البرنامج التعليمي: دمج Microsoft Sentinel وMicrosoft Defender ل IoT

هل هذه الصفحة مفيدة؟

هل لديك ملاحظات إضافية؟

سيتم إرسال الملاحظات إلى Microsoft: بالضغط على الزر «إرسال»، سيتم استخدام ملاحظاتك لتحسين منتجات Microsoft وخدماتها. نهج الخصوصية.

يتيح لك Microsoft Defender for IoT تأمين بيئة OT بأكملها، سواء كنت بحاجة إلى حماية أجهزة OT الحالية أو بناء الأمان في ابتكارات OT الجديدة.

يساعد Microsoft Sentinel وMicrosoft Defender for IoT على سد الفجوة بين تحديات أمان تكنولوجيا المعلومات وOT، وتمكين فرق SOC من القدرات الجاهزة للكشف عن تهديدات OT والاستجابة لها بكفاءة وفعالية. يساعد التكامل بين Microsoft Defender for IoT وMicrosoft Sentinel المؤسسات على اكتشاف الهجمات متعددة المهام بسرعة، والتي غالبا ما تعبر حدود تكنولوجيا المعلومات وOT.

في هذا البرنامج التعليمي، سوف تتعلّم:

• الاتصال Microsoft Sentinel إلى Defender for IoT
• استخدام Log Analytics للاستعلام عن Defender لتنبيهات IoT
• تثبيت حل Microsoft Sentinel ل Defender ل IoT
• تعرف على قواعد التحليلات والمصنفات ودلائل المبادئ المنشورة في مساحة عمل Microsoft Sentinel باستخدام حل Defender for IoT

المتطلبات الأساسية

قبل البدء، تأكد من أن لديك المتطلبات التالية على مساحة العمل الخاصة بك:

• أذونات القراءةوالكتابة على مساحة عمل Microsoft Sentinel

• أذونات المساهم على الاشتراك الذي تريد توصيله

• يجب تمكين Defender for IoT على مثيلات IoT Hub ذات الصلة.

  استخدم الإجراء التالي للتحقق من هذا الإعداد أو تمكينه إذا لزم الأمر:

  1. انتقل إلى مثيل IoT Hub الذي قمت بتعريفه عند إلحاق أجهزة الاستشعار الخاصة بك في Defender for IoT.

  2. حدد Defender for IoT > الإعدادات > Data Collection.

  3. ضمن Microsoft Defender for IoT، حدد Enable Microsoft Defender for IoT.

لمزيد من المعلومات، راجع الأذونات في Microsoft Sentinel و Quickstart: بدء استخدام Defender for IoT.

هام

حاليا، قد يؤدي تمكين موصلات بيانات Microsoft Defender for IoT وMicrosoft Defender for Cloud على نفس مساحة عمل Microsoft Sentinel في وقت واحد إلى تنبيهات مكررة في Microsoft Sentinel. نوصي بقطع اتصال موصل بيانات Microsoft Defender for Cloud قبل الاتصال ب Microsoft Defender for IoT.

الاتصال بياناتك من Defender for IoT إلى Microsoft Sentinel

ابدأ بتمكين موصل بيانات Defender for IoT من دفق جميع أحداث Defender for IoT إلى Microsoft Sentinel.

لتمكين موصل بيانات Defender for IoT:

1. في Microsoft Sentinel، ضمن Configuration، حدد Data connectors، ثم حدد موقع موصل بيانات Microsoft Defender for IoT .

2. في أسفل اليمين، حدد فتح صفحة الموصل.

3. في علامة التبويب إرشادات، ضمن تكوين، حدد الاتصال لكل اشتراك تريد دفق تنبيهاته وتنبيهاته إلى Microsoft Sentinel.

   إذا أجريت أي تغييرات على الاتصال، فقد يستغرق تحديث قائمة الاشتراك 10 ثوان أو أكثر.

   تلميح

   إذا رأيت رسالة خطأ، فتأكد من تمكين Defender for IoT على مثيل IoT Hub واحد على الأقل ضمن اشتراكك المحدد.

لمزيد من المعلومات، راجع الاتصال Microsoft Sentinel إلى خدمات Azure Windows وMicrosoft وAmazon.

عرض Defender لتنبيهات IoT

عرض تنبيهات Defender ل IoT في منطقة سجلات Microsoft Sentinel.

1. في Microsoft Sentinel، حدد Logs > AzureSecurityOfThings > SecurityAlert، أو ابحث عن SecurityAlert.

