Tutorial: Integración de Microsoft Sentinel y Microsoft Defender para IoT

Microsoft Defender para IoT permite proteger todo el entorno de OT, independientemente de que necesite proteger dispositivos OT existentes o incorporar seguridad a las innovaciones de OT.

Microsoft Sentinel y Microsoft Defender para IoT ayudan a reducir la brecha entre los desafíos de seguridad de TI y OT, así como a capacitar a los equipos de SOC con funcionalidades integradas para detectar amenazas de OT y responder a ellas de forma eficaz. La integración entre Microsoft Defender para IoT y Microsoft Sentinel ayuda a las organizaciones a detectar rápidamente ataques de varias fases, que a menudo cruzan los límites de TI y OT.

En este tutorial, hizo lo siguiente:

  • Conectar Microsoft Sentinel a Defender para IoT
  • Usar Log Analytics para consultar alertas de Defender para IoT
  • Instalar la solución Microsoft Sentinel para Defender para IoT
  • Obtener información sobre las reglas de análisis, los libros y los cuadernos de estrategias implementados en el área de trabajo de Microsoft Sentinel con la solución Defender para IoT

Requisitos previos

Antes de empezar, asegúrese de que cumple los requisitos siguientes en el área de trabajo:

  • Permisos de lectura y escritura en el área de trabajo de Microsoft Sentinel

  • Permisos de colaborador en la suscripción a la que quiere conectarse

  • Defender para IoT debe estar habilitado en las instancias pertinentes de IoT Hub.

    Siga este procedimiento para comprobar o habilitar esta configuración si es necesario:

    1. Vaya a la instancia de IoT Hub que definió al incorporar los sensores en Defender para IoT.

    2. Seleccione Defender para IoT > Configuración > Recopilación de datos.

    3. En Microsoft Defender para IoT, seleccione Enable Microsoft Defender for IoT (Habilitar Microsoft Defender para IoT).

Para obtener más información, consulte Permisos en Microsoft Sentinel e Inicio rápido: Introducción a Defender para IoT.

Importante

Actualmente, si se tienen los conectores de datos de Microsoft Defender para IoT y Microsoft Defender for Cloud habilitados simultáneamente en la misma área de trabajo de Microsoft Sentinel, pueden producirse alertas duplicadas en Microsoft Sentinel. Se recomienda desconectar el conector de datos de Microsoft Defender for Cloud antes de conectarse a Microsoft Defender para IoT.

Conexión de los datos de Defender para IoT con Microsoft Sentinel

Para empezar, habilite el conector de datos de Defender para IoT a fin de transmitir todos los eventos de esta solución a Microsoft Sentinel.

Para habilitar el conector de datos de Defender para IoT:

  1. En Microsoft Sentinel, en Configuración, seleccione Conectores de datos y, luego, busque el conector de datos de Microsoft Defender para IoT.

  2. En la parte inferior derecha, seleccione Open connector page (Abrir página del conector).

  3. En la pestaña Instrucciones, en Configuración, seleccione Conectar junto a cada suscripción cuyas alertas y alertas de dispositivo quiera transmitir a Microsoft Sentinel.

    Si ha realizado cambios en la conexión, la lista de Suscripción puede tardar 10 segundos o más en actualizarse.

    Sugerencia

    Si ve un mensaje de error, asegúrese de que Defender para IoT está habilitado en al menos una instancia de IoT Hub de la suscripción seleccionada.

Para obtener más información, consulte Conexión de Microsoft Sentinel a servicios de Azure, Windows, Microsoft y Amazon.

Visualización de alertas de Defender para IoT

Vea las alertas de Defender para IoT en el área Registros de Microsoft Sentinel.

  1. En Microsoft Sentinel, seleccione Registros > AzureSecurityOfThings > SecurityAlert, o bien busque SecurityAlert.

  2. Use las siguientes consultas de ejemplo para filtrar los registros y ver las alertas que genere Defender para IoT:

    Para ver todas las alertas generadas por Defender para IoT:

    SecurityAlert | where ProductName == "Azure Security Center for IoT"
    

    Para ver alertas específicas del sensor generadas por Defender para IoT:

    SecurityAlert
    | where ProductName == "Azure Security Center for IoT"
    | where tostring(parse_json(ExtendedProperties).SensorId) == “<sensor_name>”
    

    Para ver alertas específicas del motor de OT generadas por Defender para IoT:

    SecurityAlert
    | where ProductName == "Azure Security Center for IoT"
    | where ProductComponentName == "MALWARE"
    
    SecurityAlert
    | where ProductName == "Azure Security Center for IoT"
    | where ProductComponentName == "ANOMALY"
    
    SecurityAlert
    | where ProductName == "Azure Security Center for IoT"
    | where ProductComponentName == " PROTOCOL_VIOLATION"
    
    SecurityAlert
    | where ProductName == "Azure Security Center for IoT"
    | where ProductComponentName == " POLICY_VIOLATION"
    
    SecurityAlert
    | where ProductName == "Azure Security Center for IoT"
    | where ProductComponentName == "OPERATIONAL"
    

    Para ver las alertas de gravedad alta generadas por Defender para IoT:

    SecurityAlert
    | where ProductName == "Azure Security Center for IoT"
    | where AlertSeverity == "High"
    

    Para ver alertas específicas de protocolo generadas por Defender para IoT:

    SecurityAlert
    | where ProductName == "Azure Security Center for IoT"
    | where tostring(parse_json(ExtendedProperties).Protocol) == "<protocol_name>"
    

Nota

La página Registros de Microsoft Sentinel se basa en Log Analytics de Azure Monitor.

Para obtener más información, consulte la introducción a las consultas de registro en la documentación de Azure Monitor y el módulo de Learn Escritura de la primera consulta de KQL.

Instalación de la solución Defender para IoT

La solución de supervisión de amenazas de OT e IoT con Defender para IoT es un conjunto de contenido agrupado, que incluye reglas de análisis, libros y cuadernos de estrategias, configurado específicamente para datos de Defender para IoT. Actualmente, esta solución solo admite redes operativas (OT/ICS).

Sugerencia

Las soluciones de Microsoft Sentinel pueden ayudarle a incorporar contenido de seguridad de Microsoft Sentinel para un conector de datos específico mediante un único proceso. Por ejemplo, la supervisión de amenazas de OT e IoT con Defender para IoT admite la integración con las funcionalidades de orquestación de seguridad, automatización y respuesta (SOAR) de Microsoft Sentinel, ya que proporciona cuadernos de estrategias integrados y optimizados para OT con capacidades automatizadas de respuesta y prevención.

Para instalar la solución

  1. En Microsoft Sentinel, en Administración de contenido, seleccione Content hub (Centro de contenido) y busque la solución IoT OT Threat Monitoring with Defender for IoT (Supervisión de amenazas de OT e IoT con Defender para IoT).

  2. En la parte inferior derecha, seleccione Ver detalles y, luego, Crear. Seleccione la suscripción, el grupo de recursos y el área de trabajo donde quiere instalar la solución y, después, revise el contenido de seguridad relacionado que se implementará.

    Cuando haya terminado, seleccione Revisar y crear para instalar la solución.

Para obtener más información, consulte Acerca del contenido y las soluciones de Microsoft Sentinel y Detección e implementación centralizadas de soluciones y contenido de serie.

Detección de amenazas integrada con datos de Defender para IoT

De forma predeterminada, no se crean incidentes para las alertas generadas por los datos de Defender para IoT.

Puede asegurarse de que Microsoft Sentinel cree incidentes para las alertas pertinentes generadas por Defender para IoT, ya sea mediante el uso de reglas de análisis predefinidas proporcionadas en la solución de supervisión de amenazas de OT e IoT con Defender para IoT, mediante la configuración manual de reglas de análisis o mediante la configuración del conector de datos para crear automáticamente incidentes para todas las alertas generadas por Defender para IoT.

Para más información, consulte:

Visualización y supervisión de los datos de Defender para IoT

Para visualizar y supervisar los datos de Defender para IoT, use los libros implementados en el área de trabajo de Microsoft Sentinel como parte de la solución de supervisión de amenazas de OT e IoT con Defender para IoT.

Los libros de Defender para IoT proporcionan investigaciones guiadas para entidades de OT basadas en incidentes abiertos, notificaciones de alertas y actividades para recursos de OT. También proporcionan una experiencia de búsqueda en el marco de MITRE ATT&CK® para ICS y están diseñados para permitir que los analistas, ingenieros de seguridad y MSSP conozcan mejor la situación de la posición de seguridad de OT.

