Arsitektur sistem untuk pemantauan sistem OT
Sistem Microsoft Defender untuk IoT dibangun untuk memberikan cakupan dan visibilitas yang luas dari berbagai sumber data.
Gambar berikut menunjukkan bagaimana data dapat dialirkan ke Pertahanan untuk IoT dari sensor jaringan, Pertahanan Microsoft untuk Titik Akhir, dan sumber mitra untuk memberikan tampilan terpadu tentang keamanan IoT/OT. Defender untuk IoT dalam portal Azure menyediakan inventaritas aset, penilaian kerentanan, dan pemantauan ancaman berkelanjutan.
Defender untuk IoT terhubung ke komponen cloud dan lokal, dan dibangun untuk skalabilitas di lingkungan besar dan terdistribusi secara geografis.
Defender untuk IoT menyertakan komponen berikut:
- Portal Microsoft Azure, untuk manajemen cloud dan integrasi ke layanan Microsoft lain, seperti Microsoft Azure Sentinel.
- Sensor jaringan, disebarkan pada mesin virtual atau appliance fisik. Anda dapat mengonfigurasi sensor OT sebagai sensor yang terhubung ke cloud, atau sensor lokal sepenuhnya.
- Konsol manajemen lokal untuk manajemen situs yang terhubung ke cloud atau lokal dengan celah udara.
- Agen keamanan tertanam (opsional).
Sensor jaringan
Sensor jaringan Defender untuk IoT menemukan dan terus memantau lalu lintas pada perangkat IoT dan OT.
Sensor dibuat khusus untuk jaringan IoT dan OT. Mereka terhubung ke port SPAN atau TAP jaringan dan dapat memberikan visibilitas ke dalam risiko IoT dan OT dalam beberapa menit setelah terhubung ke jaringan.
Sensor menggunakan mesin analitik IoT dan OT-aware serta Layer-6 Deep Packet Inspection (DPI) untuk mendeteksi ancaman IoT dan OT, seperti malware tanpa file, berdasarkan aktivitas anomali atau tidak sah.
Pengumpulan, pemrosesan, analisis, dan peringatan data terjadi langsung pada sensor. Menjalankan proses langsung pada sensor, yang bisa menjadi ideal untuk lokasi dengan bandwidth rendah atau konektivitas latensi tinggi, karena hanya metadata yang ditransfer untuk manajemen cloud, baik ke portal Microsoft Azure atau konsol manajemen lokal.
Sensor yang terhubung ke cloud vs lokal
Sensor yang terhubung ke cloud adalah sensor yang terhubung ke Defender untuk IoT di Azure, dan berbeda dari sensor yang dikelola secara lokal sebagai berikut:
Saat Anda memiliki sensor yang terhubung ke cloud:
Semua data yang dideteksi sensor ditampilkan di konsol sensor, tetapi informasi pemberitahuan juga dikirimkan ke Azure, tempat sensor dapat dianalisis dan dibagikan dengan layanan Azure lainnya.
Paket inteligensi ancaman Microsoft juga dapat secara otomatis didorong pada sensor yang terhubung ke cloud.
Nama sensor yang ditentukan selama onboarding adalah nama yang ditampilkan pada sensor, dan baca-saja dari konsol sensor.
Sebaliknya, saat bekerja dengan sensor yang dikelola secara lokal:
Lihat data apa pun untuk sensor tertentu dari konsol sensor. Untuk tampilan terpadu dari semua informasi yang terdeteksi oleh beberapa sensor, gunakan konsol manajemen lokal. Untuk informasi selengkapnya, lihat Mengelola sensor dari konsol manajemen.
Anda harus mengunggah paket inteligensi ancaman apa pun secara manual.
Nama sensor dapat diperbarui di konsol sensor.
Apa yang dimaksud dengan Defender untuk perangkat berkomitmen IoT?
Pertahanan untuk IoT dapat menemukan semua perangkat, dari semua jenis, di semua lingkungan. Perangkat dicantumkan di halaman Pertahanan untuk IoT Inventaris perangkat berdasarkan sambungan alamat IP dan MAC yang unik.
Pertahanan untuk IoT mengidentifikasi perangkat berkomitmen tunggal dan unik sebagai berikut:
| Berkomitmen/Tidak berkomitmen | Deskripsi |
|---|---|
| Perangkat berkomitmen | Perangkat yang berkomitmen meliputi: Perangkat IT, OT, atau IoT dengan satu atau beberapa NIC, termasuk perangkat infrastruktur jaringan seperti sakelar dan router Catatan: Perangkat dengan modul atau komponen bidang belakang, seperti rak atau slot, dihitung sebagai satu perangkat, termasuk semua modul atau komponen bidang belakang. |
| Perangkat tidak berkomitmen | Item berikut tidak dianggap sebagai perangkat berkomitmen: Alamat IP internet publik Grup multi-transmisi Grup siaran Perangkat tidak aktif, didefinisikan sebagai berikut: - Jaringan OT: Perangkat yang tidak aktif selama lebih dari 60 hari - Jaringan IoT Perusahaan: Perangkat yang tidak aktif selama lebih dari 30 hari |
Catatan
Jika Anda adalah pelanggan Pertahanan Microsoft untuk Titik Akhir, perangkat (kursi) yang dikelola oleh Pertahanan untuk Titik Akhir tidak dihitung sebagai perangkat berkomitmen Pertahanan untuk IoT.