2. استخدم نماذج الاستعلامات التالية لتصفية السجلات وعرض التنبيهات التي تم إنشاؤها بواسطة Defender ل IoT:

   لمشاهدة جميع التنبيهات التي تم إنشاؤها بواسطة Defender ل IoT:

   SecurityAlert | where ProductName == "Azure Security Center for IoT"
   

   لمشاهدة تنبيهات مستشعر محددة تم إنشاؤها بواسطة Defender for IoT:

   SecurityAlert
   | where ProductName == "Azure Security Center for IoT"
   | where tostring(parse_json(ExtendedProperties).SensorId) == “<sensor_name>”
   

   لمشاهدة تنبيهات محددة لمحرك OT تم إنشاؤها بواسطة Defender ل IoT:

   SecurityAlert
   | where ProductName == "Azure Security Center for IoT"
   | where ProductComponentName == "MALWARE"
   
   SecurityAlert
   | where ProductName == "Azure Security Center for IoT"
   | where ProductComponentName == "ANOMALY"
   
   SecurityAlert
   | where ProductName == "Azure Security Center for IoT"
   | where ProductComponentName == " PROTOCOL_VIOLATION"
   
   SecurityAlert
   | where ProductName == "Azure Security Center for IoT"
   | where ProductComponentName == " POLICY_VIOLATION"
   
   SecurityAlert
   | where ProductName == "Azure Security Center for IoT"
   | where ProductComponentName == "OPERATIONAL"
   

   لمشاهدة التنبيهات عالية الخطورة التي تم إنشاؤها بواسطة Defender ل IoT:

   SecurityAlert
   | where ProductName == "Azure Security Center for IoT"
   | where AlertSeverity == "High"
   

   لمشاهدة تنبيهات بروتوكول محددة تم إنشاؤها بواسطة Defender ل IoT:

   SecurityAlert
   | where ProductName == "Azure Security Center for IoT"
   | where tostring(parse_json(ExtendedProperties).Protocol) == "<protocol_name>"
   

ملاحظة

تستند صفحة السجلات في Microsoft Sentinel إلى تحليلات السجل الخاصة ب Azure Monitor.

لمزيد من المعلومات، راجع نظرة عامة على استعلامات السجل في وثائق Azure Monitor والوحدة النمطية Learn لكتابة استعلام KQL الأول .

تثبيت حل Defender for IoT

إن IoT OT Threat Monitoring مع حل Defender for IoT عبارة عن مجموعة من المحتوى المجمع، بما في ذلك قواعد التحليلات والمصنفات ودلائل المبادئ، التي تم تكوينها خصيصا لبيانات Defender for IoT. يدعم هذا الحل حاليا الشبكات التشغيلية فقط (OT/ICS).

تلميح

يمكن أن تساعدك حلول Microsoft Sentinel على إلحاق محتوى أمان Microsoft Sentinel لموصل بيانات معين باستخدام عملية واحدة. على سبيل المثال، يدعم IoT OT Threat Monitoring مع Defender for IoT التكامل مع قدرات تنسيق الأمان والأتمتة والاستجابة (SOAR) في Microsoft Sentinel من خلال توفير أدلة مبادئ غير مخصصة ومحسنة من OT مع قدرات الاستجابة والوقاية التلقائية.

لتثبيت الحل

1. في Microsoft Sentinel، ضمن إدارة المحتوى، حدد مركز المحتوى ثم حدد موقع IoT OT Threat Monitoring مع Defender لحل IoT .

2. في أسفل اليمين، حدد عرض التفاصيل، ثم إنشاء. حدد الاشتراك ومجموعة الموارد ومساحة العمل حيث تريد تثبيت الحل، ثم راجع محتوى الأمان ذي الصلة الذي سيتم نشره.

   عند الانتهاء، حدد Review + Create لتثبيت الحل.

لمزيد من المعلومات، راجع حول محتوى Microsoft Sentinel وحلوله واكتشاف المحتوى والحلول الجاهزة ونشرها مركزيا.

الكشف عن التهديدات خارج الصندوق باستخدام بيانات Defender for IoT

لا يتم إنشاء الحوادث للتنبيهات التي تم إنشاؤها بواسطة Defender لبيانات IoT بشكل افتراضي.

يمكنك التأكد من أن Microsoft Sentinel ينشئ حوادث للتنبيهات ذات الصلة التي تم إنشاؤها بواسطة Defender for IoT، إما باستخدام قواعد التحليلات الجاهزة المتوفرة في IoT OT Threat Monitoring مع Defender لحل IoT ، أو تكوين قواعد التحليلات يدويا، أو عن طريق تكوين موصل البيانات لإنشاء حوادث تلقائيا لجميع التنبيهات التي تم إنشاؤها بواسطة Defender for IoT.

