Microsoft Defender for IoT-arkitektur

  • Artikel
  • 4 minuter för att läsa

I den här artikeln beskrivs den funktionella systemarkitekturen i agentlösa Defender for IoT-lösningar. Microsoft Defender för IoT erbjuder två uppsättningar funktioner som passar din miljös behov, en agentlös lösning för organisationer och en agentbaserad lösning för enhetsbyggare.

Agentlös lösningsarkitektur för organisationer

Defender for IoT-komponenter

Defender for IoT ansluter både till Azure-molnet och till lokala komponenter. Lösningen är utformad för skalbarhet i stora och geografiskt distribuerade miljöer med flera fjärrplatser. Den här lösningen möjliggör en distribuerad arkitektur i flera lager efter land, region, affärsenhet eller zon.

Microsoft Defender för IoT innehåller följande komponenter:

Molnanslutna distributioner

  • Virtuell dator eller enhet med Microsoft Defender for IoT-sensor
  • Azure Portal för molnhantering och integrering med Microsoft Sentinel
  • Lokal hanteringskonsol för lokal platshantering
  • En inbäddad säkerhetsagent (valfritt)

Air-gapped (Offline)-distributioner

  • Virtuell dator eller enhet med Microsoft Defender for IoT-sensor
  • Lokal hanteringskonsol för lokal platshantering

Arkitekturen för Defender for IoT.

Microsoft Defender för IoT-sensorer

Defender for IoT-sensorer identifierar och övervakar kontinuerligt nätverksenheter. Sensorer samlar in ICS-nätverkstrafik med passiv (agentlös) övervakning på IoT- och OT-enheter.

Den agentlösa tekniken är specialbyggd för IoT- och OT-nätverk och ger djup insyn i IoT- och OT-risk inom några minuter från anslutning till nätverket. Den har ingen prestandapåverkan på nätverket och nätverksenheterna på grund av dess icke-inkräktande NTA-metod (Network Traffic Analysis).

Genom att tillämpa patenterad, IoT- och OT-medveten beteendeanalys och Layer-7 Deep Packet Inspection (DPI) kan du analysera bortom traditionella signaturbaserade lösningar för att omedelbart identifiera avancerade IoT- och OT-hot (till exempel fillös skadlig kod) baserat på avvikande eller obehörig aktivitet.

Defender for IoT-sensorer ansluter till en SPAN-port eller nätverks-TAP och börjar omedelbart utföra DPI på IoT- och OT-nätverkstrafik.

Datainsamling, bearbetning, analys och avisering sker direkt på sensorn. Den här processen passar utmärkt för platser med låg bandbredd eller anslutning med lång svarstid, eftersom endast metadata överförs till hanteringskonsolen.

Sensorn innehåller fem analysidentifieringsmotorer. Motorerna utlöser aviseringar baserat på analys av både realtids- och förinspelat trafik. Följande motorer är tillgängliga:

Motor för identifiering av protokollöverträdelser

Motorn för identifiering av protokollöverträdelser identifierar användningen av paketstrukturer och fältvärden som bryter mot ICS-protokollspecifikationer, till exempel: Modbus-undantag och Initiering av en föråldrad funktionskodaviseringar.

Motor för identifiering av principöverträdelser

Med hjälp av maskininlärning varnar motorn för principöverträdelse användare om avvikelser från baslinjebeteendet, till exempel obehörig användning av specifika funktionskoder, åtkomst till specifika objekt eller ändringar i enhetskonfigurationen. Exempel: Programvaruversionen för DeltaV har ändrats och programmeringsaviseringarna Unauthorized VERSIONS (Obehöriga PERSONER) har ändrats. Mer specifikt modellerar principöverträdelsemotorn ICS-nätverken som deterministiska sekvenser av tillstånd och övergångar – med hjälp av en patenterad teknik som kallas IFSM (Industrial Finite State Modeling). Motorn för identifiering av principöverträdelser upprättar en baslinje för ICS-nätverken, så att plattformen kräver en kortare utbildningsperiod för att skapa en baslinje för nätverket än allmänna matematiska metoder eller analyser, som ursprungligen utvecklades för IT i stället för OT-nätverk.

