Forescout tümleştirmesi hakkında

IoT için Azure Defender, önemli ulusal altyapının bir izleme kaydıyla mavi ekip uzmanları tarafından oluşturulan bir ICS ve IoT siber güvenlik platformu sunar. IoT için Defender, patentli ICS kullanan tehdit analizi ve makine öğrenimi olan tek platformdur. IoT için Defender şunları sağlar:

  • Öznitelikler hakkında kapsamlı bir ayrıntı yelpazğuyla cihaz yataya yönelik BT hakkında anında Öngörüler.
  • BT protokollerine, cihazlara, uygulamalara ve bunların davranışlarına sahip, ICS 'yi algılayan kapsamlı gömülü bilgi.
  • Güvenlik açıklarına anında Öngörüler ve bilinen ve sıfır günlük tehditler.
  • Özel analizler aracılığıyla hedeflenen ICS saldırılarının en olası yollarını tahmin etmek için otomatikleştirilmiş bir ICS tehdit modelleme teknolojisi.

Forescout platformunda IoT tümleştirmesi için Defender, IoT ve OT için yeni bir merkezi görünürlük, izleme ve denetim sağlar.

Bu köprülü platformlar, daha önce erişilemeyen ICS cihazlarına ve yığılıyor iş akışlarına yönelik otomatik cihaz görünürlüğünü ve yönetimini etkinleştirir.

Tümleştirme, endüstriyel ortamlarda dağıtılan ve çok düzeyli görünürlüğe sahip SOC analistleri sağlar. IoT teknolojileri için özel Azure Defender 'ı temel alan bellenim, cihaz türleri, işletim sistemleri ve risk analizi puanları gibi öğeler için Ayrıntılar sunulmaktadır.

Not

Six 'e başvurular IoT için Azure Defender 'a başvurur.

Cihazlar

Cihaz görünürlüğü ve yönetimi

Cihazın envanteri, IoT Platformu için Defender tarafından algılanan kritik özniteliklerle uyumlu değildir. Bu, şunları sağlar:

  • Tek bölmesindeyken, OT cihazının yatay olarak kapsamlı ve sürekli görünürlük elde edin.
  • Güvenlikle ilgili gerçek zamanlı zeka riskleri elde edin.

Cihaz envanteri

Cihaz ayrıntıları

Cihaz denetimi

Forescout tümleştirmesi, endüstriyel ve kritik altyapı kuruluşların siber tehditleri algılaması, araştırması ve üzerinde işlem yapması için gereken süreyi azaltmaya yardımcı olur.

  • Forescout ilke eylemlerini tetikleyerek güvenlik döngüsünü kapatmak için IoT OT cihaz zekası için Azure Defender 'ı kullanın. Örneğin, belirli protokoller algılandığında veya bellenim ayrıntıları değiştiğinde SOC yöneticilerine otomatik olarak uyarı e-postası gönderebilirsiniz.

  • İzleme, olay yönetimi ve cihaz denetimini daha fazla olan diğer Forescout eyeExtended modüllerle IoT bilgileri için Defender ile bağıntı kurun.

Sistem Gereksinimleri

  • IoT için Azure Defender sürüm 2,4 veya üstü
  • Forescout sürüm 8,0 veya üzeri
  • IoT Platformu için Azure Defender için Forescout eyeExtend modülüne yönelik bir lisans.

Daha fazla Forescout bilgisi alma

Forescout platformu hakkında daha fazla bilgi için bkz. Forescout Resource Center.

Sistem Kurulumu

Bu makalede, IoT Platformu için Defender ve Forescout platformu arasındaki iletişimin nasıl ayarlanacağı açıklanır.

IoT Platformu için Defender 'ı ayarlama

IoT için Defender 'ın Forescout ile iletişimini sağlamak için, bir Defender 'da IoT için bir erişim belirteci oluşturun.

Erişim belirteçleri, dış sistemlerin IoT için keşfedilen verilere erişmesine ve bu verilerle, SSL bağlantıları üzerinden dış REST API kullanarak eylemler gerçekleştirmesine olanak sağlar. IoT REST API için Azure Defender 'a erişmek üzere erişim belirteçleri oluşturabilirsiniz.

Belirteç oluşturmak için:

  1. Forescout tarafından sorgulanacak IoT algılayıcısı için Defender 'da oturum açın.

  2. Sistem ayarları ' nı seçin ve ardından genel bölümünden erişim belirteçleri ' ni seçin. Erişim belirteçleri iletişim kutusu açılır. Erişim belirteçleri

  3. Erişim belirteçleri iletişim kutusundan Yeni belirteç oluştur ' u seçin.

  4. Yeni erişim belirteci iletişim kutusunda bir belirteç açıklaması girin. Yeni erişim belirteci

  5. İleri’yi seçin. Belirteç iletişim kutusunda görüntülenir. Belirteci görüntüle

    Not

    Belirteci güvenli bir yere kaydedin. Forescout platformunu yapılandırırken buna ihtiyacınız olacak.