لمزيد من المعلومات، انظر:

• الكشف عن التهديدات بسهولة
• إنشاء قواعد تحليلات مخصصة للكشف عن التهديدات

استخدام قواعد التحليلات الجاهزة

قم بتثبيت حل Defender for IoT للحصول على قواعد التحليلات الجاهزة التي تم نشرها في مساحة العمل الخاصة بك، والتي تم إنشاؤها خصيصا لبيانات Defender for IoT.

يصف الجدول التالي قواعد التحليلات الجاهزة المتوفرة في حل IoT OT Threat Monitoring مع Defender for IoT .

تلميح

عند العمل مع قواعد التحليلات التالية، نوصي بإيقاف تشغيل Microsoft Security Defender الافتراضي لقواعد تحليلات IoT.

اسم القاعدة	الوصف
رموز الدالة غير القانونية لحركة مرور ICS/SCADA	قد تشير رموز الوظائف غير القانونية في معدات المراقبة الإشرافية واقتناء البيانات (SCADA) إلى أحد الإجراءات التالية: - تكوين تطبيق غير صحيح، مثل بسبب تحديث البرنامج الثابت أو إعادة التثبيت. - نشاط ضار. على سبيل المثال، تهديد إلكتروني يحاول استخدام قيم غير قانونية داخل بروتوكول لاستغلال ثغرة أمنية في وحدة التحكم المنطقية القابلة للبرمجة (PLC)، مثل تجاوز المخزن المؤقت.
حزمة تحديث البرامج الثابتة	قد تشير تحديثات البرامج الثابتة غير المصرح بها إلى نشاط ضار على الشبكة، مثل تهديد الإنترنت الذي يحاول معالجة البرنامج الثابت PLC اختراق وظيفة PLC.
تغييرات PLC غير المصرح بها	قد تكون التغييرات غير المصرح بها على رمز منطق سلم PLC أحد الإجراءات التالية: - إشارة إلى وظائف جديدة في PLC. - تكوين غير صحيح للتطبيق، مثل بسبب تحديث البرنامج الثابت أو إعادة التثبيت. - النشاط الضار على الشبكة، مثل تهديد إلكتروني يحاول التلاعب ببرمجة PLC لاختراق وظيفة PLC.
حالة مفتاح PLC غير الآمنة	قد يشير الوضع الجديد إلى أن PLC غير آمن. قد يسمح ترك PLC في وضع تشغيل غير آمن للخصوم بتنفيذ أنشطة ضارة عليه، مثل تنزيل البرنامج. إذا تم اختراق PLC، فقد تتأثر الأجهزة والعمليات التي تتفاعل معها. مما قد يؤثر على أمان النظام وسلامته بشكل عام.
توقف PLC	قد يشير أمر إيقاف PLC إلى تكوين غير صحيح لتطبيق تسبب في توقف PLC عن العمل، أو نشاط ضار على الشبكة. على سبيل المثال، تهديد إلكتروني يحاول معالجة برمجة PLC للتأثير على وظائف الشبكة.
البرامج الضارة المشبوهة الموجودة في الشبكة	تشير البرامج الضارة المشبوهة التي تم العثور عليها على الشبكة إلى أن البرامج الضارة المشبوهة تحاول اختراق الإنتاج.
عمليات فحص متعددة في الشبكة	يمكن أن تكون عمليات الفحص المتعددة على الشبكة مؤشرا على أحد الإجراءات التالية: - جهاز جديد على الشبكة - وظائف جديدة لجهاز موجود - التكوين الخاطئ للتطبيق، مثل بسبب تحديث البرنامج الثابت أو إعادة التثبيت - نشاط ضار على الشبكة للاستطلاع
الاتصال بالإنترنت	قد يشير جهاز OT المتصل بعناوين الإنترنت إلى تكوين تطبيق غير صحيح، مثل برنامج مكافحة الفيروسات الذي يحاول تنزيل التحديثات من خادم خارجي أو نشاط ضار على الشبكة.
جهاز غير مصرح به في شبكة SCADA	قد يكون الجهاز غير المصرح به على الشبكة جهازا شرعيا جديدا مثبتا مؤخرا على الشبكة، أو مؤشرا على نشاط غير مصرح به أو حتى ضار على الشبكة، مثل تهديد إلكتروني يحاول التلاعب بشبكة SCADA.
تكوين DHCP غير المصرح به في شبكة SCADA	قد يشير تكوين DHCP غير المصرح به على الشبكة إلى جهاز جديد غير مصرح به يعمل على الشبكة. قد يكون هذا جهازا شرعيا جديدا تم نشره مؤخرا على الشبكة، أو مؤشرا على نشاط غير مصرح به أو حتى ضار على الشبكة، مثل تهديد إلكتروني يحاول التلاعب بشبكة SCADA.
محاولات تسجيل الدخول المفرطة	قد تشير محاولات تسجيل الدخول المفرطة إلى تكوين خدمة غير صحيح أو خطأ بشري أو نشاط ضار على الشبكة، مثل تهديد إلكتروني يحاول التلاعب بشبكة SCADA.
عرض النطاق الترددي العالي في الشبكة	قد يكون النطاق الترددي العالي بشكل غير عادي مؤشرا على خدمة/عملية جديدة على الشبكة، مثل النسخ الاحتياطي، أو إشارة إلى نشاط ضار على الشبكة، مثل تهديد إلكتروني يحاول التلاعب بشبكة SCADA.
رفض الخدمة	يكشف هذا التنبيه عن الهجمات التي من شأنها أن تمنع استخدام نظام DCS أو تشغيله بشكل صحيح.
الوصول غير المصرح به عن بعد إلى الشبكة	يمكن أن يؤدي الوصول غير المصرح به عن بعد إلى الشبكة إلى اختراق الجهاز الهدف. وهذا يعني أنه إذا تم اختراق جهاز آخر على الشبكة، يمكن الوصول إلى الأجهزة المستهدفة عن بعد، ما يزيد من سطح الهجوم.

إنشاء قواعد التحليلات وصيانتها يدويا

إنشاء قواعد التحليلات وإدارتها يدويا في صفحة قواعد Microsoft Sentinel Analytics > Active . لمزيد من المعلومات، راجع الكشف عن التهديدات خارج الصندوق.

استخدم هذا الخيار إذا لم تكن قد قمت بتثبيت IoT OT Threat Monitoring مع حل Defender for IoT ، أو إذا كنت تريد استخدام قواعد التحليلات الجاهزة كقوالب للقواعد المخصصة، أو إذا كنت ترغب في تكوين قواعد التحليلات للسيناريوهات التي لا يغطيها الحل.

تكوين الموصل لإنشاء حوادث لجميع التنبيهات

يمكنك تكوين موصل بيانات Defender for IoT لإنشاء حوادث تلقائيا لجميع التنبيهات التي تم إنشاؤها بواسطة Defender ل IoT.

في علامة التبويب إرشادات في صفحة موصل البيانات، قم بالتمرير لأسفل وصولا إلى قسم إنشاء الحوادث وحدد تمكين.

تنبيه

قد يتسبب هذا الخيار في إنشاء عدد كبير من الحوادث في مساحة العمل الخاصة بك.

تصور ومراقبة Defender لبيانات IoT

لتصور ومراقبة بيانات Defender for IoT، استخدم المصنفات المنشورة في مساحة عمل Microsoft Sentinel كجزء من IoT OT Threat Monitoring مع حل Defender for IoT .

توفر مصنفات Defender for IoT تحقيقات موجهة لكيانات OT استنادا إلى الحوادث المفتوحة وإعلامات التنبيه والأنشطة لأصول OT. كما أنها توفر تجربة صيد عبر إطار عمل MITRE ATTCK&® ل ICS، وهي مصممة لتمكين المحللين ومهندسي الأمان وMSSPs من اكتساب الوعي الظرفي بوضع أمان OT.

عرض المصنفات في Microsoft Sentinel على علامة التبويب مصنفات إدارة > المخاطر > الخاصة بي . لمزيد من المعلومات، راجع تصور البيانات المجمعة.

يصف الجدول التالي المصنفات المضمنة في حل IoT OT Threat Monitoring مع Defender for IoT :

