Grundläggande begrepp

  • Artikel
  • 5 minuter för att läsa

I den här artikeln beskrivs viktiga fördelar med Microsoft Defender för IoT.

Snabb icke-inkräktad distribution och passiv övervakning

Defender for IoT-sensorer ansluter till växelportar för span (spegling) och nätverks-TAP:er och börjar omedelbart samla in ICS-nätverkstrafik via passiv (agentlös) övervakning. Djup paketinspektion (DPI) används för att ta bort trafik från både serie- och Ethernet-kontrollnätverksutrustning. Defender for IoT har ingen inverkan på OT-nätverk eftersom den inte placeras i datasökvägen och inte aktivt genomsöker OT-enheter.

För att leverera omedelbara ögonblicksbilder Windows detaljerad enhetsinformation kan Defender for IoT-sensorn konfigureras för att komplettera passiv övervakning med en valfri aktiv komponent. Den här komponenten använder säkra, leverantörsgodkända kommandon för att fråga Windows enheter efter enhetsinformation, så ofta eller så sällan du vill.

Inbäddad kunskap om ICS-protokoll, enheter och program

DPI räcker inte för att identifiera protokollavvikelser och identifiera enheten på detaljerad nivå. Defender for IoT-sensorn hanterar några av de största och mest komplexa miljöerna. Mer än 1 300 OT-nätverk har analyserats hittills i alla industriella sektorer.

Analys- och självinlärningsmotorer

Motorer identifierar säkerhetsproblem via kontinuerlig övervakning och fem analysmotorer som införlivar självinlärning för att eliminera behovet av att uppdatera signaturer eller definiera regler. Motorerna använder ICS-specifik beteendeanalys och datavetenskap för att kontinuerligt analysera OT-nätverkstrafik efter avvikelser. De fem motorerna är:

  • Identifiering av protokollöverträdelser: Identifierar användningen av paketstrukturer och fältvärden som bryter mot specifikationerna för ICS-protokollet.

  • Identifiering av principöverträdelser: Identifierar principöverträdelser, till exempel obehörig användning av funktionskoder, åtkomst till specifika objekt eller ändringar i enhetskonfigurationen.

  • Identifiering av industriell skadlig kod: Identifierar beteenden som indikerar förekomst av känd skadlig kod, till exempel Conficker, Black Energy, Havex, WannaCry och NotPetya.

  • Avvikelseidentifiering: Identifierar ovanliga kommunikationer och beteenden från dator till dator (M2M). Genom att modellera ICS-nätverk som deterministiska sekvenser av tillstånd och övergångar använder motorn en patenterad teknik som kallas IFSM (Industrial Finite State Modeling). Lösningen kräver en kortare inlärningsperiod än allmänna matematiska metoder eller analyser, som ursprungligen utvecklades för IT i stället för OT. Den identifierar även avvikelser snabbare med minimala falska positiva identifieringar.

  • Identifiering av driftincidenter: Identifierar driftproblem, till exempel tillfälliga anslutningar som kan tyda på tidiga tecken på utrustningsfel.

Analys av nätverkstrafik för risk- och sårbarhetsbedömning

Defender for IoT är unikt i branschen och använder tillverkarspecifika NTA-algoritmer (Network Traffic Analysis) för att passivt identifiera alla säkerhetsrisker i nätverk och slutpunkter, till exempel:

  • Obehöriga fjärråtkomstanslutningar
  • Otillåtna eller odokumenterade enheter
  • Svag autentisering
  • Sårbara enheter (baserat på oplanerade CRE:er)
  • Obehöriga bryggor mellan undernät
  • Svaga brandväggsregler

Datautvinning för utredningar, datautredningar och hotjakt

Plattformen tillhandahåller ett intuitivt datautvinningsgränssnitt för detaljerad sökning av historisk trafik i alla relevanta dimensioner. Exempel är tidsperiod, IP-adress, MAC-adress och portar. Du kan också skapa protokollspecifika frågor baserat på funktionskoder, protokolltjänster och moduler. Fullständig återgivning av PCAP:er är tillgängliga för ytterligare analys med mer detaljerad information.

SensorMolnhanteringsläge

Läget sensormolnhantering avgör var enhet, avisering och annan information som sensorn identifierar visas.

För molnanslutna sensorer visas information som sensorn identifierar i sensorkonsolen. Aviseringsinformation levereras via en IoT-hubb och kan delas med andra Azure-tjänster, till exempel Microsoft Sentinel.

För lokalt anslutna sensorer visas information som sensorn identifierar i sensorkonsolen. Identifieringsinformation delas också med den lokala hanteringskonsolen om sensorn är ansluten till den.

Air-gapped networks

Om du arbetar i en air-gapped miljö levererar den lokala hanteringskonsolen i Defender for IoT en realtidsvy över viktiga IoT- och OT-riskindikatorer och aviseringar för alla dina anläggningar. Nära integrerad med dina SOC-arbetsflöden och runbooks möjliggör enkel prioritering av åtgärdsaktiviteter och korrelation mellan platser av hot.

Defender for IoT ger en samlad vy över alla dina enheter. Den innehåller också viktig information om enheterna, till exempel typ (STYRT, RTU, DCS med mera), tillverkare, modell och revisionsnivå för inbyggd programvara samt aviseringsinformation.

