Oktatóanyag: Az OT-hálózatok monitorozása Teljes felügyelet alapelveivel

Teljes felügyelet a következő biztonsági alapelvek tervezésére és megvalósítására szolgáló biztonsági stratégia:

Explicit ellenőrzés	A legkevésbé jogosultsági hozzáférés használata	A szabálysértés feltételezése
Mindig hitelesítse és engedélyezze az összes rendelkezésre álló adatpont alapján.	Korlátozza a felhasználói hozzáférést a Just-In-Time és a Just-Enough-Access (JIT/JEA), a kockázatalapú adaptív szabályzatokkal és az adatvédelemmel.	Minimalizálja a sugár- és szegmenshozzáférést. Ellenőrizze a teljes körű titkosítást, és használja az elemzést a láthatóság eléréséhez, a fenyegetésészleléshez és a védelem javításához.

Az IoT-hez készült Defender hely- és zónadefiníciókat használ az OT-hálózaton, hogy biztosítsa a hálózati higiénia fenntartását, valamint az egyes alrendszerek elkülönítését és védelmét.

Ez az oktatóanyag bemutatja, hogyan figyelheti az OT-hálózatot az IoT Defenderrel és Teljes felügyelet alapelveivel.

Ebben az oktatóanyagban az alábbiakkal fog megismerkedni:

• Riasztások keresése ismeretlen eszközökön
• Sebezhető rendszerek keresése
• Riasztások keresése alhálózatok közötti forgalom esetén
• Rosszindulatú forgalom szimulálása a hálózat teszteléséhez

Fontos

Az Azure Portal Javaslatok oldala jelenleg előzetes verzióban érhető el. A Microsoft Azure Előzetes verzió kiegészítő használati feltételeiben további jogi feltételeket talál, amelyek a bétaverzióban, előzetes verzióban vagy más módon még nem általánosan elérhető Azure-funkciókra vonatkoznak.

Előfeltételek

Az oktatóanyagban szereplő feladatok elvégzéséhez a következőkre van szükség:

• A Defender for IoT OT-csomag az Azure-előfizetésben

• Több felhőalapú, üzembe helyezett OT-érzékelő, adatstreamelés a Defender for IoT-be. Minden érzékelőt egy másik helyhez és zónához kell rendelni, így az egyes hálózati szegmensek külön és biztonságosak maradnak. További információ: Az OT-érzékelők előkészítése a Defender for IoT-be.

• A következő engedélyek:

  • Hozzáférés az Azure Portalhoz biztonsági rendszergazdaként, közreműködőként vagy tulajdonosként. További információ: Azure felhasználói szerepkörök és engedélyek az IoT Defenderhez.

  • Hozzáférés az érzékelőkhöz Rendszergazda vagy biztonsági elemző felhasználóként. További információ: Helyszíni felhasználók és szerepkörök az IoT-hez készült Defender használatával végzett OT-monitorozáshoz.

Riasztások keresése alhálózatok közötti forgalom esetén

Az alhálózatok közötti forgalom a helyek és zónák közötti forgalom.

Az alhálózatok közötti forgalom jogos lehet, például ha egy belső rendszer értesítési üzeneteket küld más rendszereknek. Ha azonban egy belső rendszer kommunikációt küld külső kiszolgálóknak, ellenőriznie kell, hogy a kommunikáció teljes egészében jogszerű-e. Ha üzenetek jelennek meg, tartalmaznak olyan információkat, amelyek megoszthatóak? Ha forgalom érkezik, biztonságos forrásokból jön?

A hálózatokat helyekre és zónákra különválasztotta, hogy az egyes alrendszerek külön és biztonságosak maradjanak, és előfordulhat, hogy egy adott helyen vagy zónában a legtöbb forgalom az adott hely vagy zóna belső környezetében marad. Ha alhálózatok közötti forgalmat lát, az azt jelezheti, hogy a hálózat veszélyben van.

Alhálózatok közötti forgalom keresése:

1. Jelentkezzen be egy megvizsgálandó OT-hálózati érzékelőbe, és válassza a bal oldali eszköztérképet .

2. Bontsa ki a térkép bal oldalán található Csoportok panelt, majd válassza a Szűrő>kereszt alhálózat Csatlakozás lehetőséget.

