Základní koncepty

  • Článek
  • 6 min ke čtení

Tento článek popisuje klíčové výhody programu Microsoft Defender for IoT.

Rychlé neinvazivní nasazení a pasivní monitorování

Senzory Defender for IoT se připojují k přepínání portů SPAN (zrcadlení) a síťových taps a okamžitě začnou shromažďovat síťový provoz ICS prostřednictvím pasivního monitorování (bez agentů). Hloubková kontrola paketů (DPI) se používá k odcizování provozu ze zařízení sériové i ethernetové řídicí sítě. Defender for IoT nemá žádný vliv na sítě OT, protože se neumisťuje do cesty k datům a aktivně neskenuje zařízení OT.

Pokud chcete doručovat okamžité snímky podrobných Windows zařízení, je možné senzor Defender for IoT nakonfigurovat tak, aby doplňoval pasivní monitorování volitelnou aktivní komponentou. Tato komponenta používá bezpečné příkazy schválené dodavatelem k dotazování Windows zařízení na podrobnosti o zařízení, a to tak často nebo tak zřídka, jak potřebujete.

Vložené znalosti protokolů, zařízení a aplikací ICS

Samotný dpi nestačí k identifikaci anomálií protokolu a identifikaci zařízení na podrobné úrovni. Senzor Defender for IoT řeší některá z největších a nejsložitějších prostředí. Dote doby bylo analyzováno více než 1 300 OT sítí ve všech průmyslových sektorech.

Moduly pro analýzy a samou učení

Moduly identifikují problémy se zabezpečením prostřednictvím nepřetržitého monitorování a pěti analytických modulů, které zahrnují samoobslužné učení, aby se eliminuje potřeba aktualizace podpisů nebo definování pravidel. Moduly používají analýzu chování specifickou pro ICS a datové vědy k průběžné analýze provozu sítě OT na anomálie. Pět modulů je:

  • Detekce porušení protokolu: Identifikuje použití struktur paketů a hodnot polí, které porušují specifikace protokolu ICS.

  • Detekce porušení zásad: Identifikuje porušení zásad, jako je neoprávněné použití kódů funkcí, přístup ke konkrétním objektům nebo změny konfigurace zařízení.

  • Detekce průmyslového malwaru: Identifikuje chování, která indikují přítomnost známého malwaru, jako jsou Conficker, Black Energy, Havex, WannaCry a NotPetya.

  • Detekce anomálií: Detekuje neobvyklou komunikaci a chování mezi počítači (M2M). Modelem sítí ICS jako deterministických sekvencí stavů a přechodů používá motor patentovanou techniku zvanou IFSM (Industrial Finite State Modeling). Řešení vyžaduje kratší výukové období než obecné matematické přístupy nebo analýzy, které byly původně vyvinuty pro IT, nikoli PRO. Také rychleji detekuje anomálie s minimálními falešně pozitivními výsledky.

  • Detekce provozních incidentů: Identifikuje provozní problémy, jako je přerušované připojení, které může značit rané známky selhání zařízení.

Analýza provozu sítě pro posouzení rizik a ohrožení zabezpečení

Služba Defender for IoT, která je v oboru jedinečná, využívá vlastní algoritmy analýzy provozu sítě k pasivní identifikaci všech ohrožení zabezpečení sítě a koncových bodů, jako jsou:

  • Neautorizovaná připojení vzdáleného přístupu
  • Podvodná nebo nezdokumentovaná zařízení
  • Slabé ověřování
  • Ohrožená zařízení (na základě nepatchovaných souborů CVE)
  • Neoprávněné mosty mezi podsítěmi
  • Slabá pravidla brány firewall

Dolování dat pro vyšetřování, forenzní vědy a proašeření hrozeb

Platforma poskytuje intuitivní rozhraní pro dolování dat pro podrobné prohledávání historických přenosů napříč všemi relevantními dimenzemi. Mezi příklady patří časové období, IP adresa, adresa MAC a porty. Můžete také provádět dotazy specifické pro protokol na základě kódů funkcí, služeb protokolů a modulů. Pro další analýzu přechodu k podrobnostem jsou k dispozici plně věrné analýzy PCAP.

Režim cloudové správy senzorů

Režim správy cloudu senzorů určuje, kde se zobrazí zařízení, výstraha a další informace, které senzor detekuje.

U senzorů připojených ke cloudu se informace, které senzor detekuje, zobrazují v konzole senzoru. Informace o upozorněních se doručí prostřednictvím centra IoT a je možné je sdílet s dalšími službami Azure, jako je Microsoft Sentinel.

U místně připojených senzorů se informace, které senzor detekuje, zobrazují v konzole senzoru. Informace o detekci se také sdílí s místní konzolou pro správu, pokud je k ní senzor připojený.

Sítě s řídknutým vzduchem

Pokud pracujete v prostředí s air-gappedem, místní konzola pro správu v Defenderu for IoT poskytuje v reálném čase přehled klíčových ukazatelů rizik AoT a OT ve všech vašich zařízeních. Tato sada je těsně integrovaná s pracovními postupy a runbooky SOC a umožňuje snadnou prioritu aktivit zmírňování a korelaci hrozeb mezi weby.

Defender for IoT poskytuje konsolidované zobrazení všech vašich zařízení. Poskytuje také důležité informace o zařízeních, jako jsou například typ (FUNKCE, RTU, DCS a další), výrobce, model a úroveň revize firmwaru a také informace o výstrahách.

