Microsoft Defender pro architekturu IoT

  • Článek
  • 4 min ke čtení

Tento článek popisuje funkční systémovou architekturu programu Defender pro řešení bez agentů IoT. Microsoft Defender pro IoT nabízí dvě sady možností, které vyhovují potřebám vašeho prostředí, řešení bez agentů pro organizace a řešení založené na agentech pro sestavovatele zařízení.

Architektura řešení bez agentů pro organizace

Defender pro součásti IoT

Defender pro IoT se připojuje ke cloudu Azure i k místním součástem. Řešení je navržené pro škálovatelnost ve velkých i geograficky distribuovaných prostředích s více vzdálenými umístěními. Toto řešení umožňuje vícevrstvou distribuovanou architekturu podle zemí, oblastí, organizační jednotky nebo zóny.

Microsoft Defender pro IoT zahrnuje tyto komponenty:

Nasazení připojená ke cloudu

  • Microsoft Defender pro virtuální počítač nebo zařízení se senzorem IoT
  • Azure Portal pro správu cloudu a integraci do Microsoft Sentinel
  • Místní Konzola pro správu pro správu místních lokalit
  • Vložený Agent zabezpečení (volitelné)

Nasazení air-gapped (offline)

  • Microsoft Defender pro virtuální počítač nebo zařízení se senzorem IoT
  • Místní Konzola pro správu pro správu místních lokalit

Architektura pro program Defender pro IoT.

Microsoft Defender pro IoT snímače

Defender pro IoT snímače zjistí a nepřetržitě monitoruje síťová zařízení. Senzory shromažďují síťový provoz ICS pomocí pasivního monitorování (bez agentů) na zařízeních IoT a OT.

Technologie bez agentů, které jsou sestavené pro IoT a síť, přináší v rámci připojení k síti hloubkovou viditelnost v oblasti IoT a nebezpečí. Má žádný vliv na výkon sítě a síťových zařízení z důvodu neinvazivního přístupu k NTA (Network provoz Analysis).

Použití analytických a vysoce používaných analýz chování a hloubkové kontroly paketů vrstvy 7 na úrovni, která umožňuje provádět analýzu nad rámec tradičních řešení založených na podpisech a okamžitě zjišťovat pokročilé IoT a hrozby (například malware bez souborů) na základě neobvyklé nebo neoprávněné aktivity.

Defender pro senzory IoT se připojí k portu SPAN nebo k síti KLEPNE a okamžitě zahájí provádění DPI na síťovém provozu IoT a OT.

Shromažďování dat, zpracování, analýzy a upozorňování probíhá přímo na senzoru. Tento proces je ideální pro umístění s nízkou šířkou pásma nebo vysokou latencí, protože do konzoly pro správu se přenáší jenom metadata.

Senzor zahrnuje pět vyhledávačů analýz. Moduly aktivují výstrahy na základě analýzy v reálném čase i v předem zaznamenaném provozu. K dispozici jsou následující stroje:

Modul pro detekci porušení protokolu

Modul pro detekci narušení protokolu identifikuje použití struktur paketů a hodnot polí porušujících specifikace protokolu ICS, například: Modbus Exception a spuštění zastaralých výstrah kódu funkce.

Modul pro detekci porušení zásad

Pomocí strojového učení modul pro detekci porušení zásad upozorní uživatele na jakékoli odchylky od chování podle směrného plánu, jako je například neoprávněné použití konkrétních kódů funkcí, přístup ke konkrétním objektům nebo změny konfigurace zařízení. Příklad: DeltaV verze softwaru se změnila a neautorizované výstrahy programování pro PLC. Konkrétně modul porušení zásad modeluje sítě ICS jako deterministické sekvence stavů a přechodů, a to s využitím patentované techniky nazvané modelování průmyslových konečných stavů (IFSM). Modul pro detekci porušení zásad vytváří základní hodnoty sítí ICS, takže platforma vyžaduje kratší období učení, aby bylo možné sestavit základní hodnotu sítě, než jsou obecné matematické přístupy nebo analýzy, které byly původně vyvinuty spíše než v síti.