Motor för identifiering av industriell skadlig kod

Den industriella motorn för identifiering av skadlig kod identifierar beteenden som indikerar förekomst av känd skadlig kod, till exempel Conficker, Black Energy, Havex, WannaCry, NotPetya och Triton.

Avvikelseidentifieringsmotor

Avvikelseidentifieringsmotorn identifierar ovanliga kommunikationer och beteenden från dator till dator (M2M). Genom att modellera ICS-nätverk som deterministiska sekvenser av tillstånd och övergångar kräver plattformen en kortare utbildningsperiod än allmänna matematiska metoder eller analyser som ursprungligen utvecklades för IT i stället för OT. Den identifierar även avvikelser snabbare med minimala falska positiva identifieringar. Aviseringar för avvikelseidentifieringsmotorn omfattar överdrivna SMB-inloggningsförsök och AVISERING-genomsökning identifierade aviseringar.

Identifiering av operativa incidenter

Identifieringen av driftincidenten identifierar driftproblem, till exempel tillfälliga anslutningar som kan tyda på tidiga tecken på fel i utrustningen. Till exempel tror man att enheten är frånkopplad (svarar inte) och Att Kommandot FördR S7 stoppa HAR skickats aviseringar.

Hanteringskonsoler

Hantering av Microsoft Defender for IoT i hybridmiljöer sker via två hanteringsportaler:

  • Sensorkonsol
  • Den lokala hanteringskonsolen
  • Azure Portal

Sensorkonsol

Sensoridentifiering visas i sensorkonsolen, där de kan visas, undersökas och analyseras i en nätverkskarta, enhetsinventering och i en omfattande mängd rapporter, till exempel riskbedömningsrapporter, datautvinningsfrågor och attackvektorer. Du kan också använda -konsolen för att visa och hantera hot som identifieras av sensormotorer, vidarebefordra information till partnersystem, hantera användare med mera.

Defender for IoT-sensorkonsolen

Lokal hanteringskonsol

Den lokala hanteringskonsolen gör det möjligt för SOC-operatörer (Security Operations Center) att hantera och analysera aviseringar som sammanställts från flera sensorer på en enda instrumentpanel och ger en övergripande vy över hälsotillståndet för OT-nätverken.

Den här arkitekturen ger en heltäckande enhetlig vy över nätverket på SOC-nivå, optimerad aviseringshantering och kontroll av driftnätverkssäkerhet, vilket säkerställer att beslutsfattande och riskhantering fortsätter att fungera.

Förutom funktioner för flera innehavare, övervakning, dataanalys och central sensorfjärrkontroll tillhandahåller hanteringskonsolen extra systemunderhållsverktyg (till exempel aviseringsexkludering) och fullständigt anpassade rapporteringsfunktioner för var och en av fjärrinstallationerna. Den här arkitekturen stöder både lokal hantering på platsnivå, zonnivå och global hantering inom SOC.

Hanteringskonsolen kan distribueras för konfiguration med hög tillgänglighet, vilket ger en säkerhetskopieringskonsol som regelbundet tar emot säkerhetskopior av alla konfigurationsfiler som krävs för återställning. Om den primära konsolen misslyckas redundanser de lokala platshanteringsapparaterna automatiskt för att synkronisera med säkerhetskopieringskonsolen för att upprätthålla tillgängligheten utan avbrott.

Nära integrerad med dina SOC-arbetsflöden och run books möjliggör enkel prioritering av åtgärdsaktiviteter och korrelation mellan webbplatser av hot.

  • Holistisk – minska komplexiteten med en enda enhetlig plattform för enhetshantering, risk- hantering av säkerhetsrisker och hotövervakning med incidenthantering.

  • Sammansättning och korrelation – visa, aggregera och analysera data och aviseringar som samlats in från alla platser.

  • Kontrollera alla sensorer – konfigurera och övervaka alla sensorer från en enda plats.

    Hantera alla dina aviseringar och all information.

Azure Portal

Defender for IoT i Azure Portal i Azure används för att hjälpa dig:

  • Köpa lösningsapparater

  • Installera och uppdatera programvara

  • Publicera sensorer till Azure

  • Uppdatera hotinformationspaket

Nästa steg

Vanliga frågor och svar om Defender for IoT

Systemkrav