Сведения об интеграции с Forescout

Azure Defender для Интернета вещей предоставляет платформу кибербезопасности ICS и IoT, разработанную экспертами по нарушениям кибербезопасности, имеющими опыт защиты критически важной национальной инфраструктуры. Defender для Интернета вещей — единственная платформа с запатентованной аналитикой угроз и машинным обучением с поддержкой ICS. Defender для Интернета вещей обеспечивает следующие возможности.

  • Оперативное предоставление аналитический сведений об ICS и среде подключенных устройств с подробными сведениями об атрибутах.
  • Глубокая аналитика протоколов ОТ, устройств, приложений и их поведения с учетом специфики ICS.
  • Оперативное предоставление данных об уязвимостях и известных угрозах нулевого дня.
  • Технология автоматизированного моделирования угроз ICS, способная за счет собственной аналитики прогнозировать наиболее вероятные пути атак, нацеленных на ICS.

Интеграция Defender для Интернета вещей с платформой Forescout обеспечивает новый уровень централизованной видимости, мониторинга и контроля для Интернета вещей и системной среды ОТ.

Взаимосвязь этих платформ позволяет автоматизировать контроль устройств и управление, расширив охват на ранее недостижимые для этих задач устройства ICS и обособленные рабочие процессы.

Интеграция предоставляет аналитикам SOC многоуровневую видимость протоколов OT, развернутых в промышленных средах. Доступны подробные сведения о таких элементах, как встроенное ПО, типы устройств, операционные системы и оценки анализа рисков на основе собственного Azure Defender для Интернета вещей.

Примечание

В настоящем документе для Azure Defender для Интернета вещей также применяется название CyberX.

Устройства

Управление и контроль устройств

Инвентаризация устройства дополнена критически важными атрибутами, обнаруживаемыми платформой Defender для Интернета вещей. Это гарантирует вам:

  • исчерпывающий и непрерывный обзор ландшафта устройств OT с помощью единого окна;
  • сбор аналитических сведений о связанных с ОТ рисках в реальном времени.

Инвентарь устройств

Сведения об устройстве

Управление устройствами

Интеграция с Forescout позволяет сократить время, необходимое организациям, обслуживающим промышленные и критически важные инфраструктуры, для обнаружения, изучения кибератак и противодействия этим угрозам.

  • Используйте Azure Defender для Интернета вещей, чтобы замкнуть цикл безопасности, активируя действия политики Forescout. Например, вы можете автоматически отправлять оповещения по электронной почте администраторам центра информационной безопасности при обнаружении конкретных протоколов или при изменении сведений о встроенном ПО.

  • Сопоставляйте сведения Defender для Интернета вещей с данными других модулей Forescout eyeExtended, которые отслеживают мониторинг, управление инцидентами и управление устройствами.

Требования к системе

  • Azure Defender для Интернета вещей версии 2.4 или более поздней
  • Forescout версии 8.0 или более поздней
  • Лицензия на модуль Forescout eyeExtended для платформы Azure Defender для Интернета вещей.

Дополнительные сведения о Forescout

Дополнительные сведения о платформе Forescout см. в центре ресурсов Forescout.

Настройка системы

В этой статье описывается, как настроить взаимодействие между платформой Defender для Интернета вещей и платформой Forescout.

Настройка платформы Defender для Интернета вещей

Чтобы обеспечить взаимодействие Defender для Интернета вещей с Forescout, создайте маркер доступа в Defender для Интернета вещей.

Маркеры доступа позволяют внешним системам получать доступ к данным, обнаруженным Defender для Интернета вещей, и выполнять с этими данными действия с помощью внешнего REST API по SSL-соединениям. Вы можете создавать маркеры доступа для получения доступа к REST API Azure Defender для Интернета вещей.

Чтобы создать маркер, выполните следующие действия.

  1. Войдите в датчик Defender для Интернета вещей, который будет запрашиваться Forescout.

  2. Выберите Параметры системы, а затем в разделе Общие выберите Маркеры доступа. Откроется диалоговое окно Маркеры доступа. Маркеры доступа в Azure Active Directory

  3. Выберите Создать маркер из диалогового окна Маркеры доступа.

  4. Введите описание маркера в диалоговом окне Создание маркера доступа. Создание маркера доступа

  5. Выберите Далее. Маркер отображается в диалоговом окне. Просмотр маркера

    Примечание

    Запишите маркер и сохраните в надежном месте. Он понадобится при настройке платформы Forescout.