Průmyslový modul pro detekci malwaru

Průmyslový modul pro detekci malwaru identifikuje chování, které indikuje přítomnost známého malwaru, jako je například Conficker, černá energie, Havex, WannaCry, NotPetya a Triton.

Modul detekce anomálií

Modul detekce anomálií detekuje neobvyklou komunikaci a chování počítače na počítač (M2M). Díky modelování sítí ICS jako deterministické sekvence stavů a přechodů vyžaduje platforma kratší období učení než obecné matematické přístupy nebo analýzy, které byly pro něj původně vyvinuty, spíše než z. Také detekuje anomálie rychleji, s minimálními falešně falešně pozitivními. Mezi výstrahy modulu pro detekci anomálií patří nadměrné pokusy o přihlášení k protokolu SMB a zjištěné výstrahy při kontrole PLC.

Zjišťování provozního incidentu

Detekce provozního incidentu detekuje provozní problémy, jako je přerušované připojení, které může označovat předčasné znaménko selhání zařízení. Například zařízení se považuje za odpojené (nereagují) a v příkazu Siemens S7 stop PLC byly odeslány výstrahy.

Konzoly pro správu

Správa programu Microsoft Defender pro IoT napříč hybridními prostředími se provádí prostřednictvím dvou portálů pro správu:

  • Konzola senzorů
  • Místní Konzola pro správu
  • Azure Portal

Konzola senzorů

Detekce senzorů se zobrazují v konzole senzorů, kde je můžete zobrazit, prošetřit a analyzovat v mapě sítě, inventáři zařízení a v rozsáhlých sestavách, například v sestavách hodnocení rizik, dotazech dolování dat a vektorech útoků. Konzolu nástroje můžete také použít k zobrazení a zpracování hrozeb zjištěných moduly senzorů, předávajících informace partnerským systémům, správě uživatelů a dalších možností.

Defender pro konzolu IoT snímač

Místní Konzola pro správu

Místní Konzola pro správu umožňuje operátorům SOC (Security Operations Center) spravovat a analyzovat výstrahy agregované z různých senzorů do jednoho jediného řídicího panelu a poskytuje celkový přehled o stavu sítí typu OT.

Tato architektura poskytuje komplexní jednotný pohled na síť na úrovni SOC, optimalizovaném zpracování výstrah a řízení zabezpečení provozní sítě. tím se zajistí, že řízení rozhodování a řízení rizik zůstane bezchybného.

Kromě víceklientské architektury, monitorování, analýzy dat a centralizovaného dálkových řízení senzorů poskytuje konzola pro správu dodatečné nástroje pro údržbu systému (například vyloučení výstrah) a plně přizpůsobené funkce vytváření sestav pro každé vzdálené zařízení. Tato architektura podporuje místní správu na úrovni webu, úrovni zóny a globální správu v rámci SOC.

Konzolu pro správu lze nasadit pro konfiguraci s vysokou dostupností, která zajišťuje konzolu zálohování, která pravidelně přijímá zálohy všech konfiguračních souborů vyžadovaných pro obnovení. Pokud primární konzola selže, zařízení pro správu místní lokality se automaticky převezmou při synchronizaci s konzolou zálohování, aby se zachovala dostupnost bez přerušení.

Integrovaná integrace s pracovními postupy SOC a spouštěním knih umožňuje snadnou prioritu aktivit zmírňování a korelace mezi různými pracovišti hrozeb.

  • holistický – zmenšení složitosti s jednou sjednocenou platformou pro správu zařízení, rizika a správa ohrožení zabezpečení a monitorování hrozeb pomocí reakce na incidenty.

  • Agregace a korelace – zobrazí, agreguje a analyzuje data a výstrahy shromážděné ze všech lokalit.

  • Řízení všech senzorů – nakonfigurujte a monitorujte všechny snímače z jednoho místa.

    Spravujte všechna vaše upozornění a informace.

portál Azure

Defender pro IoT v Azure Portal v Azure vám umožňuje:

  • Koupit zařízení řešení

  • Instalace a aktualizace softwaru

  • Zprovoznění senzorů do Azure

  • Aktualizace balíčků pro analýzu hrozeb

Další kroky

Defender pro IoT – Nejčastější dotazy

Systémové požadavky