Vea los libros de Microsoft Sentinel en la pestaña Administración de amenazas > Libros > Mis libros. Para obtener más información, vea Visualización de los datos recopilados.

En la tabla siguiente se describen los libros incluidos en la solución de supervisión de amenazas de OT e IoT con Defender para IoT:

Libro Descripción Registros
Alertas Muestra datos como los siguientes: métricas de alerta, alertas superiores, alerta a lo largo del tiempo, alerta por gravedad, alerta por motor, alerta por tipo de dispositivo, alerta por proveedor y alerta por dirección IP. Usa datos del registro siguiente: SecurityAlert.
Incidentes Muestra datos como:

- Métricas de incidentes, incidente superior, incidente a lo largo del tiempo, incidente por protocolo, incidente por tipo de dispositivo, incidente por proveedor e incidente por dirección IP.

- Incidente por gravedad, tiempo medio de respuesta del incidente, tiempo medio de resolución del incidente y motivos de cierre del incidente.
Usa datos del registro siguiente: SecurityAlert.
MITRE ATT&CK® para ICS Muestra datos como los siguientes: recuento de tácticas, detalles de la táctica, táctica a lo largo del tiempo y recuento de técnicas. Usa datos del registro siguiente: SecurityAlert.
Inventario de dispositivos Muestra datos como los siguientes: nombre del dispositivo de OT, tipo, dirección IP, dirección Mac, modelo, sistema operativo, número de serie, proveedor y protocolos. Usa datos del registro siguiente: SecurityAlert.

Automatización de la respuesta a las alertas de Defender para IoT

Los cuadernos de estrategias son colecciones de acciones correctivas que se puede ejecutar desde Microsoft Sentinel de forma rutinaria. Un cuaderno de estrategias puede ayudarle a automatizar y organizar la respuesta a las amenazas; se puede ejecutar manualmente o establecer para que se ejecute automáticamente en respuesta a alertas o incidentes específicos, cuando se desencadena mediante una regla de análisis o una regla de automatización, respectivamente.

Los cuadernos de estrategias que se describen en las secciones siguientes se implementan en el área de trabajo de Microsoft Sentinel como parte de la solución de supervisión de amenazas de OT e IoT con Defender para IoT.

Para más información, consulte:

Cierre automático de incidentes

Nombre del cuaderno de estrategias: AD4IoT-AutoCloseIncidents

En algunos casos, las actividades de mantenimiento generan alertas en Microsoft Sentinel que pueden distraer a un equipo de SOC de controlar los problemas reales. Este cuaderno de estrategias cierra automáticamente los incidentes creados a partir de estas alertas durante un período de mantenimiento especificado y analiza explícitamente los campos de entidad del dispositivo IoT.

Para usar este cuaderno de estrategias:

  • Escriba el período de tiempo pertinente en el que se espera que se produzca el mantenimiento y las direcciones IP de los recursos pertinentes, como se muestran en un archivo de Excel.
  • Cree una lista de control que incluya todas las direcciones IP del recurso en las que las alertas se deben controlar automáticamente.

Notificaciones por correo electrónico por línea de producción

Nombre del cuaderno de estrategias: AD4IoT-MailByProductionLine

Este cuaderno de estrategias envía un correo electrónico para notificar a partes interesadas específicas las alertas y los eventos que se producen en el entorno.

Por ejemplo, cuando tenga equipos de seguridad específicos asignados a líneas de productos o ubicaciones geográficas específicas, le interesará que a ese equipo se le notifiquen las alertas que son relevantes para sus responsabilidades.

Para usar este cuaderno de estrategias, cree una lista de control que asigne los nombres de los sensores a las direcciones de correo electrónico de cada una de las partes interesadas a las que quiere alertar.

Creación de un vale de ServiceNow

Nombre del cuaderno de estrategias: AD4IoT-NewAssetServiceNowTicket

Normalmente, la entidad autorizada para programar un PLC es la estación de trabajo de ingeniería. Por lo tanto, los atacantes podrían crear estaciones de trabajo de ingeniería con el fin de crear una programación malintencionada para el PLC.

Este cuaderno de estrategias abre un vale en ServiceNow cada vez que se detecta una nueva estación de trabajo de ingeniería, y analiza explícitamente los campos de entidad del dispositivo IoT.

Pasos siguientes

Para más información, consulte: