianie szczegółów oprogramowania układowego.For example, you can automatically send alert email to SOC administrators when specific protocols are detected, or when firmware details change.

  • Skorelować usługę Defender dla informacji IoT z innymi modułami EyeExtended Forescout , które nadzorują monitorowanie, zarządzanie zdarzeniami i sterowanie urządzeniami.Correlate Defender for IoT information with other Forescout eyeExtended modules that oversee monitoring, incident management, and device control.

Wymagania systemoweSystem requirements

  • Usługa Azure Defender dla IoT w wersji 2,4 lub nowszejAzure Defender for IoT version 2.4 or above
  • Forescout w wersji 8,0 lub nowszejForescout version 8.0 or above
  • Licencja na moduł Forescout eyeExtend dla platformy Azure Defender for IoT.A license for the Forescout eyeExtend module for the Azure Defender for IoT Platform.

Więcej informacji ForescoutGetting more Forescout information

Aby uzyskać więcej informacji na temat platformy Forescout, zobacz Centrum zasobów Forescout.For more information about the Forescout platform, see the Forescout Resource Center.

Konfiguracja systemuSystem setup

W tym artykule opisano sposób konfigurowania komunikacji między platformą Defender for IoT i platformą Forescout.This article describes how to set up communication between the Defender for IoT platform and the Forescout platform.

Konfigurowanie usługi Defender for IoTSet up the Defender for IoT platform

Aby zapewnić komunikację z usługi Defender for IoT z usługą Forescout, wygeneruj token dostępu w usłudze Defender for IoT.To ensure communication from Defender for IoT to Forescout, generate an access token in Defender for IoT.

Tokeny dostępu umożliwiają zewnętrznym systemom dostęp do danych wykrytych przez usługę Defender for IoT i wykonywanie akcji z tymi danymi przy użyciu zewnętrznego interfejsu API REST za pośrednictwem połączeń SSL.Access tokens allow external systems to access data discovered by Defender for IoT and perform actions with that data using the external REST API, over SSL connections. Można generować tokeny dostępu w celu uzyskania dostępu do usługi Azure Defender dla interfejsu API REST.You can generate access tokens in order to access the Azure Defender for IoT REST API.

Aby wygenerować token:To generate a token:

  1. Zaloguj się do usługi Defender for IoT sensor, który będzie pytany przez Forescout.Sign in to the Defender for IoT Sensor that will be queried by Forescout.

  2. Wybierz pozycję Ustawienia systemowe , a następnie wybierz pozycję tokeny dostępu w sekcji Ogólne .Select System Settings and then select Access Tokens from the General section. Zostanie otwarte okno dialogowe tokeny dostępu .The Access Tokens dialog box opens. Tokeny dostępu

  3. W oknie dialogowym tokeny dostępu wybierz pozycję Generuj nowy token .Select Generate new token from the Access Tokens dialog box.

  4. Wprowadź opis tokenu w oknie dialogowym nowy token dostępu .Enter a token description in the New access token dialog box. Nowy token dostępu

  5. Wybierz opcję Dalej.Select Next. Token jest wyświetlany w oknie dialogowym.The token is displayed in the dialog box. Wyświetl token

    Uwaga

    Zapisz token w bezpiecznym miejscu. Będzie on potrzebny podczas konfigurowania platformy Forescout.Record the token in a safe place. You will need it when configuring the Forescout Platform.

  6. Wybierz pozycję Zakończ.Select Finish.

    Zakończ Dodawanie tokenu

Skonfiguruj platformę ForescoutSet up the Forescout platform

Można skonfigurować platformę Forescout do komunikacji z usługą Defender dla czujnika IoT.You can set up the Forescout platform to communicate with a Defender for IoT sensor.

Aby skonfigurować:To set up:

  1. Zainstaluj moduł Forescout eyeExtend dla CyberX na platformie Forescout.Install the Forescout eyeExtend module for CyberX on the Forescout platform.

  2. Zaloguj się do konsoli przeciwdziałania i wybierz Opcje z menu Narzędzia .Sign in to the CounterACT console and select Options from the Tools menu. Zostanie otwarte okno dialogowe Opcje .The Options dialog box opens.

  3. Przejdź do folderu modułów i wybierz go.Navigate to and select the Modules folder.

  4. W okienku moduły wybierz pozycję CyberX platform.In the Modules pane, select CyberX Platform. Zostanie otwarte okienko usługi Defender for IoT.The Defender for IoT platform pane opens.

    Azure Defender dla ustawień modułu IoT

    Wprowadź następujące informacje:Enter the following information:

    • Adres serwera — wprowadź adres IP usługi Defender for IoT sensor, który będzie pytany przez urządzenie Forescout.Server Address - Enter the IP address of the Defender for IoT sensor that will be queried by the Forescout appliance.
    • Token dostępu — wprowadź token dostępu wygenerowany dla czujnika usługi Defender for IoT, który będzie łączył się z urządzeniem Forescout.Access Token - Enter the access token generated for the Defender for IoT sensor that will connect to the Forescout appliance. Aby wygenerować token, zobacz Konfigurowanie usługi Defender for IoT.To generate a token, see Set up the Defender for IoT platform.
  5. Wybierz przycisk Zastosuj.Select Apply.

Jeśli chcesz, aby platforma Forescout mogła komunikować się z innym czujnikiem:If you want the Forescout platform to communicate with another sensor:

  1. Utwórz nowy token dostępu w odpowiedniej usłudze Defender dla czujnika IoT.Create a new access token in the relevant Defender for IoT sensor.

  2. W oknie dialogowym Platforma Forescout modułów > CyberX :In the Forescout Modules > CyberX Platform dialog box:

    • Usuń wyświetlane informacje.Delete the information displayed.

    • Wprowadź nowy adres IP czujnika i informacje o nowym tokenie dostępu.Enter the new sensor IP address and the new access token information.

Weryfikowanie komunikacjiVerify communication

Po skonfigurowaniu usługi Defender for IoT i Forescout Otwórz okno dialogowe tokeny dostępu czujnika w usłudze Defender for IoT.After configuring Defender for IoT and Forescout, open the sensor's Access Tokens dialog box in Defender for IoT.

Jeśli w używanym polu dla tego tokenu zostanie wyświetlona wartość N/A , połączenie między czujnikiem i urządzeniem Forescout nie działa.If N/A is displayed in the Used field for this token, the connection between the sensor and the Forescout appliance is not working.

Używany wskazuje czas ostatniego wywołania zewnętrznego z tym tokenem.Used indicates the last time an external call with this token was received.

Sprawdza, czy token został odebrany

Wyświetlanie usługi Defender na potrzeby wykrywania IoT w programie ForescoutView Defender for IoT detections in Forescout

Aby wyświetlić atrybuty urządzenia:To view a device's attributes:

  1. Zaloguj się do platformy Forescout, a następnie przejdź do spisu zasobów.Sign in to the Forescout platform and then navigate to the Asset Inventory.

  2. Przejdź do platformy CyberX.Navigate to the CyberX Platform. Następujące atrybuty urządzenia są wyświetlane dla urządzeń niewykrywanych przez usługę Defender for IoT.The following device attributes are displayed for OT devices detected by Defender for IoT.

    ElementItem OpisDescription
    Autoryzowane przez usługę Azure Defender dla IoTAuthorized by Azure Defender for IoT Urządzenie wykryte w sieci przez usługę Defender for IoT w okresie uczenia sieci.A device detected on your network by Defender for IoT during the network learning period.
    Oprogramowanie układoweFirmware Szczegóły oprogramowania układowego urządzenia.The firmware details of the device. Na przykład, model i szczegóły wersji.For example, model, and version details.
    NazwaName Nazwa urządzenia.The name of the device.
    System operacyjnyOperating System System operacyjny urządzenia.The operating system of the device.
    TypType Typ urządzenia.The type of device. Na przykład stacja PLC, Historian lub inżynieryjna.For example, a PLC, Historian or Engineering Station.
    DostawcaVendor Dostawca urządzenia.The vendor of the device. Na przykład Automatyzacja Rockwell.For example, Rockwell Automation.
    Poziom ryzykaRisk level Poziom ryzyka obliczony przez usługę Defender for IoT.The risk level calculated by Defender for IoT.
    ProtokołyProtocols Protokoły wykryte w ruchu generowanym przez urządzenie.The protocols detected in the traffic generated by the device.

Wyświetlanie atrybutów oprogramowania układowego.

Wyświetlanie atrybutów dostawców.

Wyświetlanie większej ilości szczegółówViewing more details

Wyświetl dodatkowe informacje o urządzeniu dla urządzeń kierowanych przez usługę Defender for IoT.View extra device information for devices directed by Defender for IoT. Na przykład Forescout zgodność i informacje dotyczące zasad.For example, Forescout compliance and policy information.

Aby to osiągnąć, kliknij prawym przyciskiem myszy urządzenie w sekcji hosty spisu urządzeń .To accomplish this, right-click on a device from the Device Inventory Hosts section. Zostanie otwarte okno dialogowe Szczegóły hosta z dodatkowymi informacjami.The host details dialog box opens with additional information.

Szczegóły hosta

Tworzenie zasad usługi Azure Defender dla IoT w ForescoutCreate Azure Defender for IoT policies in Forescout

Zasady Forescoutymi mogą służyć do automatyzowania kontroli i zarządzania urządzeniami wykrytymi przez usługę Defender for IoT.Forescout policies can be used to automate control and management of devices detected by Defender for IoT. Na przykładFor example,

  • Po wykryciu określonych wersji oprogramowania układowego automatycznie wysyła pocztą e-mail administratorów SOC.Automatically email the SOC administrators when specific firmware versions are detected.

  • Dodaj konkretną usługę Defender dla urządzeń z wykrytymi usługami IoT do grupy Forescout, aby obsłużyć dalsze obsługiwanie przepływów pracy zdarzeń i zabezpieczeń, na przykład z innymi integracją SIEM.Add specific Defender for IoT detected devices to a Forescout group for further handling in incident and security workflows, for example with other SIEM integrations.

Utwórz zasady niestandardowe Forescout z użyciem usługi Defender for IoT przy użyciu właściwości warunku.Create a Forescout custom policy, with Defender for IoT using condition properties.

Aby uzyskać dostęp do właściwości usługi Defender dla usługi IoT:To access Defender for IoT properties:

  1. W oknie dialogowym warunki zasad przejdź do drzewa właściwości .Navigate to the Properties Tree from the Policy Conditions dialog box.

  2. Rozwiń folder platform CyberX w drzewie Właściwości.Expand the CyberX Platform folder in the Properties Tree. Dostępne są następujące właściwości usługi Defender for IoT.The Defender for IoT following properties are available.

Właściwości

Następne krokiNext steps

Dowiedz się, jak przekazywać informacje o alertach.Learn how to Forward alert information.