Cet article explique le service de sécurité IoT/OT de Cato Networks et comment utiliser l'Inventaire des appareils dans l'application de gestion Cato (CMA) pour découvrir les appareils sur votre réseau. Ensuite, vous pouvez surveiller les appareils et créer des règles de pare-feu pour gérer leur contrôle d'accès.
La sécurité IoT/OT est le service de Cato que vous pouvez utiliser pour découvrir, surveiller et gérer les appareils connectés à votre réseau. Le moteur d'Inventaire des appareils analyse le trafic entrant et sortant pour détecter, identifier et classer les appareils connectés. Le Cato Cloud identifie automatiquement les appareils en utilisant une méthode passive de détection sans configuration spéciale ni agents requis.
Le moteur d'Inventaire des appareils utilise l'apprentissage automatique et l'IA pour identifier chaque appareil, vous fournissant un inventaire complet des appareils et des données détaillées pour chaque appareil.
Vous pouvez configurer des intégrations avec des applications tierces pour inclure automatiquement leurs données collectées dans la page Inventaire des appareils. Pour plus d'informations et une liste des applications prises en charge, voir Connecteurs d'inventaire des appareils.
Une licence séparée d'Inventaire des appareils est requise pour les pages et fonctionnalités d'Inventaire des appareils. Pour plus d'informations sur l'achat d'une licence, veuillez contacter votre représentant Cato.
Un administrateur de sécurité reçoit la tâche d'examiner la posture de sécurité des salles de réunion du site pour le bureau de la succursale de Londres. L'admin va à la page Inventaire des appareils, filtre pour le Champ - Type d'appareil, Opérateur - Dans, Valeur - Vidéoconférence et voit tous les appareils de vidéoconférence dans le site de Londres. L'administrateur se rend compte qu'il y a des appareils de visioconférence de plusieurs fabricants différents, ce qui ne respecte pas la politique de sécurité de l'organisation. L'équipe informatique a déjà une licence de sécurité IoT et crée de nouvelles règles dans les politiques de pare-feu WAN et Internet avec des Paramètres d'Attributs de l'appareil qui n'autorisent que les deux fabricants approuvés pour les appareils de vidéoconférence. Certains appareils de visioconférence du site de Londres ne fonctionneront plus car ils sont bloqués par les politiques de pare-feu jusqu'à ce qu'ils puissent être remplacés par de nouveaux appareils des fabricants approuvés.
Lors de la réunion hebdomadaire de l'équipe SecOps, ils utilisent le tableau de bord des appareils pour examiner le nombre de nouveaux types et catégories d'appareils connectés au réseau.
Ensuite, ils examinent les widgets dans la section Sécurité pour détecter tout comportement anormal détecté par les moteurs de sécurité. Lorsqu'ils trouvent quelque chose de suspect, ils utilisent des options pour pré-filtrer les pages CMA pertinentes :
- Voir dans l'inventaire des appareils est utilisé pour suivre les détails et les données de l'appareil
- Voir les événements est utilisé pour obtenir plus de données sur le trafic et les connexions
La page Inventaire des appareils est continuellement mise à jour avec de nouveaux appareils et données basées sur le moteur d'Inventaire des appareils. Il peut prendre jusqu'à 12 heures pour terminer le processus d'identification et pour que les données soient affichées sur les pages pertinentes (telles que Inventaire des appareils et Tableau de bord des appareils). Le moteur catégorise autant de données sur l'appareil qu'il peut identifier en toute confiance. Cela signifie que tous les champs de données peuvent ne pas être disponibles pour un appareil spécifique.
Étant donné que l'identification de l'appareil est basée sur les modèles de comportement de l'appareil, il est possible que les données et les champs pour un appareil spécifique soient incorrects.
Pour plus d'informations, voir Utilisation de la page d'inventaire des appareils.
Le Tableau de bord des appareils est une interface centralisée qui offre une visibilité pour surveiller les appareils connectés à votre réseau. Le tableau de bord se concentre sur deux tâches, Découvrir maintenant et Sécurité.
La section Découvrir maintenant contient plusieurs widgets qui affichent visuellement le nombre total d'appareils selon divers critères, tels que le système d'exploitation et le fabricant.
La section Sécurité aide à identifier les risques potentiels de sécurité associés aux appareils sur votre réseau. Par exemple, vous pouvez examiner les événements pour les appareils qui ont été bloqués par le service IPS ou le pare-feu Internet.
Vous pouvez approfondir pour une analyse plus poussée en sélectionnant un élément dans le widget, et afficher les données filtrées sur la page Inventaire des appareils ou Événement.
Pour plus d'informations, voir Utilisation du tableau de bord des appareils.
Vous pouvez définir des politiques de pare-feu WAN, Internet et LAN qui spécifient quels types d'appareils sont autorisés ou bloqués pour accéder à certaines ressources réseau.
Utilisez la condition Attributs d'appareil pour définir des règles pour les appareils qui ont été détectés sur le réseau par le moteur d'Inventaire des appareils. Vous pouvez utiliser les attributs suivants dans une règle de pare-feu : Catégorie, Type, Modèle, Système d'exploitation, Fabricant, Version du système d'exploitation.
Pour plus d'informations, voir Ajouter des conditions de périphérique aux règles de pare-feu.
Ce sont les attributs qui sont identifiés et gérés dans le cadre de l'Inventaire des appareils :
- Type
- Fabricant
- Modèle
- Système d'exploitation
- Catégorie
- Version du système d'exploitation
- Nom de l'appareil
- Adresse MAC
- IP de l'appareil
Ressources associées
Pour plus d'informations sur la sécurité IoT/OT, voir ces articles de blog de Cato :
- Exploiter la logique d'adresse MAC pour la classification des IoT
- Analyse comportementale avancée des appareils IoT et OT pour la collecte d'IoC
Limitations connues
- Les règles de pare-feu avec paramètres Attributs de l'appareil sont appliquées uniquement pour les appareils dont l'adresse MAC a été détectée. Cato recommande, en tant que meilleure pratique, d'utiliser le service DHCP de Cato pour aider à détecter les adresses MAC.
- Pour connaître les limitations connues liées aux appareils apparaissant sur la page Appareils, voir Utilisation de la page d'inventaire des appareils.
0 commentaire
Vous devez vous connecter pour laisser un commentaire.