Интеграция Forescout с Microsoft Defender для Интернета вещей
Примечание
Microsoft Defender для Интернета вещей был официально известен как CyberX. Ссылки на CyberX относятся к Defender для Интернета вещей.
Эта статья поможет вам узнать, как интегрировать Forescout с Microsoft Defender для Интернета вещей.
Microsoft Defender для Интернета вещей предоставляет платформу кибербезопасности ICS и Интернета вещей. Defender для Интернета вещей — это единственная платформа с аналитикой угроз и машинным обучением с поддержкой ICS. Defender для Интернета вещей открывает следующие возможности:
Мгновенные аналитические сведения об ICS и ландшафте устройств с обширным спектром сведений об атрибутах.
Глубокая аналитика протоколов ОТ, устройств, приложений и их поведения, с учетом специфики АСУ.
Немедленное представление об уязвимостях и известных угрозах нулевого дня.
Автоматизированная технология моделирования угроз АСУ, способная за счет проприетарных аналитических инструментов предугадать наиболее вероятные пути нацеленных атак на АСУ.
Интеграция с Forescout позволяет сократить время, необходимое организациям, обслуживающим промышленные и критически важные инфраструктуры, для обнаружения, изучения кибератак и противодействия этим угрозам.
Используйте Microsoft Defender для Интернета вещей, чтобы замкнуть цикл безопасности, активируя действия политики Forescout. Например, вы можете автоматически отправлять оповещения по электронной почте администраторам SOC при обнаружении определенных протоколов или изменении сведений о встроенном ПО.
Сопоставляйте сведения Defender для Интернета вещей с данными других модулей Forescout eyeExtended, которые отслеживают мониторинг, управление инцидентами и управление устройствами.
Интеграция Defender для Интернета вещей с платформой Forescout обеспечивает централизованную видимость, мониторинг и управление ландшафтом Интернета вещей и OT. Эти мостовые платформы обеспечивают автоматическую видимость устройств, управление устройствами ICS и изолированные рабочие процессы. Интеграция предоставляет аналитикам SOC многоуровневую видимость протоколов OT, развернутых в промышленных средах. Становятся доступны такие сведения, как встроенное ПО, типы устройств, операционные системы и оценки анализа рисков на основе собственных Microsoft Defender для технологий Интернета вещей.
Вы узнаете, как выполнять следующие задачи:
- Создание маркера доступа
- Настройка платформы Forescout
- Проверка связи
- Просмотр атрибутов устройства в Forescout
- Создание политик Microsoft Defender для Интернета вещей в Forescout.
Предварительные требования
Прежде чем приступить к работе, убедитесь, что у вас есть следующие необходимые компоненты:
Microsoft Defender для Интернета вещей версии 2.4 или более поздней.
Forescout версии 8.0 или более поздней
Лицензия на модуль Forescout eyeExtended для платформы Microsoft Defender для Интернета вещей.
Доступ к датчику OT Defender для Интернета вещей в качестве Администратора. Дополнительные сведения см. в статье Локальные пользователи и роли для мониторинга OT с помощью Defender для Интернета вещей.
Создание маркера доступа
Маркеры доступа позволяют внешним системам получать доступ к данным, обнаруженным Defender для Интернета вещей. Маркеры доступа позволяют использовать эти данные для внешних интерфейсов REST API и через SSL-соединения. Вы можете создавать маркеры доступа для получения доступа к REST API Microsoft Defender для Интернета вещей.
Чтобы обеспечить взаимодействие Defender для Интернета вещей с Forescout, нужно создать маркер доступа в Defender для Интернета вещей.
Создание маркера доступа
Войдите в датчик Defender для Интернета вещей, который будет запрашиваться Forescout.
Выберите Параметры системы>Интеграция>Маркеры доступа.
Щелкните Создать маркер.
В поле Описание добавьте краткое описание назначения маркера доступа. Например, "интеграция со скриптом Python".
Выберите Создать. Маркер отображается в диалоговом окне.
Примечание
Сохраните маркер в безопасном месте. Он понадобится при настройке платформы Forescout.
Нажмите кнопку Готово.
Настройка платформы Forescout
Вы можете настроить платформу Forescout для взаимодействия с датчиком Defender для Интернета вещей.
