Tutorial: Mengintegrasikan Microsoft Sentinel dan Microsoft Defender untuk IoT
Microsoft Defender untuk IoT memungkinkan Anda mengamankan seluruh lingkungan OT Anda, apakah Anda perlu melindungi perangkat OT yang ada atau membangun keamanan ke dalam inovasi IoT baru.
Microsoft Sentinel dan Microsoft Defender untuk IoT membantu menjembatani kesenjangan antara tantangan keamanan TI dan OT, dan untuk memberdayakan tim SOC dengan kemampuan out-of-the-box untuk mendeteksi dan merespons ancaman OT secara efisien dan efektif. Integrasi antara Microsoft Defender untuk IoT dan Microsoft Sentinel membantu organisasi untuk dengan cepat mendeteksi serangan multihatap, yang sering melintasi batas TI dan OT.
Di tutorial ini, Anda akan:
- Menyambungkan Microsoft Sentinel untuk Defender untuk IoT
- Menggunakan Analisis Log untuk meminta peringatan Defender untuk IoT
- Memasang solusi Microsoft Sentinel untuk Defender untuk IoT
- Pelajari tentang aturan analitik, buku kerja, dan playbook yang disebarkan ke ruang kerja Microsoft Sentinel Anda dengan solusi Defender for IoT
Prasyarat
Sebelum memulai, pastikan Anda memiliki persyaratan berikut di ruang kerja Anda:
Izin Baca dan Tulis di ruang kerja Microsoft Azure Sentinel
Izin Kontributor pada langganan yang ingin Anda sambungkan
Defender for IoT harus diaktifkan pada instans IoT Hub Anda yang relevan.
Gunakan prosedur berikut untuk memverifikasi atau mengaktifkan pengaturan ini jika diperlukan:
Buka instans Azure IoT Hub yang telah Anda tentukan saat onboarding sensor di Defender untuk IoT.
Pilih Defender untuk IoT > Pengaturan > Pengumpulan Data.
Di bawah Pertahanan Microsoft untuk IoT, pilih Aktifkan Pertahanan Microsoft untuk IoT.
Untuk informasi selengkapnya, lihat Izin di Microsoft Sentinel dan Mulai Cepat: Mulai dengan Defender untuk IoT.
Penting
Saat ini, memiliki Konektor data Microsoft Defender untuk IoT dan Microsoft Defender untuk Cloud yang diaktifkan di ruang kerja Microsoft Sentinel yang sama secara bersamaan dapat menghasilkan peringatan duplikat di Microsoft Sentinel. Sebaiknya putuskan sambungan konektor data Microsoft Defender untuk Cloud sebelum menyambungkan ke Microsoft Defender untuk Cloud.
Sambungkan data Anda dari Pertahanan untuk IoT ke Microsoft Sentinel
Menggunakan konektor Pertahanan untuk IoT untuk melakukan streaming semua peristiwa Pertahanan untuk IoT ke Microsoft Azure Sentinel.
Untuk mengaktifkan konektor data Defender untuk IoT:
Di Microsoft Sentinel, di bawah Konfigurasi, pilih Konektor data, lalu temukan konektor data Microsoft Defender untuk IoT.
Di kanan bawah, pilih Buka halaman konektor.
Pada tab Petunjuk, di bawah Konfigurasi, pilih Koneksi untuk setiap langganan yang peringatan dan peringatan perangkatnya ingin Anda streaming ke Microsoft Sentinel.
Jika Anda telah membuat perubahan koneksi, diperlukan waktu 10 detik atau lebih agar daftar Langganan diperbarui.
Tip
Jika Anda melihat pesan kesalahan, pastikan Anda mengaktifkan Defender untuk IoT pada setidaknya satu instans IoT Hub dalam langganan yang Anda pilih.
Untuk informasi selengkapnya, lihat Menyambungkan Microsoft Sentinel ke layanan Azure, Windows, Microsoft, dan Amazon.
