مراقبة تهديدات OT في SOCs للمؤسسة
نظراً لأن الصناعات الأكثر أهمية للأعمال تحول أنظمتها التشغيلية إلى بنى أساسية لتكنولوجيا المعلومات الرقمية، فإن فرق مركز عمليات الأمن (SOC) وكبار مسؤولي أمن المعلومات (CISOs) مسؤولون بشكل متزايد عن التهديدات من شبكات OT.
جنباً إلى جنب مع المسؤوليات الجديدة، تتعامل فرق SOC مع التحديات الجديدة، بما في ذلك:
نقص خبرة ومعرفة OT ضمن فرق SOC الحالية فيما يتعلق بتنبيهات OT والمعدات الصناعية والبروتوكولات وسلوك الشبكة. غالباً ما يُترجم هذا إلى فهم غامض أو مصغر لحوادث التقنيات التشغيلية (OT) وتأثيرها على الأعمال.
اتصالات وعمليات منعزل أو غير فعالة بين مؤسسات OT وSOC.
التكنولوجيا والأدوات المحدودة، مثل عدم الرؤية أو المعالجة الأمنية التلقائية لشبكات OT. تحتاج إلى تقييم المعلومات وربطها عبر مصادر البيانات لشبكات OT، وقد تكون عمليات التكامل مع حلول SOC الحالية مكلفة.
ومع ذلك، بدون بيانات OT، والسياق والتكامل مع أدوات SOC الحالية وسير العمل، قد تتم معالجة أمان OT والتهديدات التشغيلية بشكل غير صحيح، أو حتى لا يلاحظها.
دمج Defender for IoT وMicrosoft Azure Sentinel
Microsoft Sentinel هي خدمة سحابية قابلة للتطوير للاستجابة التلقائية لتنسيق الأمان (SOAR) لإدارة أحداث معلومات الأمان (SIEM). يمكن لفرق SOC استخدام التكامل بين Microsoft Defender for IoT وMicrosoft Sentinel لجمع البيانات عبر الشبكات واكتشاف التهديدات والتحقيق فيها والاستجابة للحوادث.
في Microsoft Sentinel، يقوم موصل بيانات Defender for IoT والحل بإخراج محتوى الأمان الجاهز لفرق SOC، مما يساعدهم على عرض تنبيهات أمان OT وتحليلها والاستجابة لها وفهم الحوادث التي تم إنشاؤها في محتويات التهديد التنظيمي الأوسع.
قم بتثبيت موصل بيانات Defender for IoT وحده لدفق تنبيهات شبكة OT إلى Microsoft Sentinel. ثم قم أيضا بتثبيت حل Microsoft Defender for IoT للقيمة الإضافية لقواعد التحليلات الخاصة ب IoT/OT والمصنفات ودلائل مبادئ SOAR، وكذلك تعيينات الحوادث إلى MITRE ATT&CK لتقنيات ICS.
يساعدك دمج Defender for IoT مع Microsoft Sentinel أيضا على استيعاب المزيد من البيانات من عمليات تكامل شركاء Microsoft Sentinel الآخرين. لمزيد من المعلومات، راجع عمليات التكامل مع Microsoft وخدمات الشركاء.
إشعار
قد تتحمل بعض ميزات Microsoft Sentinel رسوما. لمزيد من المعلومات، راجع تخطيط التكاليف وفهم أسعار Microsoft Sentinel والفوترة.
الكشف والاستجابة المتكاملة
يوضح الجدول التالي كيف يمكن لكل من فريق OT، من جانب Defender for IoT، وفريق SOC، على جانب Microsoft Azure Sentinel، اكتشاف التهديدات والاستجابة لها بسرعة عبر المخطط الزمني للهجوم بأكمله.
