Arquitectura del sistema para la supervisión del sistema de OT

El sistema de Microsoft Defender para IoT se ha creado para proporcionar una amplia cobertura y visibilidad de diversos orígenes de datos.

En la imagen siguiente se muestra cómo se pueden transmitir los datos a Defender para IoT desde sensores de red, Microsoft Defender para punto de conexión y orígenes de terceros para proporcionar una vista unificada de la seguridad de IoT/OT. Defender para IoT en Azure Portal proporciona inventarios de recursos, evaluaciones de vulnerabilidades y supervisión continua de amenazas.

Diagram of the Defender for IoT system architecture.

Defender para IoT se conecta a componentes locales y en la nube, y se ha creado para la escalabilidad en entornos grandes y distribuidos geográficamente.

Los sistemas de Defender para IoT incluyen los siguientes componentes:

  • Azure Portal, para la administración en la nube y la integración en otros servicios de Microsoft, como Microsoft Sentinel.
  • Sensores de red, implementados en una máquina virtual o en un dispositivo físico. Puede configurar los sensores de OT como sensores conectados a la nube o sensores totalmente locales.
  • Una consola de administración local para la administración de sitios aislados, locales o conectados a la nube.
  • Un agente de seguridad insertado (opcional)

Sensores de red

Los sensores de red de Defender para IoT detectan y supervisan continuamente el tráfico de red en dispositivos IoT y OT.

  • Diseñados específicamente para redes IoT y OT, los sensores se conectan a un puerto SPAN o TAP de red y pueden proporcionar visibilidad sobre los riesgos de IoT y OT en cuestión de minutos después de conectarse a la red.

  • Los sensores usan motores de análisis compatibles con IoT y OT y la inspección profunda de paquetes (DPI) de capa 6 para detectar amenazas de IoT y OT, como malware sin archivos, en función de actividades anómalas o no autorizadas.

La recopilación, procesamiento, análisis y alertas de datos tienen lugar directamente en el sensor. La ejecución de procesos directamente en el sensor puede ser ideal para ubicaciones con ancho de banda bajo o conectividad de alta latencia porque solo se transfieren metadatos sobre la administración, ya sea a Azure Portal o a una consola de administración local.

Sensores conectados a la nube frente a sensores locales

Los sensores conectados a la nube son sensores que están conectados a Defender para IoT en Azure y difieren de los sensores administrados localmente de la siguiente manera:

Cuando hay un sensor conectado a la nube:

  • Todos los datos que detecta el sensor se muestran en su consola, pero la información de alerta también se entrega a Azure, donde se puede analizar y compartir con otros servicios de Azure.

  • Los paquetes de inteligencia sobre amenazas de Microsoft también se pueden insertar automáticamente en sensores conectados a la nube.

  • El nombre del sensor definido durante la incorporación es el nombre que se muestra en el sensor y es de solo lectura en la consola del sensor.

Por el contrario, al trabajar con sensores administrados localmente:

  • Se ven los datos de un sensor específico en la consola del sensor. Para obtener una vista unificada de toda la información detectada por varios sensores, use una consola de administración local. Para más información, vea Administración de sensores desde la consola de administración.

  • Debe cargar manualmente los paquetes de inteligencia sobre amenazas.

  • Los nombres de sensor se pueden actualizar en la consola del sensor.

Dispositivos supervisados por Defender para IoT

Defender para IoT considera cualquiera de las siguientes opciones como dispositivos de red únicos:

  • Dispositivos independientes TI/OT/IoT administrados o no administrados, con una o varias NIC
  • Dispositivos con varios componentes de backplane (incluidos todos los bastidores, ranuras o módulos)
  • Dispositivos que proporcionan infraestructura de red, como conmutadores o enrutadores con varias NIC

Los siguientes elementos no se supervisan como dispositivos y no aparecen en los inventarios de dispositivos de Defender para IoT:

  • Direcciones IP públicas de Internet
  • Grupos de conversión múltiple
  • Grupos de difusión

Los dispositivos que han estado inactivos durante más de 60 días se clasifican como dispositivos de inventario inactivos.

