Om Forescout-integreringAbout the Forescout integration

Azure Defender för IoT levererar en ICS-och IoT cybersäkerhet-plattform som skapats av blå grupp experter med en spårnings post för den försvarande viktiga nationella infrastrukturen.Azure Defender for IoT delivers an ICS and IoT cybersecurity platform built by blue team experts with a track record of defending critical national infrastructure. Defender för IoT är den enda plattformen med patenterad ICS-medveten hot analys och maskin inlärning.Defender for IoT is the only platform with patented ICS aware threat analytics and machine learning. Defender för IoT tillhandahåller:Defender for IoT provides:

  • Omedelbar insikter om ICS är enhets landskapet och innehåller en mängd information om attribut.Immediate insights about ICS the device landscape with an extensive range of details about attributes.
  • ICS-medvetna djup inbäddad kunskap om protokoll, enheter, program och deras beteenden.ICS-aware deep embedded knowledge of OT protocols, devices, applications, and their behaviors.
  • Omedelbara insikter om sårbarheter och kända hot och noll dagar.Immediate insights into vulnerabilities, and known and zero-day threats.
  • En automatiserad teknik för att utforma hot modellering för att förutse de mest sannolika vägarna till riktade ICS-attacker via patentskyddad analys.An automated ICS threat modeling technology to predict the most likely paths of targeted ICS attacks via proprietary analytics.

Med Defender for IoT-integrering med Forescout-plattformen får du en ny nivå av centraliserad synlighet, övervakning och kontroll för IoT och landskap.The Defender for IoT integration with the Forescout platform provides a new level of centralized visibility, monitoring, and control for the IoT and OT landscape.

Dessa bryggade plattformar möjliggör automatisk synlighet och hantering av enheter till tidigare otillgängliga ICS-enheter och silode arbets flöden.These bridged platforms enable automated device visibility and management to previously unreachable ICS devices and siloed workflows.

Integrationen tillhandahåller SOC-analytiker med detaljerad insyn i andra protokoll som distribueras i industriella miljöer.The integration provides SOC analysts with multilevel visibility into OT protocols deployed in industrial environments. Information finns tillgänglig för objekt som inbyggd program vara, enhets typer, operativ system och risk analys resultat baserat på patentskyddade Azure Defender för IoT-tekniker.Details are available for items such as firmware, device types, operating systems, and risk analysis scores based on proprietary Azure Defender for IoT technologies.

Anteckning

Referenser till CyberX hänvisar till Azure Defender för IoT.References to CyberX refer to Azure Defender for IoT.

EnheterDevices

Synlighet och hantering av enheterDevice visibility and management

Enhetens lager berikas med kritiska attribut som identifieras av Defender för IoT-plattformen.The device's inventory is enriched with critical attributes detected by the Defender for IoT platform. Det innebär att du:This will ensures that you:

  • Få heltäckande och kontinuerlig insyn i landskaps enhetens landskap från ett enda fönster i glaset.Gain comprehensive and continuous visibility into the OT device landscape from a single-pane-of-glass.
  • Få information i real tid om andra risker.Obtain real-time intelligence about OT risks.

Enhets inventering

Information om enhet

EnhetskontrollDevice control

Forescout-integreringen bidrar till att minska tiden som krävs för organisationer för industriella och kritiska infrastrukturer för att identifiera, undersöka och agera på cyberhot-hot.The Forescout integration helps reduce the time required for industrial and critical infrastructure organizations to detect, investigate, and act on cyber threats.

  • Använd Azure Defender för IoT-enhets information för att stänga säkerhets cykeln genom att utlösa Forescout princip åtgärder.Use Azure Defender for IoT OT device intelligence to close the security cycle by triggering Forescout policy actions. Du kan till exempel automatiskt skicka e-postaviseringar till SOC-administratörer när vissa protokoll identifieras eller när information om inbyggd program vara ändras.For example, you can automatically send alert email to SOC administrators when specific protocols are detected, or when firmware details change.

  • Korrelera Defender för IoT-information med andra Forescout eyeExtended -moduler som övervakar övervakning, incident hantering och enhets kontroll.Correlate Defender for IoT information with other Forescout eyeExtended modules that oversee monitoring, incident management, and device control.

SystemkravSystem requirements

  • Azure Defender för IoT version 2,4 eller senareAzure Defender for IoT version 2.4 or above
  • Forescout version 8,0 eller senareForescout version 8.0 or above
  • En licens för Forescout eyeExtend -modulen för Azure Defender för IoT-plattformen.A license for the Forescout eyeExtend module for the Azure Defender for IoT Platform.

