Эта статья объясняет сервис безопасности IoT/OT от Cato Networks и как использовать инвентаризацию устройств в приложении Cato Management Application (CMA) для обнаружения устройств в вашей сети. Затем вы можете мониторить устройства и создавать правила межсетевого экрана для управления их доступом.
Безопасность IoT/OT — это сервис Cato, который позволяет обнаруживать, мониторить и управлять устройствами, подключенными к вашей сети. Движок инвентаризации устройств анализирует входящий и исходящий трафик для обнаружения, идентификации и классификации подключенных устройств. Cato Cloud автоматически идентифицирует устройства, используя пассивный метод обнаружения без необходимости специальной настройки или агентов.
Движок инвентаризации устройств использует машинное обучение и искусственный интеллект для идентификации каждого устройства, предоставляя полный инвентарь устройств и подробные данные для каждого из них.
Вы можете настроить интеграции с приложениями сторонних разработчиков, чтобы автоматически включать собираемые ими данные на страницу Инвентаризация устройств. Для получения дополнительной информации и списка поддерживаемых приложений см. Коннекторы инвентаризации устройств.
Для страниц и функций инвентаризации устройств требуется отдельная лицензия. Для получения информации о приобретении лицензии, пожалуйста, свяжитесь с вашим представителем Cato.
Администратор безопасности получает задание на проверку уровня безопасности в конференц-залах сайта для лондонского филиала. Администратор переходит на страницу Инвентаризация устройств, фильтрует по Поле - Тип устройства, Оператор - Входит в, Значение - Видеоконференция и видит все устройства видеоконференции на Лондонском сайте. Администратор обнаруживает, что устройства для видеоконференций от нескольких разных производителей, и это не соответствует политике безопасности организации. Команда IT уже имеет лицензию на безопасность IoT и создает новые правила в политиках межсетевых экранов WAN и Интернета с настройками Атрибуты устройства, которые разрешают только два утвержденных производителя для устройств видеоконференций. Некоторые из устройств видеоконференций на сайте Лондона перестанут работать, так как они заблокированы политиками межсетевого экрана, пока не будут заменены новыми устройствами от одобренных производителей.
Во время еженедельного собрания команды SecOps они используют приборную панель устройств для обзора количества типов и категорий новых устройств, подключенных к сети.
Затем они просматривают виджеты в разделе Безопасность, чтобы отследить любое аномальное поведение, обнаруженное движками безопасности. Когда они находят что-то подозрительное, они используют варианты предфильтрации соответствующих страниц CMA:
- Просмотр в инвентаре устройств используется для просмотра подробностей и данных об устройстве
- Просмотр событий используется для получения более подробной информации о трафике и соединениях
Страница Инвентаризация устройств постоянно обновляется новыми устройствами и данными на основе движка инвентаризации устройств. Процесс идентификации может занять до 12 часов, чтобы данные отображались на соответствующих страницах (например, Инвентаризация устройств и Приборная панель устройств). Движок категоризирует столько данных о устройстве, сколько может уверенно идентифицировать. Это означает, что не все поля данных могут быть доступны для конкретного устройства.
Поскольку идентификация устройства основана на моделях поведения устройства, возможно, данные и поля для конкретного устройства могут быть некорректными.
Для получения дополнительной информации см. Использование страницы инвентаризации устройств.
Приборная панель устройств — это централизованный интерфейс, предоставляющий возможность мониторинга подключенных устройств в вашей сети. Приборная панель фокусируется на двух задачах: Обнаружение и Безопасность.
Раздел Обнаружение содержит несколько виджетов, которые визуально отображают общее количество устройств по различным критериям, таким как операционная система и производитель.
Раздел Безопасность помогает выявить потенциальные риски безопасности, связанные с устройствами в вашей сети. Например, вы можете просмотреть события для устройств, которые были заблокированы службой IPS или межсетевым экраном Интернета.
Вы можете провести дальнейший анализ, выбрав элемент в виджете и отобразив отфильтрованные данные на странице Инвентаризация устройств или События.
Для получения дополнительной информации см. Панель устройств.
Вы можете определить политики файервола WAN, Интернет и ЛВС, которые указывают, какие типы устройств разрешены или заблокированы для доступа к определенным сетевым ресурсам.
Используйте условие Атрибуты устройства для определения правил для устройств, обнаруженных в сети движком инвентаризации устройств. Вы можете использовать следующие атрибуты в правиле межсетевого экрана: Категория, Тип, Модель, ОС, Производитель, Версия ОС.
Для получения дополнительной информации смотрите Добавление условий устройства в правила брандмауэра.
Это атрибуты, которые идентифицируются и управляются в рамках инвентаризации устройств:
- Тип
- Производитель
- Модель
- ОС
- Категория
- Версия ОС
- Имя устройства
- MAC-адрес
- IP-адрес устройства
Связанные ресурсы
Для получения дополнительной информации о Безопасности IoT/OT см. эти блоги Cato:
- Использование логики MAC-адресов для классификации IoT
- Расширенный поведенческий анализ IoT и OT устройств для сбора IoC
Известные ограничения
- Правила брандмауэра с настройками Атрибуты устройства применяются только для устройств, чей MAC-адрес был обнаружен. Cato рекомендует в качестве лучшей практики использовать службу DHCP Cato для обеспечения обнаружения MAC-адресов.
- Для известных ограничений, связанных с устройствами на странице Устройства, см. Использование страницы инвентаризации устройств.
0 комментариев
Войдите в службу, чтобы оставить комментарий.