| Microsoft Sentinel | الخطوة | Defender لـ IoT |
|---|---|---|
| تم تشغيل تنبيه التقنيات التشغيلية (OT) | يتم تشغيل تنبيهات OT عالية الثقة، والمدعومة من Defender لمجموعة أبحاث أمان إنترنت الأشياء القسم 52، استناداً إلى البيانات التي يتم إدخالها إلى Defender for IoT. | |
| تفتح قواعد Analytics الحوادث تلقائياً فقط لحالات الاستخدام ذات الصلة، وتجنب إجهاد تنبيه OT | تم إنشاء حادثة وقت إضافي | |
| تحدد فرق SOC تأثير الأعمال، بما في ذلك بيانات حول الموقع والخط والأصول المعرضة للخطر ومالكي OT | رسم خرائط تأثير حوادث العمليات التشغيلية | |
| تقوم فرق SOC بنقل الحادث إلى الوضع نشط والبدء في التحقيق باستخدام اتصالات الشبكة والأحداث والمصنفات وصفحة كيان جهاز OT | التحقيق في حادث OT | يتم نقل التنبيهات إلى الوضع نشط، وتقوم فرق OT بالتحقيق في استخدام بيانات PCAP والتقارير التفصيلية وتفاصيل الجهاز الأخرى |
| تستجيب فرق SOC بمفكرات ومفكرات OT | الاستجابة لحادث التقنيات التشغيلية (OT) | تقوم فرق OT إما بإيقاف التنبيه أو تعلمه في المرة القادمة، حسب الحاجة |
| بعد تخفيف التهديد، تغلق فرق مركز العمليات الخاصة الحادث | إغل اق حادث تقنيات تشغيلية (OT) | بعد تخفيف التهديد، تغلق فرق OT التنبيه |
مزامنة حالة التنبيه
تتم مزامنة تغييرات حالة التنبيه من Microsoft Sentinel إلى Defender for IoT فقط، وليس من Defender for IoT إلى Microsoft Sentinel.
إذا قمت بتكامل Defender for IoT مع Microsoft Sentinel، نوصي بإدارة حالات التنبيه الخاصة بك مع الحوادث ذات الصلة في Microsoft Sentinel.
أحداث Microsoft Sentinel ل Defender ل IoT
بعد تكوين موصل بيانات Defender for IoT وتدفق بيانات تنبيه IoT/OT إلى Microsoft Sentinel، استخدم إحدى الطرق التالية لإنشاء حوادث استنادا إلى هذه التنبيهات:
| الطريقة | الوصف |
|---|---|
| استخدام قاعدة موصل البيانات الافتراضية | استخدم الإعداد الافتراضي، إنشاء حوادث استنادا إلى جميع التنبيهات التي تم إنشاؤها في قاعدة تحليلات Microsoft Defender for IOT المتوفرة مع موصل البيانات. تنشئ هذه القاعدة حدثا منفصلا في Microsoft Sentinel لكل تنبيه يتم دفقه من Defender ل IoT. |
| استخدام قواعد الحل الجاهزة | قم بتمكين بعض قواعد التحليلات الجاهزة أو كلها المتوفرة مع حل Microsoft Defender for IoT. تساعد قواعد التحليلات هذه على تقليل تعب التنبيه من خلال إنشاء حوادث في حالات محددة فقط. على سبيل المثال، قد تختار إنشاء حوادث لمحاولات تسجيل الدخول المفرطة، ولكن لإجراء عمليات فحص متعددة تم اكتشافها في الشبكة. |
| إنشاء قواعد مخصصة | إنشاء قواعد تحليلات مخصصة لإنشاء الحوادث استنادا إلى احتياجاتك المحددة فقط. يمكنك استخدام قواعد التحليلات الجاهزة كنقطة بداية، أو إنشاء قواعد من البداية. أضف عامل التصفية التالي لمنع الحوادث المكررة لنفس معرف التنبيه: | where TimeGenerated <= ProcessingEndTime + 60m |
بغض النظر عن الطريقة التي تختارها لإنشاء تنبيهات، يجب إنشاء حدث واحد فقط لكل معرف تنبيه Defender ل IoT.
مصنفات Microsoft Sentinel ل Defender ل IoT
لتصور بيانات Defender for IoT ومراقبتها، استخدم المصنفات المنشورة في مساحة عمل Microsoft Sentinel كجزء من حل Microsoft Defender for IoT .
توفر مصنفات Defender for IoT تحقيقات موجهة لكيانات OT استنادا إلى الحوادث المفتوحة وإعلامات التنبيه والأنشطة لأصول OT. كما أنها توفر تجربة صيد عبر إطار عمل MITRE ATT&CK® ل ICS، وهي مصممة لتمكين المحللين ومهندسي الأمان وMSSPs من اكتساب وعي بالوضع الأمني ل OT.
يمكن للمصنفات عرض التنبيهات حسب النوع أو الخطورة أو نوع جهاز OT أو المورد أو التنبيهات بمرور الوقت. تعرض المصنفات أيضا نتيجة تعيين التنبيهات إلى MITRE ATT&CK لتكتيكات ICS، بالإضافة إلى توزيع التكتيكات حسب العدد والفترة الزمنية. على سبيل المثال:
أدلة مبادئ SOAR ل Defender ل IoT
كتيبات التشغيل عبارة عن مجموعات من إجراءات الإصلاح المؤتمتة التي يمكن تشغيلها من Microsoft Azure Sentinel كإجراء روتيني. يمكن أن يساعد دليل المبادئ في أتمتة وتنسيق استجابتك للتهديدات. يمكن تشغيلها يدوياً أو ضبطها للتشغيل تلقائياً استجابةً لتنبيهات أو حوادث محددة، عند تشغيلها بواسطة قاعدة تحليلات أو قاعدة أتمتة، على التوالي.