Få mer Forescout-informationGetting more Forescout information

Mer information om Forescout-plattformen finns i Forescout Resource Center.For more information about the Forescout platform, see the Forescout Resource Center.

SysteminstallationSystem setup

Den här artikeln beskriver hur du konfigurerar kommunikation mellan Defender för IoT-plattformen och Forescout-plattformen.This article describes how to set up communication between the Defender for IoT platform and the Forescout platform.

Konfigurera Defender för IoT-plattformenSet up the Defender for IoT platform

För att säkerställa kommunikation från Defender för IoT till Forescout, genererar du en åtkomsttoken i Defender för IoT.To ensure communication from Defender for IoT to Forescout, generate an access token in Defender for IoT.

Med åtkomsttoken kan externa system komma åt data som identifieras av Defender för IoT och utföra åtgärder med dessa data med hjälp av den externa REST API över SSL-anslutningar.Access tokens allow external systems to access data discovered by Defender for IoT and perform actions with that data using the external REST API, over SSL connections. Du kan generera åtkomsttoken för att komma åt Azure Defender för IoT REST API.You can generate access tokens in order to access the Azure Defender for IoT REST API.

Så här genererar du en token:To generate a token:

  1. Logga in på den Defender for IoT-sensor som ska frågas av Forescout.Sign in to the Defender for IoT Sensor that will be queried by Forescout.

  2. Välj Systeminställningar och välj sedan åtkomsttoken i avsnittet Allmänt .Select System Settings and then select Access Tokens from the General section. Dialog rutan åtkomsttoken öppnas.The Access Tokens dialog box opens. Åtkomsttokens

  3. Välj Skapa ny token i dialog rutan åtkomsttoken.Select Generate new token from the Access Tokens dialog box.

  4. Ange en beskrivning av token i dialog rutan ny åtkomsttoken .Enter a token description in the New access token dialog box. Ny åtkomsttoken

  5. Välj Nästa.Select Next. Token visas i dialog rutan.The token is displayed in the dialog box. Visa token

    Anteckning

    Registrera token på en säker plats. Du behöver den när du konfigurerar Forescout-plattformen.Record the token in a safe place. You will need it when configuring the Forescout Platform.

  6. Välj Slutför.Select Finish.

    Slutför tillägg av token

Konfigurera Forescout-plattformenSet up the Forescout platform

Du kan konfigurera Forescout-plattformen för att kommunicera med en Defender för IoT-sensor.You can set up the Forescout platform to communicate with a Defender for IoT sensor.

Konfigurera:To set up:

  1. Installera Forescout eyeExtend-modulen för CyberX på Forescout-plattformen.Install the Forescout eyeExtend module for CyberX on the Forescout platform.

  2. Logga in på den motverkande konsolen och välj alternativverktyg -menyn.Sign in to the CounterACT console and select Options from the Tools menu. Dialog rutan alternativ öppnas.The Options dialog box opens.

  3. Navigera till och välj mappen moduler .Navigate to and select the Modules folder.

  4. I fönstret moduler väljer du CyberX-plattform.In the Modules pane, select CyberX Platform. Fönstret Defender för IoT-plattform öppnas.The Defender for IoT platform pane opens.

    Inställningar för Azure Defender för IoT-modulen

    Ange följande information:Enter the following information:

    • Server adress – ange IP-adressen för den Defender for IoT-sensor som ska frågas av Forescout-enheten.Server Address - Enter the IP address of the Defender for IoT sensor that will be queried by the Forescout appliance.
    • Åtkomsttoken – ange den åtkomsttoken som skapats för den Defender för IoT-sensor som ska ansluta till Forescout-enheten.Access Token - Enter the access token generated for the Defender for IoT sensor that will connect to the Forescout appliance. Information om hur du skapar en token finns i Konfigurera Defender för IoT-plattformen.To generate a token, see Set up the Defender for IoT platform.
  5. Välj Använd.Select Apply.

Om du vill att Forescout-plattformen ska kommunicera med en annan sensor:If you want the Forescout platform to communicate with another sensor:

  1. Skapa en ny åtkomsttoken i relevant Defender för IoT-sensor.Create a new access token in the relevant Defender for IoT sensor.

  2. I dialog rutan Forescout modules > CyberX Platform :In the Forescout Modules > CyberX Platform dialog box:

    • Ta bort den information som visas.Delete the information displayed.