Melihat peringatan Defender untuk IoT
Lihat peringatan Defender untuk IoT di area Log Microsoft Sentinel.
Di Microsoft Sentinel, pilih Log > AzureSecurityOfThings > SecurityAlert, atau cari SecurityAlert.
Gunakan kueri sampel berikut untuk memfilter log dan melihat peringatan yang dihasilkan oleh Defender untuk IoT:
Untuk melihat semua peringatan yang dihasilkan oleh Defender untuk IoT:
SecurityAlert | where ProductName == "Azure Security Center for IoT"Untuk melihat peringatan sensor tertentu yang dihasilkan oleh Defender untuk IoT:
SecurityAlert | where ProductName == "Azure Security Center for IoT" | where tostring(parse_json(ExtendedProperties).SensorId) == “<sensor_name>”Untuk melihat peringatan mesin OT tertentu yang dihasilkan oleh Defender untuk IoT:
SecurityAlert | where ProductName == "Azure Security Center for IoT" | where ProductComponentName == "MALWARE" SecurityAlert | where ProductName == "Azure Security Center for IoT" | where ProductComponentName == "ANOMALY" SecurityAlert | where ProductName == "Azure Security Center for IoT" | where ProductComponentName == "PROTOCOL_VIOLATION" SecurityAlert | where ProductName == "Azure Security Center for IoT" | where ProductComponentName == "POLICY_VIOLATION" SecurityAlert | where ProductName == "Azure Security Center for IoT" | where ProductComponentName == "OPERATIONAL"Untuk melihat peringatan tingkat keparahan tinggi yang dihasilkan oleh Defender untuk IoT:
SecurityAlert | where ProductName == "Azure Security Center for IoT" | where AlertSeverity == "High"Untuk melihat peringatan protokol tertentu yang dihasilkan oleh Defender untuk IoT:
SecurityAlert | where ProductName == "Azure Security Center for IoT" | where tostring(parse_json(ExtendedProperties).Protocol) == "<protocol_name>"
Catatan
Halaman Log di Microsoft Sentinel didasarkan pada Analitik Log Azure Monitor.
Untuk informasi selengkapnya, lihat Gambaran umum kueri log di dokumentasi Azure Monitor dan modul Microsoft Learn Tulis kueri KQL pertama Anda.
Memasang solusi Defender untuk IoT
Solusi Pemantauan Ancaman OT IoT dengan Defender untuk IoT adalah set konten yang dibundel, termasuk aturan analitik, buku kerja, dan playbook, yang dikonfigurasi khusus untuk data Defender untuk IoT. Solusi ini saat ini hanya mendukung Jaringan Operasional (OT/ICS).
Tip
Solusi Microsoft Sentinel dapat melakukan onboard konten keamanan Microsoft Sentinel untuk konektor data tertentu dengan menggunakan satu proses. Misalnya, Pemantauan Ancaman OT IoT dengan Defender untuk IoT mendukung integrasi dengan kemampuan orkestrasi, otomatisasi, dan respons keamanan Microsoft Sentinel (SOAR) dengan menyediakan playbook yang dioptimalkan di luar kotak dan OT dengan kemampuan respons dan pencegahan otomatis.
Untuk memasang solusi
Di Microsoft Sentinel, di bawah Manajemen konten, pilih Hub konten lalu temukan Pemantauan Ancaman OT IoT dengan solusi Defender untuk IoT.
Di kanan bawah, pilih Tampilkan detail, lalu Buat. Pilih langganan, grup sumber daya, dan ruang kerja tempat Anda ingin memasang solusi, lalu tinjau konten keamanan terkait yang akan disebarkan.
Setelah selesai, pilih Tinjau + Buat untuk memasang solusi.
Untuk informasi selengkapnya, lihat Tentang konten dan solusi Microsoft Sentinel dan Temukan dan terapkan konten dan solusi di luar kotak secara terpusat.