Defender for IoT möjliggör effektiv hantering av flera distributioner och en heltäckande enhetlig vy av nätverket. Defender for IoT optimerar aviseringshantering och kontroll av driftnätverkssäkerhet.

Den lokala hanteringskonsolen är en webbaserad administrativ plattform där du kan övervaka och kontrollera aktiviteter för globala sensorinstallationer. Förutom att hantera data som tas emot från distribuerade sensorer integrerar den lokala hanteringskonsolen sömlöst data från olika affärsresurser: CMDB, DNS, brandväggar, webb-API:er med mera.

Visning av den lokala hanteringskonsolen.

Vi rekommenderar att du bekantar dig med de begrepp, funktioner och funktioner som är tillgängliga för sensorer innan du arbetar med den lokala hanteringskonsolen.

Integreringar

Du kan utöka funktionerna i Defender for IoT genom att dela både enhetsinformation och aviseringsinformation med partnersystem. Integreringar hjälper företag att överbrygga tidigare siloerade säkerhetslösningar för att avsevärt förbättra enhetens synlighet och hotinformation. Integreringar hjälper också företag att påskynda systemomfattande svar och minska risker snabbare.

Integreringar minskar komplexiteten och eliminerar IT- och OT-silor genom att integrera dem i dina befintliga SOC-arbetsflöden och säkerhetsstackar. Ett exempel:

  • SIEM-datorer som IBM QRadar, Splunk, ArcSight, LogRhythm och RSA NetWitness

  • Säkerhetsorkestrerings- och biljettsystem som ServiceNow och IBM Resilient

  • Säkra fjärråtkomstlösningar som CyberArk Privileged Session Manager (PSM) och BeyondTrust

  • Säkra NAC-system (Network Access Control), till exempel Aruba ClearPass och Foruterut CounterACT

  • Brandväggar som Fortinet och Check Point

Fullständigt protokollstöd

Förutom stöd för inbäddat protokoll kan du skydda IoT- och ICS-enheter som kör tillverkarspecifika och anpassade protokoll, eller protokoll som avviker från någon standard. Med hjälp av ODE SDK (Horizon Open Development Environment) kan utvecklare skapa plugin-program för dissector som avkodar nätverkstrafik baserat på definierade protokoll. Tjänsterna analyserar trafik för att tillhandahålla fullständig övervakning, avisering och rapportering. Använd Horizon för att:

  • Utöka synligheten och kontrollen utan att behöva uppgradera till nya versioner.

  • Skydda upphovsrättsskyddad information genom att utveckla på plats som ett externt plugin-program.

  • Lokalisera text för aviseringar, händelser och protokollparametrar.

Dessutom kan du använda tillverkarspecifika protokollaviseringar för att kommunicera information:

  • Om trafikidentifiering baserat på protokoll och underliggande protokoll i ett upphovsrättsskyddad Horizon-plugin-program.

  • Om en kombination av protokollfält från alla protokollskikt. I en miljö som kör MODBUS kanske du till exempel vill generera en avisering när sensorn identifierar ett skrivkommando till ett minnesregister på en specifik IP-adress och Ethernet-mål. Eller så kanske du vill generera en avisering när åtkomst utförs till en specifik IP-adress.

Aviseringar utlöses när Horizons aviseringsregelvillkor uppfylls.

Genom att arbeta med anpassade Horizon-aviseringar kan du dessutom skriva egna aviseringsrubriker och meddelanden. Åtgärdade protokollfält och värden kan bäddas in i varningsmeddelandetexten.

Med hjälp av anpassade, villkorsbaserade aviseringar som utlöses och meddelanden kan du hitta specifika nätverksaktiviteter och effektivt uppdatera dina säkerhets-, IT- och driftteam.

En fullständig lista över protokoll som stöds finns i Protokoll som stöds.

Vad är en inventeringsenhet?

Defender for IoT-enhetsinventeringen visar en omfattande mängd tillgångsattribut som identifieras av sensorer som övervakar organisationens nätverk och hanterade slutpunkter.

Defender for IoT identifierar och klassificerar enheter som en unik nätverksenhet i inventeringen för:

  1. Fristående IT/OT/IoT-enheter (med 1 eller flera nätverkskort)
  2. Enheter som består av flera komponenter för bakplan (inklusive alla rack/platser/moduler)
  3. Enheter som fungerar som nätverksinfrastruktur, till exempel switch/router (med flera nätverkskort).

Offentliga IP-adresser, multicast-grupper och sändningsgrupper betraktas inte som inventeringsenheter. Enheter som har varit inaktiva i mer än 60 dagar klassificeras som inaktiva inventeringsenheter.

Hög tillgänglighet

Öka återhämtningsförmågan för din Defender for IoT-distribution genom att installera en installation med hög tillgänglighet i den lokala hanteringskonsolen. Distributioner med hög tillgänglighet säkerställer att dina hanterade sensorer kontinuerligt rapporterar till en aktiv lokal hanteringskonsol.

Den här distributionen implementeras med ett lokalt hanteringskonsolpar som innehåller en primär och sekundär installation.

Lokalisering

Många konsolfunktioner har stöd för en mängd olika språk.

Nästa steg

Komma igång med Defender for IoT