INTEGRAZIONE

Trellix

Miglioramento della visibilità sulle risorse OT IT in Nozomi Vantage endpoint gestito endpoint e ai dati sullo stato degli agenti provenienti da Trellix ePO.

Circa

Trellix

Trellix ePO è una console centralizzata per la gestione della sicurezza che consente endpoint , l’inventario dei dispositivi, l’applicazione delle politiche degli agenti e la generazione di report sullo stato di sicurezza. Integrando Trellix ePO con Nozomi Vantage, i team di sicurezza ottengono una visione consolidata delle risorse gestite OT IT e OT , importando direttamente in Vantage endpoint gestiti e i dati sullo stato di integrità degli agenti. Ciò arricchisce il registro delle risorse con dati attendibili provenienti dal piano di gestione di Trellix, accelerando le indagini sugli incidenti, riducendo i punti ciechi negli ambienti delle infrastrutture critiche e consentendo agli analisti di correlare i dati telemetrici della console di sicurezza con le osservazioni OT senza dover cambiare console.

Caratteristiche

Tipi di dati degli importatori

Vantage quanto segue da

Trellix ePO

Arricchimento dei dettagli delle risorse e creazione di nuove risorse in Vantage
Trellix ePO fornisce dati quali il nome host dei sistemi gestiti, gli indirizzi IP e MAC, il tipo e la versione del sistema operativo, l'elenco dei prodotti degli agenti, la versione degli agenti, la data e l'ora dell'ultima comunicazione e lo stato di gestione, al fine di arricchire Vantage esistenti e creare nuovi record di risorse per gli endpoint non ancora rilevati sulla OT .

Casi d'uso congiunti

Correlazione dei segnali Trellix con gli avvisi OT
Quando Nozomi Vantage un allarme di anomalia per un dispositivo all’interno di un OT , l’analista può passare direttamente alla scheda Trellix ePO dello stesso asset in Vantage verificare lo stato delle policy dell’agente, la versione del prodotto gestito e i recenti eventi di conformità, il tutto senza uscire dal flusso di lavoro Vantage . Questa correlazione tra i diversi livelli evidenzia se un’anomalia a livello di rete coincide con l’attività osservata da Trellix, riducendo il tempo necessario per confermare o escludere un incidente.
Colmare le lacune nell'inventario delle risorse tra IT e OT
I dispositivi registrati da Trellix ePO ma non ancora rilevati dai sensori Nozomi vengono automaticamente creati come nuovi record di asset in Vantage, con informazioni relative a nome host, sistema operativo, prodotti agent installati e stato di gestione ricavate dal piano di gestione di Trellix. I team OT possono verificare l’inventario unificato così ottenuto per identificare gli asset non monitorati o insufficientemente protetti nelle zone industriali e nelle infrastrutture critiche, per poi stabilire le priorità di implementazione dei sensori di conseguenza.
Verifica della copertura dell'agente endpoint sugli host OT
I dispositivi gestiti da Trellix ePO vengono integrati nell'inventario monitorato dalla rete Vantage, individuando gli endpoint attivi in rete nelle zone OT ma privi dell'agente Trellix.

Prerequisiti per l'integrazione

Vantage Nozomi Vantage attivo a cui è stato assegnato il ruolo “connector-configuration” all’account amministratore
Server Trellix ePO con un utente API registrato a cui è stata concessa l'autorizzazione di lettura sull'albero di sistema e sulle proprietà di sistema
Coerenza tra i nomi host, gli indirizzi IP o MAC delle risorse registrate in Trellix ePO e quelle Vantage, al fine di consentire una correlazione accurata delle risorse e la deduplicazione
Connettività di rete in uscita da Vantage endpoint API dello strumento di origine endpoint HTTPS (questo prerequisito è un segnaposto di implementazione e può essere modificato in base al proprio ambiente)
Connettività di rete in uscita da Vantage endpoint API dello strumento di origine endpoint HTTPS (questo prerequisito è un segnaposto di implementazione e può essere modificato in base al proprio ambiente)