Självstudie: Integrera Microsoft Sentinel och Microsoft Defender för IoT
Med Microsoft Defender för IoT kan du skydda hela ot-miljön, oavsett om du behöver skydda befintliga OT-enheter eller bygga in säkerhet i nya OT-innovationer.
Microsoft Sentinel och Microsoft Defender för IoT hjälper till att överbrygga klyftan mellan IT- och OT-säkerhetsutmaningar och ge SOC-team färdiga funktioner för att effektivt och effektivt identifiera och svara på OT-hot. Integreringen mellan Microsoft Defender för IoT och Microsoft Sentinel hjälper organisationer att snabbt identifiera flerstegsattacker, som ofta korsar IT- och OT-gränser.
I den här kursen får du:
- Anslut Microsoft Sentinel till Defender för IoT
- Använda Log Analytics för att fråga efter Defender för IoT-aviseringar
- Installera Microsoft Sentinel-lösningen för Defender för IoT
- Lär dig mer om analysregler, arbetsböcker och spelböcker som distribuerats till din Microsoft Sentinel-arbetsyta med Defender for IoT-lösningen
Förutsättningar
Innan du börjar kontrollerar du att du har följande krav på arbetsytan:
Läs- och skrivbehörigheter på din Microsoft Sentinel-arbetsyta
Deltagarbehörigheter för den prenumeration som du vill ansluta till
Defender för IoT måste vara aktiverat på dina relevanta IoT Hub-instanser.
Använd följande procedur för att verifiera eller aktivera den här inställningen om det behövs:
Gå till den IoT Hub instans som du definierade när du registrerade dina sensorer i Defender för IoT.
Välj Defender för IoT > Inställningar > datainsamling.
Under Microsoft Defender för IoT väljer du Aktivera Microsoft Defender för IoT.
Mer information finns i Behörigheter i Microsoft Sentinel och Snabbstart: Kom igång med Defender för IoT.
Viktigt
För närvarande kan både Microsoft Defender för IoT och Microsoft Defender för molnet dataanslutningsprogram aktiverade på samma Microsoft Sentinel-arbetsyta samtidigt resultera i dubbla aviseringar i Microsoft Sentinel. Vi rekommenderar att du kopplar från Microsoft Defender för molnet dataanslutningen innan du ansluter till Microsoft Defender för IoT.
Anslut dina data från Defender för IoT till Microsoft Sentinel
Börja med att aktivera Defender for IoT-dataanslutningsappen för att strömma alla dina Defender for IoT-händelser till Microsoft Sentinel.
Så här aktiverar du Defender for IoT-dataanslutningsappen:
Under Konfiguration i Microsoft Sentinel väljer du Dataanslutningsprogram och letar sedan upp dataanslutningsappen Microsoft Defender för IoT .
Längst ned till höger väljer du Sidan Öppna anslutningsapp.
På fliken Instruktioner under Konfiguration väljer du Anslut för varje prenumeration vars aviseringar och enhetsaviseringar du vill strömma till Microsoft Sentinel.
Om du har gjort några anslutningsändringar kan det ta 10 sekunder eller mer innan prenumerationslistan uppdateras.
Tips
Om du ser ett felmeddelande kontrollerar du att Defender för IoT är aktiverat på minst en IoT Hub instans i den valda prenumerationen.
Mer information finns i Anslut Microsoft Sentinel till Azure-, Windows-, Microsoft- och Amazon-tjänster.
Visa Defender för IoT-aviseringar
Visa Defender for IoT-aviseringar i området Microsoft Sentinel-loggar .
I Microsoft Sentinel väljer du Loggar > AzureSecurityOfThings > SecurityAlert eller söker efter SecurityAlert.
Använd följande exempelfrågor för att filtrera loggarna och visa aviseringar som genererats av Defender för IoT:
Så här ser du alla aviseringar som genereras av Defender för IoT:
SecurityAlert | where ProductName == "Azure Security Center for IoT"Så här ser du specifika sensoraviseringar som genereras av Defender för IoT:
SecurityAlert | where ProductName == "Azure Security Center for IoT" | where tostring(parse_json(ExtendedProperties).SensorId) == “<sensor_name>”Så här ser du specifika ot-motoraviseringar som genereras av Defender för IoT:
SecurityAlert | where ProductName == "Azure Security Center for IoT" | where ProductComponentName == "MALWARE" SecurityAlert | where ProductName == "Azure Security Center for IoT" | where ProductComponentName == "ANOMALY" SecurityAlert | where ProductName == "Azure Security Center for IoT" | where ProductComponentName == " PROTOCOL_VIOLATION" SecurityAlert | where ProductName == "Azure Security Center for IoT" | where ProductComponentName == " POLICY_VIOLATION" SecurityAlert | where ProductName == "Azure Security Center for IoT" | where ProductComponentName == "OPERATIONAL"Så här ser du aviseringar med hög allvarlighetsgrad som genereras av Defender för IoT:
SecurityAlert | where ProductName == "Azure Security Center for IoT" | where AlertSeverity == "High"Så här ser du specifika protokollaviseringar som genereras av Defender för IoT:
SecurityAlert | where ProductName == "Azure Security Center for IoT" | where tostring(parse_json(ExtendedProperties).Protocol) == "<protocol_name>"
Anteckning
Sidan Loggar i Microsoft Sentinel baseras på Log Analytics i Azure Monitor.
