Komponen Pertahanan Microsoft untuk IoT
Sistem Microsoft Defender untuk IoT dibangun untuk memberikan cakupan dan visibilitas yang luas dari berbagai sumber data.
Gambar berikut menunjukkan bagaimana data dapat mengalirkan ke Defender untuk IoT dari sensor jaringan dan sumber pihak ketiga untuk memberikan tampilan terpadu keamanan IoT/OT. Defender untuk IoT dalam portal Azure menyediakan inventaritas aset, penilaian kerentanan, dan pemantauan ancaman berkelanjutan.
Defender untuk IoT terhubung ke komponen cloud dan lokal, dan dibangun untuk skalabilitas di lingkungan besar dan terdistribusi secara geografis.
Defender untuk IoT mencakup komponen pemantauan keamanan OT berikut:
portal Azure, untuk manajemen cloud dan integrasi ke layanan Microsoft lain, seperti Microsoft Sentinel.
Sensor jaringan teknologi operasional (OT) atau Enterprise IoT, untuk mendeteksi perangkat di seluruh jaringan Anda. Sensor jaringan Defender for IoT disebarkan pada komputer virtual atau appliance fisik. Sensor OT dapat dikonfigurasi sebagai sensor yang terhubung ke cloud, atau sensor yang dikelola secara lokal sepenuhnya.
Konsol manajemen lokal untuk manajemen sensor OT terpusat dan pemantauan untuk lingkungan lokal yang di-udara.
Sensor jaringan OT dan Enterprise IoT
Sensor jaringan Defender for IoT menemukan dan terus memantau lalu lintas jaringan di seluruh perangkat jaringan Anda.
Sensor jaringan dibuat khusus untuk jaringan OT/IoT dan terhubung ke port SPAN atau TAP jaringan. Sensor jaringan Defender for IoT dapat memberikan visibilitas ke dalam risiko dalam beberapa menit setelah terhubung ke jaringan.
Sensor jaringan menggunakan mesin analitik sadar OT/IoT dan Inspeksi Paket Mendalam (DPI) Layer-6 untuk mendeteksi ancaman, seperti malware tanpa file, berdasarkan aktivitas anomali atau tidak sah.
Pengumpulan, pemrosesan, analisis, dan peringatan data terjadi langsung pada sensor, yang dapat ideal untuk lokasi dengan bandwidth rendah atau konektivitas latensi tinggi. Hanya telemetri dan wawasan yang ditransfer untuk manajemen, baik ke portal Azure atau konsol manajemen lokal.
Untuk informasi selengkapnya, lihat Jalur penyebaran Defender for IoT OT.
Sensor OT yang terhubung ke cloud vs. lokal
Sensor yang terhubung ke cloud adalah sensor yang terhubung ke Defender untuk IoT di Azure, dan berbeda dari sensor yang dikelola secara lokal sebagai berikut:
Ketika Anda memiliki sensor jaringan OT yang terhubung ke cloud:
Semua data yang dideteksi sensor ditampilkan di konsol sensor, tetapi informasi pemberitahuan juga dikirimkan ke Azure, tempat sensor dapat dianalisis dan dibagikan dengan layanan Azure lainnya.
Paket inteligensi ancaman Microsoft dapat secara otomatis didorong ke sensor yang terhubung ke cloud.
Nama sensor yang ditentukan selama onboarding adalah nama yang ditampilkan pada sensor, dan baca-saja dari konsol sensor.
Sebaliknya, saat bekerja dengan sensor yang dikelola secara lokal:
Lihat data apa pun untuk sensor tertentu dari konsol sensor. Untuk tampilan terpadu dari semua informasi yang terdeteksi oleh beberapa sensor, gunakan konsol manajemen lokal.
Anda harus mengunggah paket inteligensi ancaman apa pun secara manual ke sensor yang dikelola secara lokal.
Nama sensor dapat diperbarui di konsol sensor.
Untuk informasi selengkapnya, lihat Mengelola sensor OT dari konsol sensor dan Mengelola sensor OT dari konsol manajemen.