مصنف	الوصف	السجلات
التنبيهات	يعرض بيانات مثل: مقاييس التنبيه، والتنبيهات القصوى، والتنبيه بمرور الوقت، والتنبيه حسب الخطورة، والتنبيه حسب المحرك، والتنبيه حسب نوع الجهاز، والتنبيه بواسطة المورد والتنبيه حسب عنوان IP.	يستخدم البيانات من السجل التالي: SecurityAlert
الحوادث	عرض بيانات مثل: - مقاييس الحادث، والحادث في أقصى حد، والحادث بمرور الوقت، والحادث حسب البروتوكول، والحادث حسب نوع الجهاز، والحادث بواسطة المورد، والحادث حسب عنوان IP. - الحادث حسب الخطورة، متوسط وقت الاستجابة للحوادث، متوسط وقت الحادث لحله وأسباب إغلاق الحادث.	يستخدم البيانات من السجل التالي: SecurityAlert
MITRE ATTCK&® ل ICS	يعرض بيانات مثل: عدد التكتيكات وتفاصيل التكتيك والتكتيك بمرور الوقت وعدد التقنيات.	يستخدم البيانات من السجل التالي: SecurityAlert
مخزون الجهاز	يعرض بيانات مثل: اسم جهاز OT والنوع وعنوان IP وعنوان Mac والنموذج ونظام التشغيل والرقم التسلسلي والمورد والبروتوكولات.	يستخدم البيانات من السجل التالي: SecurityAlert

أتمتة الاستجابة لتنبيهات Defender for IoT

أدلة المبادئ هي مجموعات من إجراءات المعالجة التلقائية التي يمكن تشغيلها من Microsoft Sentinel كروتين. يمكن أن يساعد دليل المبادئ في أتمتة الاستجابة للمخاطر وتنسيقها؛ يمكن تشغيله يدويا أو تعيينه للتشغيل تلقائيا استجابة لتنبيهات أو حوادث معينة، عند تشغيله بواسطة قاعدة تحليلات أو قاعدة أتمتة، على التوالي.

يتم نشر أدلة المبادئ الموضحة في الأقسام التالية إلى مساحة عمل Microsoft Sentinel كجزء من IoT OT Threat Monitoring مع حل Defender for IoT .

لمزيد من المعلومات، انظر:

• البرنامج التعليمي: استخدام أدلة المبادئ مع قواعد التشغيل التلقائي في Microsoft Sentinel
• أتمتة الاستجابة للمخاطر باستخدام أدلة المبادئ في Microsoft Sentinel

إغلاق الحوادث تلقائيا

اسم دليل المبادئ: AD4IoT-AutoCloseIncidents

في بعض الحالات، تنشئ أنشطة الصيانة تنبيهات في Microsoft Sentinel يمكن أن تشتت فريق SOC عن معالجة المشاكل الحقيقية. يغلق دليل المبادئ هذا تلقائيا الحوادث التي تم إنشاؤها من مثل هذه التنبيهات أثناء فترة صيانة محددة، مع تحليل حقول كيان جهاز IoT بشكل صريح.

لاستخدام دليل المبادئ هذا:

• أدخل الفترة الزمنية ذات الصلة عندما يتوقع حدوث الصيانة، وعناوين IP لأي أصول ذات صلة، مثل المدرجة في ملف Excel.
• إنشاء قائمة مراقبة تتضمن عناوين IP للأصول التي يجب التعامل مع التنبيهات عليها تلقائيا.

إعلامات البريد الإلكتروني حسب خط الإنتاج

اسم دليل المبادئ: AD4IoT-MailByProductionLine

يرسل دليل المبادئ هذا البريد لإعلام أصحاب المصلحة المحددين بالتنبيهات والأحداث التي تحدث في بيئتك.

على سبيل المثال، عندما يكون لديك فرق أمان معينة معينة لخطوط منتجات معينة أو مواقع جغرافية معينة، فسترغب في إعلام هذا الفريق بالتنبيهات ذات الصلة بمسؤولياته.

لاستخدام دليل المبادئ هذا، قم بإنشاء قائمة مشاهدة تحدد بين أسماء أجهزة الاستشعار والعناوين البريدية لكل من أصحاب المصلحة الذين تريد تنبيههم.

إنشاء تذكرة ServiceNow جديدة

AD4IoT-NewAssetServiceNowTicket اسم دليل المبادئ

عادة ما يكون الكيان المخول ببرمجة PLC هو محطة العمل الهندسية. لذلك، قد يقوم المهاجمون بإنشاء محطات عمل هندسية جديدة من أجل إنشاء برمجة PLC ضارة.

يفتح دليل المبادئ هذا تذكرة في ServiceNow في كل مرة يتم فيها الكشف عن محطة عمل هندسية جديدة، مع تحليل حقول كيان جهاز IoT بشكل صريح.

الخطوات التالية

لمزيد من المعلومات، انظر:

• الدفاع عن البنية الأساسية الحرجة باستخدام Microsoft Sentinel: حل مراقبة التهديدات في تكنولوجيا المعلومات/OT
• Microsoft Defender لوثائق IoT
• حل Microsoft Defender for IoT
• موصل بيانات Microsoft Defender for IoT