على سبيل المثال، استخدم كتيبات لعب SOAR من أجل:
افتح بطاقة أصل في ServiceNow عند اكتشاف أصل جديد، مثل محطة عمل هندسية جديدة. يمكن أن يكون هذا التنبيه جهازا غير مصرح به يمكن استخدامه من قبل الخصوم لإعادة برمجة PLCs.
أرسل بريداً إلكترونياً إلى أصحاب المصلحة المعنيين عند اكتشاف نشاط مشبوه، على سبيل المثال إعادة برمجة PLC غير المخطط لها. قد يتم إرسال البريد إلى موظفي OT، مثل مهندس تحكم مسؤول عن خط الإنتاج ذي الصلة.
مقارنة Defender لأحداث وتنبيهات وحوادث IoT
يوضح هذا القسم الاختلافات بين أحداث Defender for IoT والتنبيهات والحوادث في Microsoft Sentinel. استخدم الاستعلامات المدرجة لعرض قائمة كاملة بالأحداث والتنبيهات والحوادث الحالية لشبكات OT.
عادة ما ترى أحداث Defender for IoT في Microsoft Sentinel أكثر من التنبيهات، وتنبيهات Defender for IoT أكثر من الحوادث.
أحداث Defender ل IoT في Microsoft Sentinel
كل سجل تنبيه يتدفق إلى Microsoft Sentinel من Defender for IoT هو حدث. إذا كان سجل التنبيه يعكس تنبيها جديدا أو محدثا في Defender for IoT، تتم إضافة سجل جديد إلى جدول SecurityAlert .
لعرض جميع أحداث Defender for IoT في Microsoft Sentinel، قم بتشغيل الاستعلام التالي على جدول SecurityAlert :
SecurityAlert
| where ProviderName == 'IoTSecurity' or ProviderName == 'CustomAlertRule'
Instead
Defender لتنبيهات IoT في Microsoft Sentinel
ينشئ Microsoft Sentinel تنبيهات استنادا إلى قواعد التحليلات الحالية وسجلات التنبيه المدرجة في جدول SecurityAlert . إذا لم يكن لديك أي قواعد تحليلات نشطة ل Defender for IoT، فإن Microsoft Sentinel يعتبر كل سجل تنبيه كحدث.
لعرض التنبيهات في Microsoft Sentinel، قم بتشغيل الاستعلام التالي علىجدول SecurityAlert :
SecurityAlert
| where ProviderName == 'ASI Scheduled Alerts' or ProviderName =='CustomAlertRule'
بعد تثبيت حل Microsoft Defender for IoT ونشر دليل المبادئ AD4IoT-AutoAlertStatusSync ، تتم مزامنة تغييرات حالة التنبيه من Microsoft Sentinel إلى Defender for IoT. لا تتم مزامنة تغييرات حالة التنبيه من Defender for IoT إلى Microsoft Sentinel.
هام
نوصي بإدارة حالات التنبيه الخاصة بك مع الحوادث ذات الصلة في Microsoft Sentinel. لمزيد من المعلومات، راجع العمل مع مهام الحوادث في Microsoft Sentinel.
Defender لحوادث IoT في Microsoft Sentinel
ينشئ Microsoft Sentinel حوادث استنادا إلى قواعد التحليلات الخاصة بك. قد يكون لديك عدة تنبيهات مجمعة في نفس الحدث، أو قد تكون لديك قواعد تحليلات مكونة لعدم إنشاء حوادث لبعض أنواع التنبيهات.
لعرض الحوادث في Microsoft Sentinel، قم بتشغيل الاستعلام التالي:
SecurityIncident
الخطوات التالية
لمزيد من المعلومات، راجع:
- عمليات التكامل مع Microsoft وخدمات الشركاء
- البرنامج التعليمي: الاتصال Microsoft Defender for IoT مع Microsoft Sentinel
- اكتشاف التهديدات خارج الصندوق باستخدام Defender لبيانات إنترنت الأشياء
- إنشاء قواعد تحليلات مخصصة للكشف عن التهديدات
- البرنامج التعليمي: استخدام كتب التشغيل مع قواعد التشغيل التلقائي في Microsoft Azure Sentinel