    • Ange den nya sensor-IP-adressen och den nya informationen om åtkomsttoken.Enter the new sensor IP address and the new access token information.

Verifiera kommunikationVerify communication

När du har konfigurerat Defender för IoT och Forescout öppnar du dialog rutan för sensorns åtkomsttoken i Defender för IoT.After configuring Defender for IoT and Forescout, open the sensor's Access Tokens dialog box in Defender for IoT.

Om N/A visas i fältet används för denna token fungerar inte anslutningen mellan sensorn och Forescout-enheten.If N/A is displayed in the Used field for this token, the connection between the sensor and the Forescout appliance is not working.

Används anger sista gången ett externt anrop med denna token togs emot.Used indicates the last time an external call with this token was received.

Verifierar att token har tagits emot

Visa Defender för IoT-identifieringar i ForescoutView Defender for IoT detections in Forescout

Så här visar du en enhets attribut:To view a device's attributes:

  1. Logga in på Forescout-plattformen och navigera sedan till till gångs lagret.Sign in to the Forescout platform and then navigate to the Asset Inventory.

  2. Navigera till CyberX-plattformen.Navigate to the CyberX Platform. Följande enhets attribut visas för enhets Visa enheter som identifieras av Defender för IoT.The following device attributes are displayed for OT devices detected by Defender for IoT.

    ObjektItem BeskrivningDescription
    Auktoriserad av Azure Defender för IoTAuthorized by Azure Defender for IoT En enhet som har identifierats i nätverket av Defender för IoT under nätverks inlärnings perioden.A device detected on your network by Defender for IoT during the network learning period.
    Inbyggd programvaraFirmware Enhetens information om inbyggd program vara.The firmware details of the device. Till exempel modell och versions information.For example, model, and version details.
    NameName Namnet på enheten.The name of the device.
    OperativsystemOperating System Enhetens operativ system.The operating system of the device.
    TypType Typ av enhet.The type of device. Till exempel en PLC-, historian-eller ingenjörs Station.For example, a PLC, Historian or Engineering Station.
    LeverantörVendor Enhetens tillverkare.The vendor of the device. Till exempel Rockwell Automation.For example, Rockwell Automation.
    Risk nivåRisk level Risk nivån beräknad av Defender för IoT.The risk level calculated by Defender for IoT.
    ProtokollProtocols De protokoll som identifierades i trafiken som genereras av enheten.The protocols detected in the traffic generated by the device.

Visa attributen för inbyggd program vara.

Visa attribut för leverantörer.

Visa mer informationViewing more details

Visa extra enhets information för enheter som dirigeras av Defender för IoT.View extra device information for devices directed by Defender for IoT. Till exempel Forescout efterlevnad och princip information.For example, Forescout compliance and policy information.

För att åstadkomma detta högerklickar du på en enhet från avsnittet enhets inventerings värdar .To accomplish this, right-click on a device from the Device Inventory Hosts section. Dialog rutan värd information öppnas med ytterligare information.The host details dialog box opens with additional information.

Värd information

Skapa Azure Defender för IoT-principer i ForescoutCreate Azure Defender for IoT policies in Forescout

Forescout-principer kan användas för att automatisera kontroll och hantering av enheter som identifieras av Defender för IoT.Forescout policies can be used to automate control and management of devices detected by Defender for IoT. Exempel:For example,

  • E-posta SOC-administratörer automatiskt när vissa versioner av den inbyggda program varan identifieras.Automatically email the SOC administrators when specific firmware versions are detected.

  • Lägg till vissa Defender för IoT identifierade enheter i en Forescout-grupp för ytterligare hantering i arbets flöden för incidenter och säkerhet, till exempel med andra SIEM-integrationer.Add specific Defender for IoT detected devices to a Forescout group for further handling in incident and security workflows, for example with other SIEM integrations.

Skapa en anpassad princip för Forescout med Defender för IoT med villkors egenskaper.Create a Forescout custom policy, with Defender for IoT using condition properties.

För att komma åt Defender för IoT-egenskaper:To access Defender for IoT properties:

  1. Navigera till egenskaps trädet från dialog rutan princip villkor .Navigate to the Properties Tree from the Policy Conditions dialog box.

  2. Expandera mappen CyberX Platform i egenskaps trädet.Expand the CyberX Platform folder in the Properties Tree. Det finns följande egenskaper för Defender for IoT.The Defender for IoT following properties are available.

Egenskaper

Nästa stegNext steps

Lär dig hur du vidarebefordrar aviserings information.Learn how to Forward alert information.