  6. Son'u seçin.

    Belirteç ekleme sonu

Forescout platformunu ayarlama

IoT algılayıcısı için bir Defender ile iletişim kurmak üzere Forescout platformunu ayarlayabilirsiniz.

Ayarlamak için:

  1. Forescout platformunda Six Için Forescout eyeExtend modülünü yükler.

  2. Counteryasası konsolunda oturum açın ve Araçlar menüsünde Seçenekler ' i seçin. Seçenekler iletişim kutusu açılır.

  3. Öğesine gidin ve modüller klasörünü seçin.

  4. Modüller bölmesinde, cyberx platformu' nu seçin. IoT için Defender platformu bölmesi açılır.

    IoT modülü için Azure Defender ayarları

    Aşağıdaki bilgileri girin:

    • Sunucu adresi -Forescout gereci tarafından sorgulanacak IoT algılayıcısı IÇIN Defender IP adresini girin.
    • Erişim belirteci -Forescout gerecine bağlanacak olan, IoT algılayıcısı için Defender için oluşturulan erişim belirtecini girin. Belirteç oluşturmak için bkz. IoT Platformu Için Defender 'ı ayarlama.
  5. Uygula’yı seçin.

Forescout platformunun başka bir sensörle iletişim kurmasını istiyorsanız:

  1. IoT algılayıcısı için ilgili Defender 'da yeni bir erişim belirteci oluşturun.

  2. Forescout modules > Six platformu iletişim kutusunda:

    • Görünen bilgileri silin.

    • Yeni algılayıcı IP adresini ve yeni erişim belirteci bilgilerini girin.

İletişimi doğrula

IoT ve Forescout için Defender 'ı yapılandırdıktan sonra, IoT için Defender 'daki algılayıcı erişim belirteçleri iletişim kutusunu açın.

Bu belirteç için kullanılan alanda N/A görüntüleniyorsa, algılayıcı ve forescout gereci arasındaki bağlantı çalışmıyor demektir.

Kullanılan bu belirtece sahip bir dış çağrının son kez alındığını gösterir.

Belirtecin alındığını doğrular

Forescout 'da IoT algılamaları için Defender 'ı görüntüleme

Bir cihazın özniteliklerini görüntülemek için:

  1. Forescout platformunda oturum açın ve ardından varlık envanterine gidin.

  2. Six platformuna gidin. Aşağıdaki cihaz öznitelikleri,, IoT için Defender tarafından algılanan OT cihazları için görüntülenir.

    Öğe Açıklama
    IoT için Azure Defender tarafından yetkilendirildi Ağ Öğrenme döneminde IoT için Defender tarafından ağınızda algılanan bir cihaz.
    Üretici yazılımı Cihazın üretici yazılımı ayrıntıları. Örneğin, model ve sürüm ayrıntıları.
    Name Cihazın adı.
    Operating System Cihazın işletim sistemi.
    Tür Cihaz türü. Örneğin, bir PLC, Histora veya mühendislik Istasyonu.
    Satıcı Cihazın satıcısı. Örneğin, Rockwell Otomasyonu.
    Risk düzeyi IoT için Defender tarafından hesaplanan risk düzeyi.
    Protokoller Cihaz tarafından oluşturulan trafikte algılanan protokoller.

Üretici yazılımı özniteliklerini görüntüleyin.

Satıcıların özniteliklerini görüntüleyin.

Daha fazla ayrıntı görüntüleme

IoT için Defender tarafından yönlendirilen cihazların ek cihaz bilgilerini görüntüleyin. Örneğin, Forescout uyumluluğu ve ilke bilgileri.

Bunu gerçekleştirmek için cihaz envanteri Konakları bölümünden bir cihaza sağ tıklayın. Ana bilgisayar ayrıntıları iletişim kutusu ek bilgilerle açılır.

Ana bilgisayar ayrıntıları

Forescout 'da IoT ilkeleri için Azure Defender oluşturma

Forescout ilkeleri,, IoT için Defender tarafından algılanan cihazların denetim ve yönetimini otomatik hale getirmek için kullanılabilir. Örneğin,

  • Belirli bellenim sürümleri algılandığında, SOC yöneticilerini otomatik olarak e-posta ile gönderin.

  • Olay ve güvenlik iş akışlarında daha fazla işleme için, diğer SıEM tümleştirmelerine sahip olan IoT algılanan cihazlar için bir Forescout grubuna özel Defender ekleyin.

Koşul özelliklerini kullanarak IoT için Defender ile bir Forescout özel ilkesi oluşturun.

IoT özelliklerine yönelik Defender 'a erişmek için:

  1. Ilke koşulları Iletişim kutusundan Özellikler ağacına gidin.

  2. Özellikler ağacında Six platform klasörünü genişletin. IoT için Defender aşağıdaki özellikleri kullanabilir.

Özellikler

Sonraki adımlar

Uyarı bilgilerini iletmeyiöğrenin.