Defender for IoT umožňuje efektivní správu více nasazení a komplexní jednotný pohled na síť. Defender for IoT optimalizuje zpracování výstrah a kontrolu nad provozním zabezpečením sítě.

Místní konzola pro správu je webová platforma pro správu, která umožňuje monitorovat a řídit aktivity globálních instalací senzorů. Kromě správy dat přijatých z nasazených senzorů místní konzola pro správu bezproblémově integruje data z různých obchodních prostředků: cmdB, DNS, brány firewall, webová rozhraní API a další.

Zobrazení místní konzoly pro správu

Než začnete pracovat s místní konzolou pro správu, doporučujeme se seznámit se s koncepty, možnostmi a funkcemi dostupnými pro senzory.

Integrace

Možnosti služby Defender for IoT můžete rozšířit sdílením informací o zařízeních i výstrahách s partnerskými systémy. Integrace pomáhají podnikům přemostění dříve proloovaných řešení zabezpečení, aby se výrazně zlepšila viditelnost zařízení a inteligentní funkce hrozeb. Integrace také pomáhají podnikům rychleji zrychlit reakce na systém a zmírnit rizika.

Integrace snižují složitost a eliminují SIla IT a OT tím, že je integrují do vašich stávajících pracovních postupů SOC a zásobníku zabezpečení. Příklad:

  • Siemy, jako jsou IBM QRadar, Splunk, ArcSight, LogOviythm a RSA NetWitness

  • Systémy pro orchestraci zabezpečení a lístkování lístků, jako jsou ServiceNow a IBM Resilient

  • Řešení zabezpečeného vzdáleného přístupu, jako je CyberArk Privileged Session Manager (PSM) a BeyondTrust

  • Zabezpečené systémy řízení přístupu k síti (NAC), jako jsou Například Aruba ClearPass a For nat CounterACT

  • Brány firewall, jako je Fortinet a Check Point

Kompletní podpora protokolu

Kromě podpory vložených protokolů můžete zabezpečit i zařízení IoT a ICS s proprietárními a vlastními protokoly nebo protokoly, které se odchylují od jakéhokoli standardu. Pomocí sady HORIZON OPEN Development Environment (ODE) SDK mohou vývojáři vytvářet moduly plug-in pro disektory, které dekóduje síťový provoz na základě definovaných protokolů. Služby analyzují provoz a poskytují kompletní monitorování, upozornění a generování sestav. Pomocí Horizonu můžete:

  • Rozšíření viditelnosti a řízení bez nutnosti upgradu na nové verze

  • Zabezpečte proprietární informace tím, že vyvíjíte na místě jako externí modul plug-in.

  • Lokalizace textu pro výstrahy, události a parametry protokolu

Kromě toho můžete ke sdělování informací použít výstrahy proprietární protokoly:

  • Informace o detekci provozu založené na protokolech a základních protokolech v proprietárním modulu plug-in Horizon.

  • O kombinaci polí protokolu ze všech vrstev protokolu. Například v prostředí s modbusem můžete chtít vygenerovat výstrahu, když senzor zjistí příkaz k zápisu do registru paměti na konkrétní IP adrese a cílové síti Ethernet. Nebo můžete chtít vygenerovat výstrahu při provedení jakéhokoli přístupu ke konkrétní IP adrese.

Upozornění se spustí při splnění podmínek pravidla upozornění Horizonu.

Kromě toho vám práce s vlastními upozorněními Horizon umožňuje psát vlastní názvy a zprávy upozornění. Vyřešená pole a hodnoty protokolu je možné vložit do textu zprávy upozornění.

Použití vlastních upozornění na základě podmínek a zasílání zpráv pomáhá určit konkrétní síťovou aktivitu a efektivně aktualizovat bezpečnostní, IT a provozní týmy.

Úplný seznam podporovaných protokolů najdete v tématu Podporované protokoly.

Co je zařízení inventáře

Inventář zařízení Defender for IoT zobrazuje širokou škálu atributů prostředků, které senzory detekuje monitorováním sítí organizace a spravovaných koncových bodů.

Defender for IoT identifikuje a klasifikuje zařízení jako jedno jedinečné síťové zařízení v inventáři pro:

  1. Samostatná zařízení IT/OT/IoT (s 1 nebo více síťovými připojeními)
  2. Zařízení skládající se z několika komponent propojovacího rozhraní (včetně všech racků, slotů a modulů)
  3. Zařízení, která působí jako síťová infrastruktura, jako je přepínač/směrovač (s několika síťovými rozhraními).

Veřejné internetové IP adresy, skupiny vícesměrového vysílání a skupiny všesměrového vysílání se nepovažují za zařízení inventáře. Zařízení, která byla neaktivní déle než 60 dnů, se klasifikují jako neaktivní zařízení inventáře.

Vysoká dostupnost

Zvyšte odolnost nasazení služby Defender for IoT instalací zařízení s vysokou dostupností v místní konzole pro správu. Nasazení s vysokou dostupností zajišťují, aby spravované senzory průběžně hlásit aktivní místní konzolu pro správu.

Toto nasazení je implementováno s párem místní konzoly pro správu, který obsahuje primární a sekundární zařízení.

Lokalizace

Řada funkcí konzoly podporuje širokou škálu jazyků.

Další krok

Začínáme s Defenderem pro IoT