Architectuur van Microsoft Defender for IoT
In dit artikel wordt de functionele systeemarchitectuur van de defender for IoT-oplossing zonder agent beschreven. Microsoft Defender for IoT biedt twee sets mogelijkheden die aansluiten op de behoeften van uw omgeving, een oplossing zonder agent voor organisaties en een oplossing op basis van een agent voor apparaatbouwers.
Oplossingsarchitectuur zonder agent voor organisaties
Defender for IoT-onderdelen
Defender for IoT maakt zowel verbinding met de Azure-cloud als met on-premises onderdelen. De oplossing is ontworpen voor schaalbaarheid in grote en geografisch gedistribueerde omgevingen met meerdere externe locaties. Deze oplossing maakt een gedistribueerde architectuur met meerdere lagen mogelijk per land, regio, bedrijfseenheid of zone.
Microsoft Defender for IoT bevat de volgende onderdelen:
Cloudimplementaties
- Microsoft Defender for IoT sensor-VM of apparaat
- Azure Portal voor cloudbeheer en integratie met Microsoft Sentinel
- On-premises beheerconsole voor lokaal sitebeheer
- Een ingesloten beveiligingsagent (optioneel)
Implementaties met een hiaat in de lucht (offline)
- Microsoft Defender for IoT sensor-VM of apparaat
- On-premises beheerconsole voor lokaal sitebeheer
Microsoft Defender for IoT-sensoren
De Defender for IoT-sensoren ontdekken en bewaken continu netwerkapparaten. Sensoren verzamelen ICS-netwerkverkeer met behulp van passieve bewaking (zonder agent) op IoT- en OT-apparaten.
De technologie zonder agent is speciaal ontwikkeld voor IoT- en OT-netwerken en biedt binnen enkele minuten na verbinding met het netwerk een diep inzicht in IoT- en OT-risico's. Het heeft geen invloed op de prestaties op het netwerk en de netwerkapparaten vanwege de niet-ingrijpende NTA-benadering (Network Traffic Analysis).
Door het toepassen van gepatenteerde, IoT- en OT-aware gedragsanalyses en Layer-7 Deep Packet Inspection (DPI) kunt u naast traditionele, op handtekeningen gebaseerde oplossingen analyseren om geavanceerde IoT- en OT-bedreigingen (zoals bestandsloze malware) onmiddellijk te detecteren op basis van afwijkende of niet-geautoriseerde activiteiten.
Defender for IoT-sensoren maken verbinding met een SPAN-poort of netwerk-TAP en beginnen onmiddellijk met het uitvoeren van DPI op IoT- en OT-netwerkverkeer.
Het verzamelen, verwerken, analyseren en waarschuwen van gegevens vindt rechtstreeks op de sensor plaats. Dit proces maakt het ideaal voor locaties met een lage bandbreedte of connectiviteit met hoge latentie, omdat alleen metagegevens worden overgedragen naar de beheerconsole.
De sensor bevat vijf analysedetectie-engines. De engines activeren waarschuwingen op basis van analyse van zowel realtime als vooraf vastgelegd verkeer. De volgende engines zijn beschikbaar:
Detectie-engine voor protocolschendingen
De detectie-engine voor protocolschendingen identificeert het gebruik van pakketstructuren en veldwaarden die ICS-protocolspecificaties schenden, bijvoorbeeld: Modbus-uitzondering en Initiëren van waarschuwingen voor verouderde functiecode.
Detectie-engine voor beleidsschendingen
Met machine learning waarschuwt de detectie-engine voor beleidsschendingen gebruikers van eventuele afwijkingen van basislijngedrag, zoals niet-geautoriseerd gebruik van specifieke functiecodes, toegang tot specifieke objecten of wijzigingen in de apparaatconfiguratie. Bijvoorbeeld: de DeltaV-softwareversie is gewijzigd en niet-geautoriseerde PROGRAMMING-programmeerwaarschuwingen. Met name de engine voor beleidsschendingen modelleert de ICS-netwerken als deterministische reeksen statussen en overgangen, met behulp van een gepatenteerd techniek met de naam Industrial Finite State Modeling (IFSM). De engine voor detectie van beleidsschendingen brengt een basislijn van de ICS-netwerken tot leven, zodat het platform een kortere leerperiode nodig heeft om een basislijn van het netwerk te bouwen dan algemene wiskundige benaderingen of analyses, die oorspronkelijk zijn ontwikkeld voor IT in plaats van OT-netwerken.
Detectie-engine voor industriële malware
De engine voor de detectie van industriële malware identificeert gedrag dat wijst op de aanwezigheid van bekende malware, zoals Conficker, Black Energy, Havex, WantCry, NotPetya en Triton.
Anomaliedetectie-engine
De anomaliedetectie-engine detecteert ongebruikelijke communicatie en gedragingen van machine naar machine (M2M). Door ICS-netwerken te modelleren als deterministische reeksen van staten en overgangen, vereist het platform een kortere leerperiode dan algemene wiskundige benaderingen of analyses die oorspronkelijk zijn ontwikkeld voor IT in plaats van OT. Ook worden afwijkingen sneller gedetecteerd, met minimale fout-positieven. Waarschuwingen van de anomaliedetectie-engine omvatten overmatige SMB-aanmeldingspogingen en GEDETECTEERDE WAARSCHUWINGEN VOOR DE SCAN.
Detectie van operationele incidenten
De detectie van operationele incidenten detecteert operationele problemen, zoals onregelmatige connectiviteit die kunnen duiden op vroege tekenen van apparatuurstoringen. Er wordt bijvoorbeeld aangenomen dat de verbinding met het apparaat is verbroken (reageert niet) en dat de stop-COMMAND VAN INSTRUMENT S7 waarschuwingen heeft ontvangen.
Beheerconsoles
U kunt Microsoft Defender for IoT beheren in hybride omgevingen via twee beheerportals:
- Sensorconsole
- De on-premises beheerconsole
- Azure Portal
Sensorconsole
Sensordetecties worden weergegeven in de sensorconsole, waar ze kunnen worden bekeken, onderzocht en geanalyseerd in een netwerkkaart, apparaatinventaris en in een uitgebreid scala aan rapporten, bijvoorbeeld risicoanalyserapporten, gegevensanalysequery's en aanvalsvectoren. U kunt de -console ook gebruiken om bedreigingen te bekijken en af te handelen die door sensoren engines zijn gedetecteerd, informatie door te geven aan partnersystemen, gebruikers te beheren en meer.
On-premises beheerconsole
Met de on-premises beheerconsole kunnen SOC-operators (Security Operations Center) waarschuwingen die zijn geaggregeerd van meerdere sensoren, beheren en analyseren in één dashboard en krijgt u een algemeen overzicht van de status van de OT-netwerken.
Deze architectuur biedt een uitgebreide uniforme weergave van het netwerk op SOC-niveau, geoptimaliseerde afhandeling van waarschuwingen en het beheer van operationele netwerkbeveiliging, zodat besluitvorming en risicobeheer niet worden overgeslagen.
Naast multi-tenancy, bewaking, gegevensanalyse en gecentraliseerd beheer op afstand met sensoren biedt de beheerconsole extra hulpprogramma's voor systeemonderhoud (zoals uitsluiting van waarschuwingen) en volledig aangepaste rapportagefuncties voor elk van de externe apparaten. Deze architectuur ondersteunt zowel lokaal beheer op siteniveau, zoneniveau als globaal beheer binnen de SOC.
De beheerconsole kan worden geïmplementeerd voor een configuratie met hoge beschikbaarheid, die een back-upconsole biedt die periodiek back-ups ontvangt van alle configuratiebestanden die vereist zijn voor herstel. Als de primaire console uitvalt, wordt er automatisch een fail overgeslagen op de lokale sitebeheerapparaten om te synchroniseren met de back-upconsole om de beschikbaarheid zonder onderbreking te behouden.
Dankzij de nauwe integratie met uw SOC-werkstromen en run books kunt u eenvoudig prioriteit geven aan risicobeperkingsactiviteiten en correlatie tussen verschillende plaatsen van bedreigingen.
Holistisch: verlaag de complexiteit met één uniform platform voor apparaatbeheer, risico vulnerability management en bedreigingsbewaking met incidentrespons.
Aggregatie en correlatie: gegevens en waarschuwingen weergeven, aggregeren en analyseren die van alle sites zijn verzameld.
Alle sensoren bedienen: configureer en be monitor alle sensoren vanaf één locatie.
Azure Portal
Defender for IoT in de Azure Portal in Azure wordt gebruikt om u te helpen:
Oplossingsapparaten kopen
Software installeren en bijwerken
Sensoren onboarden naar Azure
Bedreigingsinformatiepakketten bijwerken