3. A térképen elég nagyíthat, hogy megtekinthesse az eszközök közötti kapcsolatokat. Válassza ki az adott eszközöket a jobb oldalon található eszközadatok panel megjelenítéséhez, ahol tovább vizsgálhatja az eszközt.

   Az eszköz részletei panelen például a Tevékenységjelentés lehetőséget választva hozzon létre egy tevékenységjelentést, és tudjon meg többet az adott forgalmi mintákról.

Riasztások keresése ismeretlen eszközökön

Tudja, hogy milyen eszközök vannak a hálózaton, és kikkel kommunikálnak? Az IoT Defender riasztásokat aktivál az OT-alhálózatokban észlelt új, ismeretlen eszközökről, hogy azonosítsa azt, és biztosítsa az eszköz biztonságát és a hálózati biztonságot is.

Az ismeretlen eszközök között lehetnek átmeneti eszközök, amelyek a hálózatok között mozognak. Az átmeneti eszközök közé tartozhat például egy technikus laptopja, amely kiszolgálók karbantartásakor csatlakozik a hálózathoz, vagy egy látogató okostelefonja, amely egy vendéghálózathoz csatlakozik az irodában.

Fontos

Miután azonosított ismeretlen eszközöket, mindenképpen vizsgálja meg, hogy ezek az eszközök további riasztásokat váltanak-e ki, mivel az ismeretlen eszközökre vonatkozó gyanús forgalom további kockázatot jelent.

Jogosulatlan/ismeretlen eszközök és kockázatos helyek és zónák ellenőrzése:

1. Az Azure Portalon a Defender for IoT-ben válassza a Riasztások lehetőséget az összes felhőalapú érzékelő által aktivált riasztások megtekintéséhez. Ha ismeretlen eszközökre vonatkozó riasztásokat szeretne keresni, szűrjön a következő névvel rendelkező riasztásokra:

   • Új objektum észlelhető
   • Váratlanul felderített mezőeszköz

   Az egyes szűrőműveleteket külön hajtja végre. Minden szűrőműveletnél végezze el az alábbiakat a hálózat kockázatos helyeinek és zónáinak azonosításához, amelyekhez frissítési biztonsági szabályzatok szükségesek:

   1. Csoportosítsa a riasztásokat webhely szerint, és ellenőrizze, hogy van-e olyan webhelye, amely számos riasztást generál ismeretlen eszközökhöz.

   2. Adja hozzá a Zónaszűrőt a megjelenő riasztásokhoz, hogy a riasztásokat meghatározott zónákra szűkítse.

Az ismeretlen eszközökhöz számos riasztást generáló helyek vagy zónák vannak veszélyben. Javasoljuk, hogy frissítse a biztonsági szabályzatokat, hogy megakadályozza, hogy ennyi ismeretlen eszköz csatlakozzon a hálózathoz.

Ismeretlen eszközök adott riasztásának vizsgálata:

1. A Riasztások lapon válasszon ki egy riasztást, amely további részleteket jelenít meg a jobb oldali panelen és a riasztás részletei lapon.

2. Ha még nem biztos abban, hogy az eszköz megbízható-e, vizsgálja meg tovább a kapcsolódó OT hálózati érzékelőt.

   • Jelentkezzen be a riasztást aktiváló OT hálózati érzékelőbe, majd keresse meg a riasztást, és nyissa meg a riasztás részleteit tartalmazó oldalt.
   • A Térkép nézet és az Eseménysor lapfülek segítségével megkeresheti, hogy a hálózatban hol észlelte az eszközt, valamint az esetlegesen kapcsolódó egyéb eseményeket.

3. A kockázat igény szerinti csökkentéséhez hajtsa végre az alábbi műveletek egyikét:

   • Ismerje meg a riasztást, ha az eszköz jogos, hogy a riasztás ne aktiválódjon újra ugyanazon az eszközön. A riasztás részletei lapon válassza a Learn lehetőséget.
   • Tiltsa le az eszközt, ha az nem jogszerű.

Jogosulatlan eszközök keresése

Javasoljuk, hogy proaktívan figyelje a hálózaton észlelt új, jogosulatlan eszközöket. A jogosulatlan eszközök rendszeres ellenőrzése segíthet megelőzni a hálózatba beszivárogó gazemberek vagy potenciálisan rosszindulatú eszközök veszélyeit.