  6. Нажмите кнопку Готово.

    Завершение добавления маркера

Настройка платформы Forescout

Вы можете настроить платформу Forescout для взаимодействия с датчиком Defender для Интернета вещей.

Настройка

  1. Установите модуль Forescout eyeExtend для CyberX на платформе Forescout.

  2. Войдите в консоль CounterACT и выберите Параметры в меню Инструменты. Откроется диалоговое окно Параметры.

  3. Перейдите к папке Модули и выберите ее.

  4. В области Модули выберите CyberX Platform. Откроется область платформы Defender для Интернета вещей.

    Параметры модуля Azure Defender для Интернета вещей

    Введите следующие сведения:

    • Адрес сервера. Введите IP-адрес датчика Defender для Интернета вещей, который будет запрашиваться устройством Forescout.
    • Маркер доступа. Введите маркер доступа, созданный для датчика Defender для Интернета вещей, который будет подключаться к устройству Forescout. Сведения о создании маркера см. в разделе Настройка платформы Defender для Интернета вещей.
  5. Нажмите кнопку Применить.

Если вы хотите, чтобы платформа Forescout взаимодействовала с другим датчиком, выполните следующие действия.

  1. Создайте новый маркер доступа в соответствующем датчике Defender для Интернета вещей.

  2. В диалоговом окне платформы Forescout Modules > CyberX Platform

    • Удалите отображаемые сведения.

    • Введите новый IP-адрес датчика и сведения о новом маркере доступа.

Проверьте связь

После настройки Defender для Интернета вещей и Forescout откройте диалоговое окно Access Tokens (маркеры доступа) датчика в защитнике для интернета вещей.

Если в поле Использовано для этого маркера отображается значение Недоступно, соединение между датчиком и устройством Forescout не работает.

В столбце Использовано указывается время, когда был получен последний внешний вызов с этим маркером.

Проверка получения маркера

Просмотр обнаружений Defender для Интернета вещей в Forescout

Чтобы просмотреть атрибуты устройства, выполните следующие действия.

  1. Войдите на платформу Forescout и перейдите в раздел Инвентаризация активов.

  2. Перейдите на платформу CyberX. Для устройств OT, обнаруженных Defender для Интернета вещей, отображаются следующие атрибуты.

    Элемент Описание
    Авторизовано Azure Defender для Интернета вещей Устройство обнаружено Defender для Интернета вещей в вашей сети в течение периода обучения сети.
    Firmware (Встроенное ПО) Сведения о встроенном ПО устройства. Например, модель и версия.
    Имя Название устройства.
    Операционная система Операционная система устройства.
    Тип Тип устройства. Например, ПЛК, сервер архивных данных или инженерная станция.
    Vendor Поставщик устройства. Например, Rockwell Automation.
    Уровень риска Уровень риска, рассчитанный Defender для Интернета вещей.
    Протоколы Протоколы, обнаруженные в трафике, созданном устройством.

Просмотр атрибутов встроенного ПО.

Просмотр атрибутов поставщика.

Просмотр дополнительных сведений

Просматривайте дополнительные сведения об устройствах, управляемых Defender для Интернета вещей. Например, сведения о политике и соответствии Forescout.

Для этого щелкните устройство правой кнопкой мыши в разделе Узлы инвентаризации устройств. Откроется диалоговое окно сведений об узле с дополнительной информацией.

Сведения об узле

Создание политик Azure Defender для Интернета вещей в Forescout

Политики Forescout можно использовать для автоматизации контроля и управления устройствами, обнаруженными Defender для Интернета вещей. Например,

  • Автоматически отправлять сообщения по электронной почте администраторам центра информационной безопасности при обнаружении определенных версий встроенного ПО.

  • Добавлять конкретного Defender для Интернета вещей для обнаружения устройств интернета вещей в группу Forescout для дальнейшей обработки в рабочих процессах инцидентов и безопасности, например с другими интеграциями управления информационной безопасностью и событиями безопасности.

Создавать настраиваемую политику Forescout с Defender для Интернета вещей с помощью свойств условия.

Чтобы открыть свойства Defender для Интернета вещей, выполните следующие действия.

  1. Перейдите к дереву свойств из диалогового окна Условия политики.

  2. Разверните папку CyberX Platform в дереве свойств. Здесь вы можете работать со свойствами Defender для Интернета вещей.

Свойства

Дальнейшие действия

Узнайте, как переадресовывать сведения об оповещениях.