Mendeteksi ancaman di luar kotak dengan data Defender untuk IoT
Insiden tidak dibuat untuk peringatan yang dihasilkan oleh data Defender untuk IoT secara default.
Anda dapat memastikan bahwa Microsoft Sentinel membuat insiden untuk peringatan relevan yang dihasilkan oleh Defender for IoT, baik dengan menggunakan aturan analitik out-of-the-box yang disediakan dalam Pemantauan Ancaman OT IoT dengan solusi Defender untuk IoT, mengonfigurasi aturan analitik secara manual, atau dengan mengonfigurasi konektor data Anda untuk secara otomatis membuat insiden untuk semua peringatan yang dihasilkan oleh Defender untuk IoT.
Untuk informasi selengkapnya, lihat:
- Menggunakan aturan analitik out-of-the-box
- Membuat dan memelihara aturan analitik secara manual
- Mengonfigurasi konektor untuk membuat insiden untuk semua peringatan
Pasang solusi Defender untuk IoT untuk mendapatkan aturan analitik out-of-the-box yang diterapkan ke ruang kerja Anda, yang dibuat khusus untuk data Defender untuk IoT.
Tabel berikut menjelaskan aturan analitik out-of-the-box yang disediakan dalam Pemantauan Ancaman OT IoT dengan solusi Defender untuk IoT.
Tip
Saat bekerja dengan aturan analitik berikut, sebaiknya Matikan Pertahanan Keamanan Microsoft default untuk aturan analitik IoT.
| Nama Aturan | Deskripsi |
|---|---|
| Kode fungsi ilegal untuk lalu lintas ICS /SCADA | Kode fungsi ilegal dalam peralatan kontrol pengawasan dan akuisisi data (SCADA) dapat menunjukkan salah satu hal berikut: - Konfigurasi aplikasi yang tidak tepat, seperti karena pembaruan firmware atau penginstalan ulang. - Aktivitas berbahaya. Misalnya, ancaman cyber yang mencoba menggunakan nilai ilegal dalam protokol untuk mengeksploitasi kerentanan dalam pengontrol logika yang dapat diprogram (PLC), seperti luapan buffer. |
| Pembaruan Firmware | Pembaruan firmware yang tidak sah dapat mengindikasikan aktivitas berbahaya di jaringan, seperti ancaman cyber yang mencoba memanipulasi firmware PLC untuk mengompromikan fungsi PLC. |
| Perubahan PLC yang tidak sah | Perubahan yang tidak sah pada kode logika tangga PLC mungkin salah satu dari yang berikut: - Indikasi fungsionalitas baru di PLC. - Konfigurasi aplikasi yang tidak tepat, seperti karena pembaruan firmware atau penginstalan ulang. Aktivitas berbahaya di jaringan, seperti ancaman cyber yang mencoba memanipulasi pemrograman PLC untuk mengganggu fungsi PLC. |
| Keadaan kunci tidak aman PLC | Mode baru mungkin menunjukkan bahwa PLC tidak aman. Meninggalkan PLC dalam mode operasi yang tidak aman memungkinkan musuh untuk melakukan aktivitas berbahaya di atasnya, seperti unduhan program. Jika PLC terganggu, perangkat dan proses yang berinteraksi dengannya mungkin akan terpengaruh. yang dapat mempengaruhi keamanan dan keselamatan sistem secara keseluruhan. |
| Penghentian PLC | Perintah berhenti PLC dapat menunjukkan konfigurasi aplikasi yang tidak tepat yang telah menyebabkan PLC berhenti berfungsi, atau aktivitas berbahaya di jaringan. Misalnya, ancaman cyber yang mencoba memanipulasi pemrograman PLC untuk mempengaruhi fungsionalitas jaringan. |
| Malware mencurigakan ditemukan di jaringan | Malware mencurigakan yang ditemukan di jaringan menunjukkan bahwa malware yang mencurigakan mencoba untuk mengganggu produksi. |
| Beberapa pemindaian dalam jaringan | Beberapa pemindaian pada jaringan dapat menjadi indikasi salah satu hal berikut: - Perangkat baru di jaringan - Fungsionalitas baru dari perangkat yang sudah ada - Salah konfigurasi aplikasi, seperti akibat pembaruan atau penginstalan ulang firmware - Aktivitas berbahaya di jaringan untuk pengintaian |
| Konektivitas internet | Perangkat OT yang berkomunikasi dengan alamat internet dapat menunjukkan konfigurasi aplikasi yang tidak tepat, seperti perangkat lunak anti-virus yang mencoba mengunduh pembaruan dari server eksternal, atau aktivitas berbahaya di jaringan. |
| Perangkat yang tidak sah di jaringan SCADA | Perangkat yang tidak sah di jaringan mungkin merupakan perangkat baru yang sah yang baru-baru ini dipasang di jaringan, atau indikasi aktivitas yang tidak sah atau bahkan berbahaya di jaringan, seperti ancaman cyber yang mencoba memanipulasi jaringan SCADA. |
| Konfigurasi DHCP yang tidak sah di jaringan SCADA | Konfigurasi DHCP yang tidak sah pada jaringan dapat menunjukkan perangkat baru yang tidak sah yang beroperasi di jaringan. Ini mungkin salah satu perangkat baru yang sah yang baru-baru ini digunakan di jaringan, atau indikasi aktivitas yang tidak sah atau bahkan berbahaya di jaringan, seperti ancaman cyber yang mencoba memanipulasi jaringan SCADA. |
| Upaya login berlebihan | Upaya login yang berlebihan dapat menandakan konfigurasi layanan yang tidak tepat, kesalahan manusia, atau aktivitas berbahaya di jaringan, seperti ancaman cyber yang mencoba memanipulasi jaringan SCADA. |
| Bandwidth tinggi dalam jaringan | Bandwidth yang luar biasa tinggi mungkin merupakan indikasi dari layanan / proses baru di jaringan, seperti cadangan, atau indikasi aktivitas berbahaya di jaringan, seperti ancaman cyber yang mencoba memanipulasi jaringan SCADA. |
| Penolakan Layanan | Peringatan ini mendeteksi serangan yang akan mencegah penggunaan atau pengoperasian sistem DCS yang tepat. |
| Akses jarak jauh yang tidak sah ke jaringan | Akses jarak jauh yang tidak sah ke jaringan dapat membahayakan perangkat target. Ini berarti bahwa jika perangkat lain di jaringan terganggu, perangkat target dapat diakses dari jarak jauh, meningkatkan permukaan serangan. |
| Tidak ada lalu lintas pada Sensor Yang Terdeteksi | Sensor yang tidak lagi mendeteksi lalu lintas jaringan menunjukkan bahwa sistem mungkin tidak aman. |
Memvisualisasikan dan memantau data Defender for IoT
Untuk memvisualisasikan dan memantau data Defender for IoT Anda, gunakan buku kerja yang disebarkan ke ruang kerja Microsoft Sentinel Anda sebagai bagian dari Pemantauan Ancaman OT IoT dengan solusi Defender for IoT.
Buku kerja Defender for IoT menyediakan investigasi terpandu untuk entitas OT berdasarkan insiden terbuka, pemberitahuan peringatan, dan aktivitas untuk aset OT. Mereka juga memberikan pengalaman berburu di seluruh kerangka MITRE ATT&CK® untuk ICS, dan dirancang untuk memungkinkan analis, insinyur keamanan, dan MSSP untuk mendapatkan kesadaran situasional tentang postur keamanan OT.
Menampilkan buku kerja di Microsoft Sentinel pada tab Buku Kerja > manajemen ancaman > Buku kerja saya. Untuk informasi selengkapnya, lihat Memvisualisasikan data yang dikumpulkan.