Mesin analitik
Sensor Defender untuk IoT menerapkan mesin analitik pada data yang diserap, memicu peringatan berdasarkan lalu lintas real time dan yang direkam sebelumnya.
Mesin analitik menyediakan pembelajaran mesin dan analitik profil, analisis risiko, database perangkat dan serangkaian wawasan, inteligensi ancaman, dan analitik perilaku.
Misalnya, untuk jaringan OT, mesin deteksi pelanggaran kebijakan memperingatkan pengguna tentang penyimpangan apa pun dari perilaku dasar, seperti penggunaan kode fungsi tertentu yang tidak sah, akses ke objek tertentu, atau perubahan pada konfigurasi perangkat. Mesin pelanggaran kebijakan memodelkan jaringan sistem kontrol industri (ICS) sebagai urutan status dan transisi deterministik - menggunakan teknik yang dipatenkan yang disebut Industrial Finite State Modeling (IFSM). Mesin deteksi pelanggaran kebijakan menciptakan garis besar untuk jaringan sistem kontrol industri (ICS). Karena banyak algoritma deteksi dibuat untuk jaringan TI, bukan OT, garis dasar tambahan untuk jaringan ICS membantu mempersingkat kurva pembelajaran sistem untuk deteksi baru.
Khusus untuk jaringan OT, sensor jaringan OT juga menyediakan mesin analitik berikut:
Mesin pendeteksi pelanggaran protokol: Mengidentifikasi penggunaan struktur paket dan nilai bidang yang melanggar spesifikasi protokol ICS, misalnya: Pengecualian Modbus, dan inisiasi peringatan kode fungsi lama.
Mesin pendeteksi malware industri: Mengidentifikasi perilaku yang menunjukkan adanya malware yang diketahui, seperti Conficker, Black Energy, Havex, WannaCry, NotPetya, dan Triton.
Mesin pendeteksi anomali: Mendeteksi komunikasi dan perilaku mesin-ke-mesin (M2M) yang tidak biasa. Dengan memodelkan jaringan ICS sebagai urutan deterministik status dan transisi, platform ini membutuhkan periode pembelajaran yang lebih singkat dibandingkan pendekatan atau analitik matematika generik yang awalnya dikembangkan untuk IT daripada OT. Platform ini juga mendeteksi anomali lebih cepat, dengan kesalahan positif minimal. Peringatan mesin pendeteksi anomali termasuk Upaya masuk SMB yang berlebihan, dan peringatan Pemindaian PLC Terdeteksi.
Deteksi insiden operasional: Mendeteksi masalah operasional seperti konektivitas terputus-putus yang dapat menunjukkan tanda-tanda awal kegagalan peralatan. Misalnya, perangkat mungkin terputus (tidak responsif), dan perintah PLC pemberhentian Siemens S7 dikirim peringatan.
Opsi manajemen
Defender untuk IoT menyediakan dukungan jaringan hibrid menggunakan opsi manajemen berikut:
Portal Microsoft Azure. Gunakan portal Microsoft Azure sebagai tampilan panel kaca tunggal semua data yang diserap dari perangkat Anda melalui sensor jaringan. portal Azure menyediakan nilai ekstra, seperti buku kerja, koneksi ke Microsoft Azure Sentinel, dan lainnya.
Gunakan juga portal Azure untuk mendapatkan pembaruan appliance dan perangkat lunak baru, onboard dan memelihara sensor Anda di Defender untuk IoT, dan memperbarui paket inteligensi ancaman.
Konsol sensor. Anda juga dapat melihat deteksi untuk perangkat yang terhubung ke sensor tertentu dari konsol sensor. Gunakan konsol sensor untuk melihat peta jaringan, berbagai laporan, meneruskan informasi ke sistem mitra, dan banyak lagi.
Konsol manajemen lokal. Di lingkungan dengan celah udara, Anda dapat mendapatkan tampilan data terpusat dari semua sensor Anda dari konsol manajemen lokal. Konsol manajemen lokal juga menyediakan alat pemeliharaan tambahan dan fitur pelaporan.
Langkah berikutnya
Untuk lingkungan OT, pahami metode yang didukung untuk menghubungkan sensor jaringan ke Defender untuk IoT.
Untuk informasi selengkapnya, lihat: