你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
将 Forescout 与 Microsoft Defender for IoT 集成
注意
Microsoft Defender for IoT 以前称为 CyberX。 有关 CyberX 的参考资料,请参阅 Defender for IoT。
本文将帮助你了解如何将 Forescout 与 Microsoft Defender for IoT 集成。
Microsoft Defender for IoT 提供了 ICS 和 IoT 网络安全平台。 Defender for IoT 是唯一包含 ICS 感知威胁分析和机器学习功能的平台。 Defender for IoT 提供:
有关 ICS 和设备环境的即时见解,以及有关属性的大量详细信息。
OT 协议、设备、应用程序及其行为的 ICS 感知深层嵌入知识。
有关漏洞和已知零日威胁的即时见解。
通过专有分析预测目标 ICS 攻击的最可能路径的自动化 ICS 威胁建模技术。
Forescout 集成有助于缩短工业和关键基础结构组织检测、调查和应对网络威胁所需的时间。
使用 Microsoft Defender for IoT OT 设备智能来通过触发 Forescout 策略操作关闭安全周期。 例如,可以在检测到特定协议或在固件详细信息发生更改时自动将警报电子邮件发送给 SOC 管理员。
将 Defender for IoT 信息与监管监视、事件管理和设备控制的其他 Forescout eyeExtended 模块相关联。
Defender for IoT 与 Forescout 平台的集成为 IoT 和 OT 环境提供了集中的可见性、监视和控制。 这些桥接平台实现了对 ICS 设备和孤立工作流的自动设备可见性和管理。 此集成为 SOC 分析师提供了对工业环境中部署的 OT 协议的多级可见性。 基于专用 Microsoft Defender for IOT 技术提供了有关以下方面的信息,例如固件、设备类型、操作系统和风险分析分数等。
在本文中,学习如何:
- 生成访问令牌
- 设置 Forescout 平台
- 验证通信
- 查看 Forescout 中的设备属性
- 在 Forescout 中创建 Microsoft Defender for IoT 策略
先决条件
在开始之前,请确保满足以下先决条件:
Microsoft Defender for IoT 版本 2.4 或更高版本
Forescout 版本 8.0 或更高版本
用于 Microsoft Defender for IoT 平台的 Forescout eyeExtend 模块的许可证。
以管理员用户身份访问 Defender for IoT OT 传感器。 有关详细信息,请参阅使用 Defender for IoT 进行 OT 监视的本地用户和角色。
生成访问令牌
访问令牌使外部系统能够访问 Defender for IoT 发现的数据。 访问令牌允许将这些数据用于外部 REST API 并通过 SSL 连接。 可以生成访问令牌,以便访问 Microsoft Defender for IoT REST API。
必须在 Defender for IoT 中生成一个访问令牌,以确保 Defender for IoT 与 Forescout 之间的通信。
生成访问令牌:
登录 Forescout 将查询的 Defender for IoT 传感器。
选择“系统设置”>“集成”>“访问令牌”。
选择“生成令牌”。
在“说明”字段中,添加有关访问令牌用途的简短说明。 例如:“与 python 脚本集成”。
然后选择“生成” 。 该令牌随即显示在对话框中。
注意
在安全的位置中记录此令牌。 配置 Forescout 平台时需要使用它。
选择“完成”。
设置 Forescout 平台
现可配置 Forescout 平台,使其与 Defender for IoT 传感器通信。
配置 Forescout 平台:
在 Forescout 平台上,搜索并安装适用于 CyberX 的 Forescout eyeExtend 模块。
登录 CounterACT 控制台。
从 “工具” 菜单中,选择 “选项” 。
导航到“模块”>“CyberX 平台” 。
在“服务器地址”字段中,输入 Forescout 设备将查询的 Defender for IoT 传感器的 IP 地址。
在“访问令牌”字段中,输入之前生成的访问令牌。
选择“应用”。
更改 Forescout 中的传感器
要支持 Forescout 平台与不同的传感器进行通信,必须更改 Forescout 中的配置。
更改 Forescout 中的传感器:
请在相关的 Defender for IoT 传感器中创建新的访问令牌。
导航到“Forescout 模块”>“CyberX 平台” 。
删除这两个字段中显示的信息。
登录新的 Defender for IoT 传感器,并生成新的访问令牌。
在“服务器地址”字段中,输入 Forescout 设备将查询的 Defender for IoT 传感器的新 IP 地址。
在“访问令牌”字段中,输入新的访问令牌。
选择“应用”。
验证通信
配置连接后,需要确认两个平台是否可以进行通信。
确认两个平台正在通信:
登录 Defender for IoT 传感器。
导航到“系统设置”>“访问令牌” 。
如果传感器与 Forescout 设备之间的连接无法正常工作,则“已使用”字段将发出警报。 如果显示“N/A”,则该连接无法正常工作。 如果显示“已使用”,则它指示上次接收带有此令牌的外部调用的时间。
查看 Forescout 中的设备属性
通过将 Defender for IoT 与 Forescout 集成,可以在 Forescout 应用程序中查看 Defender for IoT 检测到的不同设备的属性。
查看设备的属性:
登录到 Forescout 平台,然后导航到“资产清单”。
选择“CyberX 平台”。
要查看其他详细信息,请在“设备库存主机”部分中右键单击设备。 “主机详细信息”对话框将打开,其中包含更多信息。
下表列出了通过 Forescout 应用程序可见的所有属性:
| 属性 | 说明 |
|---|---|
| 由 Microsoft Defender for IoT 授权 | Defender for IoT 在网络学习期间从网络中检测到的设备。 |
| 固件 | 设备的固件的详细信息。 例如,模型和版本的详细信息。 |
| 名称 | 设备的名称。 |
| 操作系统 | 设备的操作系统。 |
| 类型 | 设备类型。 例如,PLC、历史数据库或工程站。 |
| 供应商 | 设备的供应商。 例如,Rockwell Automation。 |
| 风险级别 | Defender for IoT 计算出的风险级别。 |
| 协议 | 在设备生成的流量中检测到的协议。 |
在 Forescout 中创建 Microsoft Defender for IoT 策略
可以使用 Forescout 策略实现对 Defender for IoT 检测到的设备的自动化管理和控制。 例如:
在检测到特定固件版本时自动向 SOC 管理员发送电子邮件。
例如,将 Defender for IoT 检测到的特定设备添加到 Forescout 组,以便在事件和安全工作流中使用其他 SIEM 集成进行进一步处理。
可以使用 Defender for IoT 条件属性在 Forescout 中创建自定义策略。
访问 Defender for IoT 属性:
导航到“策略条件”>“属性树” 。
在“属性树”中,展开“CyberX 平台”文件夹。 其中提供了 Defender for IoT 的以下属性:
- 协议
- 风险级别
- 由 CyberX 授权
- 类型
- 固件
- 名称
- 操作系统
- Vendor