Motores de análisis

Los sensores de Defender para IoT aplican motores de análisis en los datos ingeridos, lo que desencadena alertas basadas en el tráfico en tiempo real y previamente registrado.

Los motores de análisis proporcionan aprendizaje automático y análisis de perfiles, análisis de riesgos, una base de datos de dispositivos y un conjunto de conclusiones, inteligencia sobre amenazas y análisis de comportamiento.

Por ejemplo, para redes de OT, el motor de detección de infracciones de directivas alerta a los usuarios de cualquier desviación respecto al comportamiento de base de referencia, como el uso no autorizado de códigos de función específicos, el acceso a objetos específicos o los cambios en la configuración del dispositivo. El motor de detección de infracciones de directivas modela las redes del sistema de control del sector (ICS) como secuencias deterministas de estados y transiciones, mediante una técnica patentada denominada modelado de estado finito industrial (IFSM). El motor de detección de infracciones de directivas crea una línea base para las redes del sistema de control industrial (ICS). Dado que muchos algoritmos de detección se crearon para TI, en lugar de para OT, las redes, una línea base adicional para las redes ICS ayuda a acortar la curva de aprendizaje de los sistemas correspondiente a nuevas detecciones.

Específicamente para redes de OT, los sensores de red de OT también proporcionan los siguientes motores de análisis:

  • Motor de detección de infracciones del protocolo. Identifica el uso de estructuras de paquetes y valores de campo que infringen las especificaciones del protocolo ICS, por ejemplo: excepción Modbus y alertas de iniciación de un código de función obsoleta.

  • Motor de detección de malware industrial. Identifica comportamientos que indican la presencia de malware conocido, como Conficker, Black Energy, Havex, WannaCry, NotPetya y Triton.

  • Motor de detección de anomalías. Detecta las comunicaciones de máquina a máquina (M2M) y los comportamientos inusuales. Al modelar redes ICS como secuencias deterministas de estados y transiciones, la plataforma requiere un período de aprendizaje más corto que los enfoques o análisis matemáticos que se desarrollaron originalmente para TI, en lugar de OT. También detecta anomalías más rápido, con un número mínimo de falsos positivos. Las alertas del motor de detección de anomalías incluyen intentos excesivos de inicio de sesión de SMB y alertas de detección de exámenes de PLC.

  • Detección de incidentes operativos. Detecta incidentes operativos, como la conectividad intermitente, que pueden ser indicadores de los primeros síntomas de errores en el equipo. Por ejemplo, es posible que el dispositivo esté desconectado (no responde) y que se hayan enviado alertas al comando de detención del PLC de Siemens S7.

Opciones de administración

Defender para IoT proporciona compatibilidad con la red híbrida mediante las siguientes opciones de administración:

  • Azure Portal. Use Azure Portal como un único panel de visualización de todos los datos ingeridos desde los dispositivos a través de sensores de red. Azure Portal proporciona valor adicional, como libros, conexiones a Microsoft Sentinel, etc.

    Use también Azure Portal para obtener nuevos dispositivos y actualizaciones de software, incorporar y mantener los sensores en Defender para IoT y actualizar paquetes de inteligencia sobre amenazas.

    Screenshot of the Defender for I O T default view on the Azure portal.

  • Consola del sensor. También puede ver las detecciones de los dispositivos conectados a un sensor específico desde la consola del sensor. Use la consola del sensor para ver un mapa de red, una amplia gama de informes, reenviar información a los sistemas asociados, etc.

    Screenshot that shows the updated interface.

  • Consola de administración local. En entornos aislados, puede obtener una vista central de los datos de todos los sensores en una consola de administración local. La consola de administración local también proporciona herramientas de mantenimiento adicionales y características de informes.

Pasos siguientes

En entornos de OT, conozca los métodos admitidos para conectar sensores de red a Defender para IoT.

Para más información, consulte: