Basisbegrippen

  • Artikel
  • 6 minuten om te lezen

In dit artikel worden de belangrijkste voordelen van Microsoft Defender for IoT beschreven.

Snelle niet-implementatie-implementatie en passieve bewaking

Defender for IoT-sensoren maken verbinding met SWITCH SPAN-poorten (Mirror) en netwerk-TAPs en beginnen onmiddellijk met het verzamelen van ICS-netwerkverkeer via passieve (agentloze) bewaking. Deep Packet Inspection (DPI) wordt gebruikt om verkeer van zowel seriële als Ethernet-besturingsnetwerkapparatuur te ontleden. Defender for IoT heeft geen invloed op OT-netwerken, omdat het niet in het gegevenspad wordt geplaatst en ot-apparaten niet actief scant.

Voor het leveren van directe momentopnamen van gedetailleerde Windows apparaatgegevens, kan de Defender for IoT-sensor worden geconfigureerd als aanvulling op passieve bewaking met een optioneel actief onderdeel. Dit onderdeel maakt gebruik van veilige, door de leverancier goedgekeurde opdrachten om Windows naar apparaatdetails te zoeken, zo vaak of niet vaak als u wilt.

Ingesloten kennis van ICS-protocollen, apparaten en toepassingen

DPI alleen is niet voldoende om protocolafwijkingen te identificeren en het apparaat op een gedetailleerd niveau te identificeren. De Defender for IoT-sensor heeft betrekking op enkele van de grootste en meest complexe omgevingen. Er zijn tot op heden meer dan 1300 OT-netwerken geanalyseerd in alle industriële sectoren.

Analyse- en zelflerende engines

Engines identificeren beveiligingsproblemen via continue bewaking en vijf analyse-engines die self learning gebruiken om het bijwerken van handtekeningen of het definiëren van regels te voorkomen. De engines gebruiken ICS-specifieke gedragsanalyses en gegevenswetenschap om continu OT-netwerkverkeer te analyseren op afwijkingen. De vijf engines zijn:

  • Detectie van schendingen van protocollen: identificeert het gebruik van pakketstructuren en veldwaarden die ICS-protocolspecificaties schenden.

  • Detectie van beleidsschendingen: identificeert beleidsschendingen, zoals niet-geautoriseerd gebruik van functiecodes, toegang tot specifieke objecten of wijzigingen in de apparaatconfiguratie.

  • Detectie van industriële malware: identificeert gedrag dat wijst op de aanwezigheid van bekende malware, zoals Conficker, Black Energy, Havex, WantCry en NotPetya.

  • Anomaliedetectie: detecteert ongebruikelijke communicatie en gedragingen van machine naar machine (M2M). Door ICS-netwerken te modelleren als deterministische reeksen statussen en overgangen, gebruikt de engine een gepatenteerd techniek met de naam Industrial Finite State Modeling (IFSM). De oplossing vereist een kortere leerperiode dan algemene wiskundige benaderingen of analyses, die oorspronkelijk zijn ontwikkeld voor IT in plaats van OT. Ook worden afwijkingen sneller gedetecteerd, met minimale fout-positieven.

  • Detectie van operationele incidenten: identificeert operationele problemen, zoals onregelmatige connectiviteit die kunnen duiden op vroege tekenen van apparatuurstoringen.

Analyse van netwerkverkeer voor risico- en evaluatie van beveiligingsleed

Defender for IoT is uniek in de branche en maakt gebruik van eigen NTA-algoritmen (Network Traffic Analysis) om passief alle beveiligingsproblemen in het netwerk en eindpunt te identificeren, zoals:

  • Niet-geautoriseerde externe toegangsverbindingen
  • Rogue- of niet-gedocumenteerde apparaten
  • Zwakke verificatie
  • Kwetsbare apparaten (op basis van niet-gepatchte CVE's)
  • Niet-geautoriseerde bruggen tussen subnetten
  • Zwakke firewallregels

Gegevensmining voor onderzoek, forensische gegevens en opsporing van bedreigingen

Het platform biedt een intuïtieve interface voor gegevensmining voor het gedetailleerd doorzoeken van historisch verkeer in alle relevante dimensies. Voorbeelden hiervan zijn tijdsperiode, IP-adres, MAC-adres en poorten. U kunt ook protocolspecifieke query's maken op basis van functiecodes, protocolservices en modules. PcAPs met volledige betrouwbaarheid zijn beschikbaar voor verdere analyse van inzoomen.

Sensor cloudbeheermodus

De sensorcloudbeheermodus bepaalt waar het apparaat, de waarschuwing en andere informatie die door de sensor wordt gedetecteerd, wordt weergegeven.

Voor sensoren die zijn verbonden met de cloud, wordt informatie die door de sensor wordt gedetecteerd, weergegeven in de sensorconsole. Waarschuwingsinformatie wordt geleverd via een IoT-hub en kan worden gedeeld met andere Azure-services, zoals Microsoft Sentinel.

Voor lokaal verbonden sensoren wordt informatie die door de sensor wordt gedetecteerd, weergegeven in de sensorconsole. Detectiegegevens worden ook gedeeld met de on-premises beheerconsole als de sensor hieraan is gekoppeld.

Netwerken met een hiaat in de lucht

Als u in een omgeving met veel ruimte werkt, biedt de on-premises beheerconsole in Defender for IoT een realtime weergave van belangrijke IoT- en OT-risicoindicatoren en -waarschuwingen voor al uw faciliteiten. Dankzij de nauwe integratie met uw SOC-werkstromen en runbooks kunt u eenvoudig prioriteit geven aan risicobeperkingsactiviteiten en correlatie tussen verschillende plaatsen van bedreigingen.

Defender for IoT biedt een geconsolideerde weergave van al uw apparaten. Het bevat ook essentiële informatie over de apparaten, zoals type (WAS, RTU, DCS en meer), fabrikant, model en firmwarerevisieniveau, evenals waarschuwingsinformatie.

Defender for IoT maakt effectief beheer van meerdere implementaties en een uitgebreide uniforme weergave van het netwerk mogelijk. Defender for IoT optimaliseert de verwerking van waarschuwingen en het beheer van operationele netwerkbeveiliging.

De on-premises beheerconsole is een beheerplatform op internet waarmee u de activiteiten van globale sensorinstallaties kunt bewaken en beheren. Naast het beheren van de gegevens die worden ontvangen van geïmplementeerde sensoren, integreert de on-premises beheerconsole naadloos gegevens uit verschillende bedrijfsresources: CMDB's, DNS, firewalls, web-API's en meer.

Weergave van de on-premises beheerconsole.

U wordt aangeraden vertrouwd te raken met de concepten, mogelijkheden en functies die beschikbaar zijn voor sensoren voordat u met de on-premises beheerconsole gaat werken.

Integraties

U kunt de mogelijkheden van Defender for IoT uitbreiden door zowel apparaat- als waarschuwingsinformatie te delen met partnersystemen. Integraties helpen ondernemingen eerder gesilokte beveiligingsoplossingen te overbruggen om de zichtbaarheid en bedreigingsinformatie van apparaten aanzienlijk te verbeteren. Integraties helpen ondernemingen ook om de reacties voor het hele systeem te versnellen en risico's sneller te beperken.

Integraties verminderen de complexiteit en elimineren IT- en OT-silo's door ze te integreren in uw bestaande SOC-werkstromen en beveiligingsstack. Bijvoorbeeld:

  • SIEM's zoals IBM QRadar, Splunk, ArcSight, LogRhythm en RSA NetWitness

  • Beveiligings- en ticketsysteem, zoals ServiceNow en IBM Resilient

  • Oplossingen voor externe toegang beveiligen, zoals CyberArk Privileged Session Manager (PSM) en BeyondTrust

  • NAC-systemen (Netwerktoegangsbeheer) beveiligen, zoals Aruba ClearPass en Forescout CounterACT

  • Firewalls zoals Fortinet en Check Point

Volledige protocolondersteuning

Naast ingesloten protocolondersteuning kunt u IoT- en ICS-apparaten beveiligen met eigen en aangepaste protocollen, of protocollen die afwijken van elke standaard. Met behulp van de Horizon Open Development Environment (ODE) SDK kunnen ontwikkelaars dissector-in plug-ins maken die netwerkverkeer decoderen op basis van gedefinieerde protocollen. Services analyseert verkeer om volledige bewaking, waarschuwingen en rapportage te bieden. Gebruik Horizon om:

  • Vergroot de zichtbaarheid en het beheer zonder dat u hoeft te upgraden naar nieuwe versies.

  • Beveilig bedrijfseigen informatie door on-site te ontwikkelen als een externe in plug-in.

  • Lokaliseer tekst voor waarschuwingen, gebeurtenissen en protocolparameters.

Daarnaast kunt u eigen protocolwaarschuwingen gebruiken om informatie te communiceren:

  • Over verkeersdetecties op basis van protocollen en onderliggende protocollen in een eigen Horizon-in plug-in.

  • Over een combinatie van protocolvelden uit alle protocollagen. In een omgeving met MODBUS wilt u bijvoorbeeld een waarschuwing genereren wanneer de sensor een schrijfopdracht detecteert naar een geheugenregister op een specifiek IP-adres en Ethernet-doel. Of u wilt een waarschuwing genereren wanneer er toegang wordt uitgevoerd tot een specifiek IP-adres.

Waarschuwingen worden geactiveerd wanneer aan de voorwaarden van de Horizon-waarschuwingsregel wordt voldaan.

Bovendien kunt u met aangepaste waarschuwingen van Horizon uw eigen waarschuwingstitels en -berichten schrijven. Opgeloste protocolvelden en -waarden kunnen worden ingesloten in de tekst van het waarschuwingsbericht.

Met behulp van aangepaste, op voorwaarden gebaseerde waarschuwingen activeren en berichten kunt u specifieke netwerkactiviteit aanwijzen en uw beveiligings-, IT- en operationele teams effectief bijwerken.

Zie Ondersteunde protocollen voor een volledige lijst met ondersteunde protocollen.

Wat is een inventarisapparaat?

De inventaris van Defender for IoT-apparaten geeft een uitgebreid scala aan assetkenmerken weer die worden gedetecteerd door sensoren die de netwerken van de organisatie en beheerde eindpunten bewaken.

Defender for IoT identificeert en classificeert apparaten als één uniek netwerkapparaat in de inventaris voor:

  1. Zelfstandige IT/OT/IoT-apparaten (w/ 1 of meerdere NIC's)
  2. Apparaten die bestaan uit meerdere backplane-onderdelen (inclusief alle rekken/sleuven/modules)
  3. Apparaten die als netwerkinfrastructuur optreden, zoals Switch/Router (w/ meerdere NIC's).

OPENBARE IP-adressen op internet, multicastgroepen en broadcast-groepen worden niet beschouwd als inventarisapparaten. Apparaten die langer dan 60 dagen inactief zijn, worden geclassificeerd als inactieve inventarisapparaten.

Hoge beschikbaarheid

Verhoog de tolerantie van uw Defender for IoT-implementatie door een apparaat met hoge beschikbaarheid te installeren in de on-premises beheerconsole. Implementaties met hoge beschikbaarheid zorgen ervoor dat uw beheerde sensoren continu rapporteren aan een actieve on-premises beheerconsole.

Deze implementatie wordt geïmplementeerd met een on-premises beheerconsolepaar dat een primair en secundair apparaat bevat.

Lokalisatie

Veel consolefuncties ondersteunen een uitgebreid scala aan talen.

Volgende stap

Aan de slag met Defender for IoT