Mesin analitik Defender untuk IoT
Sensor jaringan Defender for IoT menganalisis data yang diserap menggunakan mesin analitik bawaan, dan memicu pemberitahuan berdasarkan lalu lintas real-time dan pra-rekaman.
Mesin analitik menyediakan pembelajaran mesin dan analitik profil, analisis risiko, database perangkat dan serangkaian wawasan, inteligensi ancaman, dan analitik perilaku.
Sebagai contoh, mesin deteksi pelanggaran kebijakan memodelkan jaringan sistem kontrol industri (ICS) untuk mendeteksi penyimpangan dari perilaku "garis besar" yang diharapkan-dengan menggunakan Deteksi Anomali Perilaku (BAD) seperti yang diuraikan dalam NISTIR 8219. Garis besar ini dikembangkan dengan memahami aktivitas reguler yang terjadi di jaringan, seperti pola lalu lintas normal, tindakan pengguna, dan akses ke jaringan ICS. Sistem BAD kemudian memantau jaringan untuk setiap penyimpangan dari perilaku yang diharapkan dan menandai pelanggaran kebijakan apa pun. Contoh penyimpangan garis besar termasuk penggunaan kode fungsi yang tidak sah, akses ke objek tertentu, atau perubahan pada konfigurasi perangkat.
Karena banyak algoritma deteksi dibangun untuk TI, bukan jaringan OT, garis besar tambahan untuk jaringan ICS membantu mempersingkat kurva pembelajaran sistem untuk deteksi baru.
Sensor jaringan Defender for IoT mencakup mesin analitik utama berikut:
| Nama | Deskripsi | Contoh |
|---|---|---|
| Mesin deteksi pelanggaran protokol | Mengidentifikasi penggunaan struktur paket dan nilai bidang yang melanggar spesifikasi protokol ICS. Pelanggaran protokol terjadi ketika struktur paket atau nilai bidang tidak mematuhi spesifikasi protokol. |
Pemberitahuan "Operasi MODBUS Ilegal (Kode Fungsi Nol)" menunjukkan bahwa perangkat utama mengirim permintaan dengan kode fungsi 0 ke perangkat sekunder. Tindakan ini tidak diizinkan sesuai dengan spesifikasi protokol, dan perangkat sekunder mungkin tidak menangani input dengan benar |
| Pelanggaran Kebijakan | Pelanggaran kebijakan terjadi dengan penyimpangan dari perilaku dasar yang didefinisikan dalam pengaturan yang dipelajari atau yang dikonfigurasi. | Pemberitahuan "Agen Pengguna HTTP Tidak Sah" menunjukkan bahwa aplikasi yang tidak dipelajari atau disetujui oleh kebijakan digunakan sebagai klien HTTP pada perangkat. Mungkin browser web atau aplikasi baru di perangkat tersebut. |
| Mesin deteksi malware industri | Mengidentifikasi perilaku yang menunjukkan adanya aktivitas jaringan berbahaya melalui malware yang diketahui, seperti Conficker, Black Energy, Havex, WannaCry, NotPetya, dan Triton. | Peringatan "Kecurigaan Aktivitas Berbahaya (Stuxnet)" menunjukkan bahwa sensor mendeteksi aktivitas jaringan mencurigakan yang diketahui terkait dengan malware Stuxnet. Malware ini adalah ancaman persisten canggih yang ditujukan untuk kontrol industri dan jaringan SCADA. |
| Mesin deteksi anomali | Mendeteksi komunikasi dan perilaku mesin-ke-mesin (M2M) yang tidak biasa. Mesin ini memodelkan jaringan ICS dan karenanya memerlukan periode pembelajaran yang lebih pendek daripada analitik yang dikembangkan untuk IT. Anomali terdeteksi lebih cepat, dengan positif palsu minimal. |
Peringatan "Perilaku Berkala dalam Saluran Komunikasi" mencerminkan perilaku berkala dan siklik transmisi data, yang umum dalam jaringan industri. Contoh lain termasuk upaya masuk SMB yang berlebihan, dan peringatan yang terdeteksi pemindaian PLC. |
| Deteksi insiden operasional | Mendeteksi masalah operasional seperti konektivitas terputus-putus yang dapat menunjukkan tanda-tanda awal kegagalan peralatan. | Peringatan "Perangkat Diduga Terputus (Tidak Responsif)" dipicu saat perangkat tidak merespons permintaan apa pun untuk periode yang telah ditentukan sebelumnya. Pemberitahuan ini mungkin menunjukkan penonaktifan, pemutusan, atau kerusakan perangkat. Contoh lain mungkin jika perintah Siemens S7 stop PLC dikirim pemberitahuan. |
Opsi manajemen
Defender untuk IoT menyediakan dukungan jaringan hibrid menggunakan opsi manajemen berikut:
Portal Microsoft Azure. Gunakan portal Azure sebagai panel kaca tunggal untuk melihat semua data yang diserap dari perangkat Anda melalui sensor jaringan yang terhubung ke cloud. portal Azure menyediakan nilai tambahan, seperti buku kerja, koneksi ke Microsoft Azure Sentinel, rekomendasi keamanan, dan banyak lagi.
Gunakan juga portal Azure untuk mendapatkan pembaruan appliance dan perangkat lunak baru, onboard dan memelihara sensor Anda di Defender untuk IoT, dan memperbarui paket inteligensi ancaman. Misalnya:
Konsol sensor OT. Lihat deteksi untuk perangkat yang terhubung ke sensor OT tertentu dari konsol sensor. Gunakan konsol sensor untuk melihat peta jaringan untuk perangkat yang terdeteksi oleh sensor tersebut, garis waktu semua peristiwa yang terjadi pada sensor, meneruskan informasi sensor ke sistem mitra, dan banyak lagi. Misalnya:
Konsol manajemen lokal. Di lingkungan bersalur udara, Anda bisa mendapatkan tampilan data terpusat dari semua sensor Anda dari konsol manajemen lokal, menggunakan alat pemeliharaan tambahan dan fitur pelaporan.
Versi perangkat lunak pada konsol manajemen lokal Anda harus sama dengan versi sensor terbaru Anda. Setiap versi konsol manajemen lokal kompatibel dengan versi sensor sebelumnya yang lebih lama dan didukung, tetapi tidak dapat tersambung ke versi sensor yang lebih baru.
Untuk informasi selengkapnya, lihat Jalur penyebaran manajemen sensor OT yang dipetakan udara.
Perangkat yang dipantau oleh Defender untuk IoT
Pertahanan untuk IoT dapat menemukan semua perangkat, dari semua jenis, di semua lingkungan. Perangkat dicantumkan di halaman Pertahanan untuk IoT Inventaris perangkat berdasarkan sambungan alamat IP dan MAC yang unik.
Defender untuk IoT mengidentifikasi perangkat tunggal dan unik sebagai berikut:
| Jenis | Deskripsi |
|---|---|
| Diidentifikasi sebagai perangkat individual | Perangkat yang diidentifikasi sebagai perangkat individual meliputi: Perangkat IT, OT, atau IoT dengan satu atau beberapa NIC, termasuk perangkat infrastruktur jaringan seperti tombol dan router Catatan: Perangkat dengan modul atau komponen bidang belakang, seperti rak atau slot, dihitung sebagai satu perangkat, termasuk semua modul atau komponen bidang belakang. |
| Tidak diidentifikasi sebagai perangkat individual | Item berikut ini tidak dianggap sebagai perangkat individual, dan tidak dihitung terhadap lisensi Anda: - Alamat IP internet publik - Grup multi-cast - Grup siaran - Perangkat tidak aktif Perangkat yang dipantau dengan jaringan ditandai sebagai tidak aktif jika aktivitas jaringan tidak terdeteksi dalam waktu tertentu: - Jaringan OT: Tidak ada aktivitas jaringan yang terdeteksi selama lebih dari 60 hari - Jaringan Enterprise IoT: Tidak ada aktivitas jaringan yang terdeteksi selama lebih dari 30 hari Catatan: Titik akhir yang sudah dikelola oleh Defender for Endpoint tidak dianggap sebagai perangkat terpisah oleh Defender for IoT. |