Tabel berikut menjelaskan buku kerja yang termasuk dalam Pemantauan Ancaman OT IoT dengan solusi Defender for IoT:
| Buku kerja | Deskripsi | Log |
|---|---|---|
| Pemberitahuan | Menampilkan data seperti: Metrik Peringatan, Peringatan Paling Atas, Peringatan dari waktu ke waktu, Peringatan berdasarkan Tingkat Keparahan, Peringatan berdasarkan Mesin, Peringatan berdasarkan Jenis Perangkat, Peringatan oleh Vendor, dan Peringatan berdasarkan alamat IP. | Menggunakan data dari log berikut: SecurityAlert |
| Insiden | Menampilkan data seperti: - Metrik Insiden, Insiden Paling Atas, Insiden dari waktu ke waktu, Insiden menurut Protokol, Insiden berdasarkan Jenis Perangkat, Insiden oleh Vendor, dan Insiden berdasarkan alamat IP. - Insiden berdasarkan Tingkat Keparahan, Insiden Berarti waktu untuk merespons, Insiden Berarti waktu untuk menyelesaikan dan Insiden alasan dekat. |
Menggunakan data dari log berikut: SecurityAlert |
| MITRE ATT&CK® untuk ICS | Menampilkan data seperti: Jumlah Taktik, Detail Taktik, Taktik dari waktu ke waktu, Hitungan Teknik. | Menggunakan data dari log berikut: SecurityAlert |
| Inventaris Perangkat | Menampilkan data seperti: Nama perangkat OT, jenis, alamat IP, alamat Mac, Model, OS, Nomor Seri, Vendor, Protokol. | Menggunakan data dari log berikut: SecurityAlert |
Otomatiskan respons ke peringatan Defender for IoT
Playbook adalah kumpulan tindakan remediasi yang dapat dijalankan dari Microsoft Azure Sentinel sebagai rutinitas. Playbook dapat membantu mengotomatiskan dan mengatur respons ancaman Anda; itu dapat dijalankan secara manual atau diatur untuk berjalan secara otomatis sebagai respons terhadap peringatan atau insiden tertentu, ketika dipicu oleh aturan analitik atau aturan automasi, masing-masing.
Playbook yang dijelaskan di bagian berikut disebarkan ke ruang kerja Microsoft Sentinel Anda sebagai bagian dari pemantauan ancaman IoT OT dengan solusi Defender for IoT.
Untuk informasi selengkapnya, lihat:
- Tutorial: Menggunakan playbook dengan aturan otomatisasi di Microsoft Sentinel
- Mengotomatiskan respons ancaman dengan playbook di Microsoft Azure Sentinel
Menutup insiden secara otomatis
Nama playbook: AD4IoT-AutoCloseIncidents
Dalam beberapa kasus, aktivitas pemeliharaan menghasilkan peringatan di Microsoft Sentinel yang dapat mengalihkan perhatian tim SOC dari menangani masalah sebenarnya. Playbook ini secara otomatis menutup insiden yang dibuat dari peringatan tersebut selama periode pemeliharaan tertentu, secara eksplisit menguraikan bidang entitas perangkat IoT.
Untuk menggunakan playbook ini:
- Masukkan periode waktu yang relevan ketika pemeliharaan diharapkan terjadi, dan alamat IP dari setiap aset yang relevan, seperti yang tercantum dalam file Excel.
- Buat daftar pengawasan yang meliputi semua alamat IP aset tempat peringatan harus ditangani secara otomatis.
Pemberitahuan email menurut lini produksi
Nama playbook: AD4IoT-MailByProductionLine
Buku pedoman ini mengirimkan surat untuk memberi tahu pemangku kepentingan tertentu tentang peringatan dan peristiwa yang terjadi di lingkungan Anda.
Misalnya, ketika Anda memiliki tim keamanan tertentu yang ditugaskan ke lini produk atau lokasi geografis tertentu, Anda akan ingin tim tersebut diberi tahu tentang peringatan yang relevan dengan tanggung jawab mereka.
Untuk menggunakan playbook ini, buat daftar pantauan yang memetakan antara nama sensor dan alamat surat masing-masing pemangku kepentingan yang ingin Anda peringatkan.
Buat tiket baru di ServiceNow
Nama playbook: AD4IoT-NewAssetServiceNowTicket
Biasanya, entitas yang berwenang untuk memprogram PLC adalah Stasiun Kerja Teknik. Oleh karena itu, penyerang mungkin membuat Stasiun Kerja Teknik baru untuk membuat pemrograman PLC berbahaya.
Playbook ini membuka tiket di SerivceNow setiap kali Stasiun kerja Teknik baru terdeteksi, secara eksplisit menguraikan bidang entitas perangkat IoT.
Memperbarui status peringatan di Defender untuk IoT
Nama playbook: AD4IoT-AutoAlertStatusSync
Playbook ini memperbarui status peringatan di Defender untuk IoT setiap kali peringatan terkait di Microsoft Sentinel memiliki pembaruan Status.
Sinkronisasi ini mengambil alih status apa pun yang ditentukan di Defender untuk IoT, di portal Azure atau konsol sensor, sehingga status peringatan cocok dengan insiden terkait.
Untuk menggunakan playbook ini, pastikan Anda menerapkan peran yang diperlukan, koneksi yang valid jika diperlukan, dan aturan otomatisasi untuk menyambungkan pemicu insiden dengan playbook AD4IoT-AutoAlertStatusSync:
Untuk menambahkan peran Admin Keamanan ke langganan Azure tempat playbook diinstal:
Buka playbook AD4IoT-AutoAlertStatusSync dari halaman Otomatisasi Microsoft Sentinel.
Dengan playbook dibuka sebagai Aplikasi logika, pilih Sistem > Identitas yang ditetapkan, kemudian di area Izin, pilih tombol Penetapan peran Azure.
Di halaman Penetapan peran Azure, pilih Tambahkan penetapan peran.
Di panel Tambahkan penetapan peran:
- Menentukan Cakupan sebagai Langganan
- Dari menu dropdown Langganan, pilih langganan tempat playbook Anda diinstal.
- Dari menu dropdown Peran, pilih peran Admin Keamanan, kemudian pilih Simpan.
Untuk memastikan bahwa Anda memiliki koneksi yang valid untuk setiap langkah koneksi Anda di playbook:
Buka playbook AD4IoT-AutoAlertStatusSync dari halaman Otomatisasi Microsoft Sentinel.
Dengan playbook dibuka sebagai Aplikasi logika, pilih Perancang aplikasi logika. Jika memiliki detail koneksi yang tidak valid, Anda mungkin memiliki tanda peringatan di kedua langkah Koneksi. Contohnya:
Pilih langkah Koneksi untuk memperluasnya dan menambahkan koneksi yang valid sesuai kebutuhan.
Untuk menyambungkan insiden Anda, aturan analitik yang relevan, dan playbook AD4IoT-AutoAlertStatusSync:
Tambahkan aturan analitik Microsoft Sentinel baru, yang ditentukan sebagai berikut:
Di bidang Pemicu, pilih Saat insiden diperbarui
Di area Kondisi, pilih Jika > Nama aturan analitik > Berisi, kemudian pilih aturan analitik tertentu yang relevan untuk Defender untuk IoT di organisasi Anda.
Anda mungkin menggunakan aturan analitik yang tidak biasa, atau Anda mungkin telah memodifikasi konten yang tidak biasa, atau membuat konten Anda sendiri. Untuk informasi selengkapnya, lihat Mendeteksi ancaman yang tidak biasa dengan data Defender untuk IoT.
Di area Tindakan, pilih Jalankan playbook > AD4IoT-AutoAlertStatusSync.
Contohnya:
Langkah berikutnya
Untuk informasi selengkapnya, lihat: