Defender for IoT Horizon

Defender for IoT Horizon meliputi Open Development Environment (ODE) yang digunakan untuk mengamankan perangkat IoT dan ICS yang menjalankan protokol kepemilikan.

Horizon menyediakan:

  • Dukungan penuh dan tidak terbatas untuk protokol umum kepemilikan atau protokol khusus yang menyimpang dari standar apa pun.
  • Tingkat fleksibilitas dan ruang lingkup baru untuk pengembangan DPI.
  • Alat yang secara eksponensial memperluas visibilitas dan kontrol OT tanpa perlu peningkatan ke versi terbaru.
  • Keamanan yang mengizinkan pengembangan kepemilikan tanpa membocorkan informasi sensitif.

Gunakan Horizon SDK untuk merancang plugin dissector yang memecahkan kode lalu lintas jaringan sehingga dapat diproses oleh program analisis jaringan otomatis Defender for IoT.

Dissectors protokol dikembangkan sebagai plugin eksternal dan terintegrasi dengan berbagai layanan Defender for IoT, misalnya layanan yang menyediakan kemampuan pemantauan, pemberitahuan, dan pelaporan.

Hubungi ms-horizon-support@microsoft.com untuk detail mengenai bekerja dengan SDK Lingkungan Produksi Terbuka (ODE/Open Development Environment) dan membuat plugin protokol.

Setelah plugin dikembangkan, Anda dapat menggunakan konsol web Horizon untuk:

  • Unggah plugin Anda

  • Aktifkan dan nonaktifkan plugin

  • Pantau dan debug plugin untuk mengevaluasi performa

  • Buat pemberitahuan khusus berdasarkan protokol kepemilikan. Tampilkan di konsol dan teruskan ke vendor mitra.

    Unggah melalui plugin horizon Anda.

Fitur ini tersedia untuk Admin, Cyberx, atau pengguna Dukungan.

Untuk masuk ke konsol Horizon:

  1. Masuk ke sensor Anda melalui CLI.

  2. Dalam file: /var/cyberx/properties/horizon.properties ubah ui.enabled properti ke true (horizon.properties:ui.enabled=true)

  3. Masuk ke konsol sensor.

  4. Pilih Horizon dari menu utama.

    Pilih Horizon dari menu utama.

Konsol Horizon menampilkan plugin infrastruktur yang disediakan oleh Defender for IoT dan plugin lain yang Anda buat dan unggah.

Cuplikan layar infrastruktur Horizon.

Unggah plugin

Setelah membuat dan menguji plugin dissector kepemilikan Anda, Anda dapat mengunggah dan memantaunya dari konsol Horizon.

Untuk mengunggah:

  1. Pilih UNGGAH dari konsol.

    Pilih unggah untuk plugin Anda.

  2. Seret atau telusuri ke plugin Anda. Jika unggahan gagal, pesan kesalahan akan muncul.

Hubungi ms-horizon-support@microsoft.com untuk detail mengenai bekerja dengan SDK Lingkungan Produksi Terbuka (ODE/Open Development Environment) dan membuat plugin protokol.

Aktifkan dan nonaktifkan plugin

Gunakan tombol dwiarah untuk mengaktifkan dan menonaktifkan plugin. Ketika dinonaktifkan, lalu lintas tidak lagi dipantau.

Plugin infrastruktur tidak dapat dinonaktifkan.

Pantau performa plugin

Jendela Gambaran umum konsol Horizon menyediakan informasi dasar tentang plugin yang Anda unggah dan memungkinkan Anda menonaktifkan dan mengaktifkannya.

Cuplikan layar halaman ringkasan Horizon.

Aplikasi Nama plugin yang Anda unggah.
Aktifkan atau nonaktifkan plugin. Sensor tidak akan menangani lalu lintas protokol yang ditentukan dalam plugin ketika Anda menonaktifkan plugin.
Waktu Waktu terakhir data dianalisis. Diperbarui setiap lima detik.
PPS Jumlah paket per detik.
Bandwidth Bandwidth rata-rata terdeteksi dalam lima detik terakhir.
Malforms Validasi malform digunakan setelah protokol selesai divalidasi. Jika ada kegagalan pemrosesan paket berdasarkan protokol, respons kegagalan dikembalikan.

Tinjau kolom ini menunjukkan jumlah kesalahan format dalam lima detik terakhir.
Peringatan Paket cocok dengan struktur dan spesifikasi tetapi ada perilaku tak terduga berdasarkan konfigurasi peringatan plugin.
Kesalahan Jumlah paket yang gagal dalam validasi protokol dasar yang cocok dengan definisi protokol. Angka yang ditampilkan di sini menunjukkan bahwa jumlah kesalahan terdeteksi dalam lima detik terakhir.
Tinjau detail tentang malform dan peringatan yang terdeteksi untuk plugin Anda.

Detail performa plugin

Anda dapat memantau performa plugin real time dengan menganalisis jumlah malform dan peringatan yang terdeteksi untuk plugin Anda. Sebuah opsi tersedia untuk membekukan layar dan mengekspor untuk penyelidikan lebih lanjut

Cuplikan layar gambaran umum monitor SNMP.

Log Horizon

Informasi pembedahan Horizon tersedia untuk diekspor dalam detail pembedahan, log pembedahan, dan log ekspor.

Detail pembedahan log ekspor.

Pemberitahuan Pemicu Horizon

Tingkatkan manajemen pemberitahuan di perusahaan Anda dengan memicu pemberitahuan khusus untuk protokol apa pun berdasarkan dissector lalu lintas Horizon framework.

Peringatan ini dapat digunakan untuk menyampaikan informasi:

  • Tentang deteksi lalu lintas berdasarkan protokol dan protokol yang mendasarinya dalam plugin Horizon kepemilikan.

  • Tentang kombinasi bidang protokol dari semua lapisan protokol. Misalnya, dalam lingkungan yang menjalankan MODBUS, Anda mungkin ingin membuat pemberitahuan saat sensor mendeteksi perintah tulis ke register memori pada alamat IP dan tujuan Ethernet tertentu, atau pemberitahuan ketika ada akses yang dijalankan ke alamat IP khusus.

Pemberitahuan dipicu ketika pemberitahuan Horizon dan kondisi aturan terpenuhi.

Sampel aturan kustom untuk Horizon.

Selain itu, bekerja dengan pemberitahuan kustom Horizon memungkinkan Anda menulis judul dan pesan pemberitahuan Anda sendiri. Bidang protokol dan nilai yang diselesaikan dapat disematkan dalam teks pesan pemberitahuan.

Menggunakan pesan dan pemicuan pemberitahuan bersyarat membantu untuk menentukan aktivitas jaringan tertentu dan memperbarui tim keamanan, IT, dan operasional Anda secara efektif.

Bekerja dengan pemberitahuan Horizon

Pemberitahuan yang dihasilkan oleh aturan pemberitahuan kustom Horizon ditampilkan di jendela Pemberitahuan sensor dan konsol manajemen serta dalam sistem mitra terintegrasi saat menggunakan Aturan Penerusan.

Pemberitahuan yang dihasilkan oleh Horizon dapat dikonfirmasi atau dibisukan. Opsi pelajari tidak tersedia untuk pemberitahuan kustom karena peristiwa pemberitahuan tidak dapat dipelajari ke garis besar kebijakan.

Informasi pemberitahuan diteruskan ke vendor mitra saat aturan Penerusan digunakan.

Tingkat keparahan pemberitahuan kustom Horizon kritis.

Pemberitahuan kustom Horizon meliputi teks statis di bawah bagian Kelola Peristiwa ini yang menunjukkan bahwa pemberitahuan tersebut dihasilkan oleh tim keamanan organisasi Anda.

Memerlukan izin

Pengguna yang didefinisikan sebagai Defender for IoT users memiliki izin untuk membuat Horizon Custom Alert Rules.

Tentang pembuatan kondisi aturan

Kondisi aturan menjelaskan lalu lintas yang harus dideteksi untuk memicu pemberitahuan. Kondisi aturan dapat terdiri dari satu atau beberapa set bidang, operator, dan nilai. Buat set kondisi dengan menggunakan AND.

Saat kondisi aturan atau kondisi yang ditetapkan terpenuhi, pemberitahuan akan dikirim. Anda akan diberi tahu jika logika kondisi tidak valid.

Gunakan kondisi AND untuk aturan kustom Anda.

Anda juga dapat membuat beberapa aturan untuk satu protokol. Ini berarti pemberitahuan akan dipicu untuk setiap aturan yang Anda buat saat kondisi aturan terpenuhi.

Tentang judul dan pesan

Pesan pemberitahuan dapat berupa karakter alfanumerik yang Anda masukkan serta variabel lalu lintas yang terdeteksi. Sebagai contoh, menyertakan alamat sumber dan tujuan yang terdeteksi dalam pesan pemberitahuan. Berbagai bahasa komputer didukung.

Tentang rekomendasi pemberitahuan

Pemberitahuan kustom Horizon meliputi teks statis di bawah bagian Kelola Peristiwa ini yang menunjukkan bahwa pemberitahuan tersebut dihasilkan oleh tim keamanan organisasi Anda. Anda juga dapat bekerja dengan komentar pemberitahuan untuk meningkatkan komunikasi antara individu dan tim yang membaca pemberitahuan Anda.

Buat aturan pemberitahuan Horizon

Artikel ini menjelaskan cara membuat aturan pemberitahuan.

Untuk membuat pemberitahuan kustom Horizon:

  1. Klik kanan plugin dari menu plugin pada konsol Horizon.

    Klik kanan pada plugin dari menu.

  2. Pilih Horizon Kustom Pemberitahuan. Aturan jendela terbuka untuk plugin yang Anda pilih.

    Sampel aturan jendela terbuka untuk plugin Anda.

  3. Masukkan judul di bidang Judul.

  4. Masukkan pesan pemberitahuan di bidang Pesan. Gunakan tanda kurung kurawal {} untuk menyertakan parameter bidang yang terdeteksi dalam pesan. Saat Anda memasukkan tanda kurung pertama, bidang yang relevan akan muncul.

    Gunakan {} di jendela aturan untuk menyertakan bidang yang terdeteksi.

  5. Tentukan kondisi pemberitahuan.

    Menentukan kondisi pemberitahuan.

  6. Pilih Variable. Variabel mewakili bidang yang dikonfigurasi dalam plugin.

  7. Pilih Operator:

    • Sama dengan

    • Tidak sama dengan

    • Kurang dari

    • Kurang dari atau sama dengan

    • Lebih besar dari

    • Lebih besar dari atau sama dengan

  8. Masukkan Nilai sebagai angka. Jika variabel yang Anda pilih adalah alamat MAC atau alamat IP, nilai tersebut harus dikonversi dari alamat desimal bertitik ke format desimal. Gunakan alat konversi alamat IP, misalnya https://www.ipaddressguide.com/ip.

    Nilai alamat IP yang diterjemahkan.

  9. Pilih AND untuk membuat kumpulan kondisi.

  10. Pilih SIMPAN. Aturan ditambahkan ke bagian Aturan.

Edit dan hapus aturan pemberitahuan kustom Horizon

Gunakan opsi edit dan hapus jika diperlukan. Aturan tertentu disematkan dan tidak bisa diedit atau dihapus.

Buat beberapa aturan

Saat Anda membuat beberapa aturan, pemberitahuan dipicu saat terdapat kondisi aturan atau kumpulan kondisi yang valid.

Lihat juga

Lihat informasi yang disediakan dalam pemberitahuan