Használja például a Jogosulatlan eszközök áttekintése javaslatot az összes jogosulatlan eszköz azonosításához.

Jogosulatlan eszközök áttekintése:

1. Az Azure Portalon a Defender for IoT-ben válassza a Javaslatok (előzetes verzió) lehetőséget, és keresse meg a Jogosulatlan eszközök áttekintése javaslatot.
2. Tekintse meg a Nem kifogástalan eszközök lapon felsorolt eszközöket . Ezek az eszközök nem engedélyezettek, és veszélyt jelenthetnek a hálózatra.

Kövesse a szervizelési lépéseket, például jelölje meg az eszközt engedélyezettként, ha az eszköz ismert az Ön számára, vagy válassza le az eszközt a hálózatról, ha az eszköz a vizsgálat után ismeretlen marad.

További információkért tekintse meg a biztonsági helyzet javítása biztonsági javaslatokkal foglalkozó témakört.

Tipp.

A jogosulatlan eszközöket úgy is áttekintheti, hogy az Eszközleltárt az Engedélyezés mező szerint szűri, és csak a jogosulatlanként megjelölt eszközöket jeleníti meg.

Sebezhető rendszerek keresése

Ha a hálózaton elavult szoftverrel vagy belső vezérlőprogrammal rendelkező eszközök vannak, azok sebezhetőek lehetnek a támadásokkal szemben. Azok az eszközök, amelyek életciklusuk végéhez érnek, és nem rendelkeznek több biztonsági frissítésekkel, különösen sebezhetők.

Sebezhető rendszerek keresése:

1. Az Azure Portalon a Defender for IoT-ben válassza a Munkafüzetek>biztonsági rései lehetőséget a Biztonsági rések munkafüzet megnyitásához.

2. A lap tetején található Előfizetés-választóban válassza ki azt az Azure-előfizetést, amelyben az OT-érzékelők fel vannak készítve.

   A munkafüzet a teljes hálózaton található adatokkal van feltöltve.

3. Görgessen le a sebezhető eszközök és a sebezhető összetevők listájának megtekintéséhez. Ezek az eszközök és összetevők a hálózatban figyelmet igényelnek, például belső vezérlőprogramot vagy szoftverfrissítést, illetve cserét, ha nincs több frissítés.

4. A Webhelynév lapon válassza ki a lap tetején található elemet, és válasszon ki egy vagy több webhelyet az adatok webhely szerinti szűréséhez. Az adatok hely szerinti szűrése segíthet azonosítani az adott helyeken felmerülő problémákat, amelyekhez webhelyszintű frissítésekre vagy eszközcserékre lehet szükség.

Rosszindulatú forgalom szimulálása a hálózat teszteléséhez

Egy adott eszköz biztonsági helyzetének ellenőrzéséhez futtasson egy támadásvektor-jelentést az eszköz felé történő forgalom szimulálásához. A szimulált forgalom használatával keresse meg és csökkentse a biztonsági réseket a biztonsági rések kihasználása előtt.

Támadásvektor-jelentés futtatása:

1. Jelentkezzen be egy OT hálózati érzékelőbe, amely észleli a vizsgálandó eszközt, és válassza a bal oldali támadási vektort .

2. Válassza a + Szimuláció hozzáadása lehetőséget, majd adja meg a következő részleteket a Támadási vektorok hozzáadása szimuláció panelen:

   Mező/beállítás	Leírás
   Név	Adjon meg egy értelmes nevet a szimulációnak, például Teljes felügyelet és a dátumot.
   Maximális vektorok	Válassza a 20 lehetőséget az eszközök közötti kapcsolatok maximális támogatott számának megadásához.
   Megjelenítés eszköztérképen	Opcionális. Válassza ki a szimuláció megjelenítését az érzékelő eszköztérképén, amely lehetővé teszi a további vizsgálatokat.
   Az összes forráseszköz / megjelenítése az összes céleszköz megjelenítése	Mindkettőt kiválasztva megjelenítheti az érzékelő összes észlelt eszközét a szimulációban lehetséges forráseszközként és céleszközként.