Настройка платформы Forescout
На платформе Forescout найдите и установите модуль Forescout eyeExtend для CyberX.
Войдите в консоль CounterACT.
В меню Сервис выберите Параметры.
Перейдите в раздел Модули>CyberX Platform.
В поле "Адрес сервера" введите IP-адрес датчика Defender для Интернета вещей, который будет запрашиваться устройством Forescout.
В поле "Маркер доступа" введите маркер доступа, созданный ранее.
Нажмите кнопку Применить.
Изменение датчиков в Forescout
Чтобы платформа Forescout взаимодействовала с другим датчиком, необходимо изменить конфигурацию в Forescout.
Изменение датчиков в Forescout:
Создайте новый маркер доступа в соответствующем датчике Defender для Интернета вещей.
Перейдите в раздел Модули Forescout>CyberX Platform.
Удалите сведения, отображаемые в обоих полях.
Войдите на новый датчик Defender для Интернета вещей и Создайте новый маркер доступа.
В поле "Адрес сервера" введите новый IP-адрес датчика Defender для Интернета вещей, который будет запрашиваться устройством Forescout.
В поле "Маркер доступа" введите новый маркер доступа.
Нажмите кнопку Применить.
Проверка связи
После настройки подключения необходимо убедиться, что две платформы взаимодействуют.
Для подтверждения взаимодействия между двумя платформами, выполните следующие действия.
Войдите на датчик Defender для Интернета вещей.
Перейдите к разделу Системные параметры>Маркеры доступа.
В поле Использовано вы получите оповещение, если подключение между датчиком и (модуль) Forescout не работает. Если отображается Н /Д , подключение не работает. Если отображается значение Используется , это указывает время последнего получения внешнего вызова с этим маркером.
Просмотр атрибутов устройства в Forescout
Интеграция Defender для Интернета вещей с Forescout позволяет просматривать атрибуты различных устройств, обнаруженные Defender для Интернета вещей, в приложении Forescout.
Чтобы просмотреть атрибуты устройства, выполните следующие действия.
Войдите на платформу Forescout и перейдите в раздел Инвентаризация активов.
Выберите CyberX Platform.
Чтобы просмотреть дополнительные сведения, в разделе Узлы инвентаризации устройств щелкните устройство правой кнопкой мыши. Откроется диалоговое окно сведений об узле с дополнительной информацией.
В следующей таблице перечислены все атрибуты, видимые в приложении Forescout.
| attribute | Описание |
|---|---|
| Авторизовано Microsoft Defender для Интернета вещей | Устройство обнаружено Defender для Интернета вещей в вашей сети в течение периода обучения сети. |
| Встроенное ПО | Сведения о встроенном ПО устройства. Например, сведения о модели и версии. |
| имя; | Название устройства. |
| Операционная система | Операционная система устройства. |
| Тип | Тип устройства. Например, ПЛК, Историк или Инженерная станция. |
| поставщик | Поставщик устройства. Например, Rockwell Automation. |
| Уровень риска | Уровень риска, рассчитанный Defender для Интернета вещей. |
| Протоколы | Протоколы, обнаруженные в трафике, созданном устройством. |
Создание политик Microsoft Defender для Интернета вещей в Forescout.
Политики Forescout можно использовать для автоматизации контроля и управления устройствами, обнаруженными Defender для Интернета вещей. Пример:
Автоматически отправлять сообщения по электронной почте администраторам центра информационной безопасности при обнаружении определенных версий встроенного ПО.
Добавлять конкретного Defender для Интернета вещей для обнаружения устройств интернета вещей в группу Forescout для дальнейшей обработки в рабочих процессах инцидентов и безопасности, например с другими интеграциями управления информационной безопасностью и событиями безопасности.
Вы можете создавать настраиваемые политики в Forescout с помощью условных свойств Defender для Интернета вещей.
Чтобы открыть свойства Defender для Интернета вещей, выполните следующие действия.
Перейдите в раздел Условия политики>Дерево свойств.
В дереве свойств разверните папку CyberX Platform . В Defender для Интернета вещей доступны следующие свойства:
- Протоколы
- Уровень риска
- Авторизовано CyberX
- Тип
- Firmware (Встроенное ПО)
- Имя
- Операционная система
- Vendor