   Hagyja üresen az Eszközök kizárása és az Alhálózatok kizárása elemet, hogy az összes észlelt forgalmat belefoglalja a szimulációba.

3. Válassza a Mentés lehetőséget , és várja meg, amíg a szimuláció befejeződik. Az időtartam az érzékelő által észlelt forgalom mennyiségétől függ.

4. Bontsa ki az új szimulációt, és válassza ki az észlelt elemeket a jobb oldalon további részletek megtekintéséhez. Például:

   

5. Különösen az alábbi biztonsági rések bármelyikét keresse:

   Biztonsági rés	Leírás
   Az interneten keresztül elérhető eszközök	Előfordulhat például, hogy ezek a biztonsági rések az internetkapcsolat miatt külső fenyegetéseknek kitett üzenettel jelennek meg.
   Nyitott portokkal rendelkező eszközök	Előfordulhat, hogy a nyitott portok jogszerűen használhatók a táveléréshez, de kockázatot is jelenthetnek. Előfordulhat például, hogy ezek a biztonsági rések az Engedélyezett táveléréshez hasonló üzenettel jelennek meg a TeamViewer Által engedélyezett távelérés távoli asztal használatával
   Csatlakozás alhálózatokat keresztező eszközök között	Előfordulhat például, hogy az eszközök közötti közvetlen kapcsolatról szóló üzenet jelenik meg, amely önmagában elfogadható lehet, de az alhálózatok közötti keresztezés szempontjából kockázatos.

Észlelt adatok monitorozása helyenként vagy zónánként

Az Azure Portalon az alábbi helyekről tekintheti meg az IoT-hez készült Defender-adatokat helyek és zónák szerint:

• Eszközleltár: Az eszközleltár csoportosítása vagy szűrése hely vagy zóna szerint.

• Riasztások: A riasztások csoportosítása vagy szűrése csak webhely szerint. Adja hozzá a Webhely vagy Zóna oszlopot a rácshoz az adatok csoporton belüli rendezéséhez.

• Munkafüzetek: Nyissa meg a Defender for IoT Biztonsági rések munkafüzetet az észlelt biztonsági rések webhelyenkénti megtekintéséhez. Egyéni munkafüzeteket is létrehozhat saját szervezete számára, hogy több adatot jelenítsen meg helyek és zónák szerint.

• Helyek és érzékelők: Szűrje a helyek vagy zónák szerint felsorolt érzékelőket .

Mintariasztások a figyeléshez

A Teljes felügyelet monitorozása során az alábbi lista egy példa az IoT-riasztásokhoz készült fontos Defender-riasztásokra:

• Jogosulatlan eszköz csatlakozik a hálózathoz, különösen minden rosszindulatú IP-cím-/tartománynév-kérés
• Ismert kártevő észlelve
• Jogosulatlan internetkapcsolat
• Jogosulatlan távelérés
• Hálózatvizsgálati művelet észlelhető
• Jogosulatlan PLC-programozás
• A belső vezérlőprogram verzióinak módosítása

• "PLC Stop" és egyéb potenciálisan rosszindulatú parancsok
• Az eszköz leválasztásának gyanúja merült fel
• Ethernet-/IP-CIP-szolgáltatáskérési hiba
• A BACnet-művelet nem sikerült
• Illegális DNP3-művelet
• Jogosulatlan SMB-bejelentkezés

További lépések

Előfordulhat, hogy módosítania kell a hálózati szegmentálást a monitorozás eredményei alapján, vagy ahogy a szervezet tagjai és rendszerei idővel változnak.

Módosítsa a helyek és zónák struktúráját, és rendelje hozzá újra a helyalapú hozzáférési szabályzatokat, hogy azok mindig megfeleljenek a jelenlegi hálózati valóságnak.

A beépített Defender for IoT Biztonsági rések munkafüzet használata mellett további egyéni munkafüzeteket is létrehozhat a folyamatos figyelés optimalizálásához.

For more information, see:

• Érzékelők kezelése az IoT-hez készült Defenderrel az Azure Portalon
• Webhelyalapú hozzáférés-vezérlés kezelése (nyilvános előzetes verzió)
• Microsoft Defender for IoT-adatok vizualizációja Azure Monitor-munkafüzetekkel