Mer information finns i Översikt över loggfrågor i Azure Monitor-dokumentationen och Modulen Skriva din första KQL fråga Learn.
Installera Defender för IoT-lösningen
IoT OT-hotövervakning med Defender för IoT-lösningen är en uppsättning paketerat innehåll, inklusive analysregler, arbetsböcker och spelböcker som konfigurerats specifikt för Defender för IoT-data. Den här lösningen stöder för närvarande endast driftsnätverk (OT/ICS).
Tips
Microsoft Sentinel-lösningar kan hjälpa dig att registrera Microsoft Sentinel-säkerhetsinnehåll för en specifik dataanslutning med hjälp av en enda process. IoT OT-hotövervakning med Defender för IoT stöder till exempel integrering med Microsoft Sentinels funktioner för säkerhetsorkestrering, automatisering och svar (SOAR) genom att tillhandahålla färdiga och OT-optimerade spelböcker med automatiserade funktioner för svar och skydd.
Så här installerar du lösningen
Under Innehållshantering i Microsoft Sentinel väljer du Innehållshubb och letar sedan upp IoT OT-hotövervakning med Defender för IoT-lösningen .
Längst ned till höger väljer du Visa information och sedan Skapa. Välj den prenumeration, resursgrupp och arbetsyta där du vill installera lösningen och granska sedan det relaterade säkerhetsinnehåll som ska distribueras.
När du är klar väljer du Granska + skapa för att installera lösningen.
Mer information finns i Om Microsoft Sentinel-innehåll och -lösningar och Identifiera och distribuera färdigt innehåll och lösningar centralt.
Identifiera hot direkt med Defender for IoT-data
Incidenter skapas inte för aviseringar som genereras av Defender för IoT-data som standard.
Du kan se till att Microsoft Sentinel skapar incidenter för relevanta aviseringar som genereras av Defender för IoT, antingen genom att använda färdiga analysregler som tillhandahålls i IoT OT-hotövervakning med Defender för IoT-lösningen , konfigurera analysregler manuellt eller genom att konfigurera dataanslutningsappen för att automatiskt skapa incidenter för alla aviseringar som genereras av Defender för IoT.
Mer information finns i:
- Använda färdiga analysregler
- Skapa och underhålla analysregler manuellt
- Konfigurera anslutningsappen för att skapa incidenter för alla aviseringar
Installera Defender för IoT-lösningen för att få färdiga analysregler distribuerade till din arbetsyta, som skapats specifikt för Defender for IoT-data.
I följande tabell beskrivs de färdiga analysreglerna i IoT OT-hotövervakning med Defender för IoT-lösningen .
Tips
När du arbetar med följande analysregler rekommenderar vi att du inaktiverar Microsoft Security Defender som standard för IoT-analysreglerna.
| Regelnamn | Description |
|---|---|
| Ogiltiga funktionskoder för ICS/SCADA-trafik | Ogiltiga funktionskoder i SCADA-utrustning (övervakningskontroll och datainsamling) kan tyda på något av följande: – Felaktig programkonfiguration, till exempel på grund av en uppdatering av inbyggd programvara eller ominstallation. - Skadlig aktivitet. Till exempel ett cyberhot som försöker använda olagliga värden i ett protokoll för att utnyttja en sårbarhet i den programmerbara logikkontrollanten (PLC), till exempel ett buffertspill. |
| Uppdatering av inbyggd programvara | Obehöriga uppdateringar av inbyggd programvara kan tyda på skadlig aktivitet i nätverket, till exempel ett cyberhot som försöker manipulera PLC:s inbyggda programvara för att kompromettera PLC-funktionen. |
| Otillåtna PLC-ändringar | Obehöriga ändringar i PLC-steglogikens kod kan vara något av följande: - En indikation på nya funktioner i PLC. – Felaktig konfiguration av ett program, till exempel på grund av en uppdatering av inbyggd programvara eller ominstallation. - Skadlig aktivitet i nätverket, till exempel ett cyberhot som försöker manipulera PLC-programmering för att kompromettera PLC-funktionen. |
| PLC:s osäkra nyckeltillstånd | Det nya läget kan tyda på att PLC:n inte är säker. Om plc:en lämnas i ett osäkert driftsläge kan angripare utföra skadliga aktiviteter på den, till exempel en programnedladdning. Om PLC komprometteras kan enheter och processer som interagerar med den påverkas. som kan påverka den övergripande systemsäkerheten. |
| PLC-stopp | PLC-stoppkommandot kan indikera en felaktig konfiguration av ett program som har fått PLC att sluta fungera eller skadlig aktivitet i nätverket. Till exempel ett cyberhot som försöker manipulera PLC-programmering för att påverka nätverkets funktioner. |
| Misstänkt skadlig kod hittades i nätverket | Misstänkt skadlig kod som hittats i nätverket indikerar att misstänkt skadlig kod försöker kompromettera produktionen. |
| Flera genomsökningar i nätverket | Flera genomsökningar i nätverket kan vara en indikation på något av följande: – En ny enhet i nätverket – Nya funktioner för en befintlig enhet – Felkonfiguration av ett program, till exempel på grund av en uppdatering av inbyggd programvara eller ominstallation - Skadlig aktivitet i nätverket för rekognosering |
| Internetanslutning | En OT-enhet som kommunicerar med Internetadresser kan tyda på en felaktig programkonfiguration, till exempel antivirusprogram som försöker ladda ned uppdateringar från en extern server eller skadlig aktivitet i nätverket. |
| Obehörig enhet i SCADA-nätverket | En obehörig enhet i nätverket kan vara en legitim, ny enhet som nyligen installerats i nätverket eller en indikation på obehörig eller till och med skadlig aktivitet i nätverket, till exempel ett cyberhot som försöker manipulera SCADA-nätverket. |
| Obehörig DHCP-konfiguration i SCADA-nätverket | En obehörig DHCP-konfiguration i nätverket kan tyda på en ny, obehörig enhet som arbetar i nätverket. Detta kan vara en legitim, ny enhet som nyligen distribuerats i nätverket eller en indikation på obehörig eller till och med skadlig aktivitet i nätverket, till exempel ett cyberhot som försöker manipulera SCADA-nätverket. |
| Överdrivet många inloggningsförsök | Överdrivna inloggningsförsök kan tyda på felaktig tjänstkonfiguration, mänskliga fel eller skadlig aktivitet i nätverket, till exempel ett cyberhot som försöker manipulera SCADA-nätverket. |
| Hög bandbredd i nätverket | Ovanligt hög bandbredd kan vara en indikation på en ny tjänst/process i nätverket, till exempel säkerhetskopiering, eller en indikation på skadlig aktivitet i nätverket, till exempel ett cyberhot som försöker manipulera SCADA-nätverket. |
| Denial of Service | Den här aviseringen identifierar attacker som förhindrar användning eller korrekt drift av DCS-systemet. |
| Obehörig fjärråtkomst till nätverket | Obehörig fjärråtkomst till nätverket kan kompromettera målenheten. Det innebär att om en annan enhet i nätverket komprometteras kan målenheterna nås via fjärranslutning, vilket ökar attackytan. |
Visualisera och övervaka Defender för IoT-data
Om du vill visualisera och övervaka dina Defender for IoT-data använder du arbetsböckerna som distribuerats till din Microsoft Sentinel-arbetsyta som en del av IoT OT Threat Monitoring med Defender for IoT-lösningen .
Defender för IoT-arbetsböcker tillhandahåller guidade undersökningar för OT-entiteter baserat på öppna incidenter, aviseringsmeddelanden och aktiviteter för OT-tillgångar. De ger också en jaktupplevelse i MITRE ATTCK-ramverket&® för ICS och är utformade för att göra det möjligt för analytiker, säkerhetstekniker och MSSP:er att få situationsmedvetenhet om OT-säkerhetsstatus.
Visa arbetsböcker i Microsoft Sentinel på fliken Mina arbetsböcker för hothantering >> . Mer information finns i Visualisera insamlade data.
I följande tabell beskrivs arbetsböckerna som ingår i IoT OT Threat Monitoring med Defender for IoT-lösningen :
| Arbetsbok | Description | Loggar |
|---|---|---|
| Aviseringar | Visar data som: Aviseringsmått, De översta aviseringarna, Avisering över tid, Avisering efter allvarlighetsgrad, Avisering efter motor, Avisering efter enhetstyp, Avisering efter leverantör och avisering efter IP-adress. | Använder data från följande logg: SecurityAlert |
| Incidenter | Visar data som: – Incidentmått, översta incidenten, incident över tid, incident efter protokoll, incident efter enhetstyp, incident efter leverantör och incident efter IP-adress. - Incident efter allvarlighetsgrad, incident mean time to respond, Incident Mean time to resolve och Incident close reasons. |
Använder data från följande logg: SecurityAlert |
| MITRE ATTCK&® för ICS | Visar data som: Antal taktiker, taktikinformation, taktik över tid, antal tekniker. | Använder data från följande logg: SecurityAlert |
| Enhetsinventering | Visar data som: OT-enhetsnamn, typ, IP-adress, Mac-adress, modell, operativsystem, serienummer, leverantör, protokoll. | Använder data från följande logg: SecurityAlert |
Automatisera svar på Defender for IoT-aviseringar
Spelböcker är samlingar av automatiserade reparationsåtgärder som kan köras från Microsoft Sentinel som en rutin. En spelbok kan hjälpa dig att automatisera och samordna ditt hotsvar. Den kan köras manuellt eller ställas in för att köras automatiskt som svar på specifika aviseringar eller incidenter, när den utlöses av en analysregel eller en automatiseringsregel.
Spelböckerna som beskrivs i följande avsnitt distribueras till din Microsoft Sentinel-arbetsyta som en del av IoT OT Threat Monitoring med Defender for IoT-lösningen .
Mer information finns i:
- Självstudie: Använda spelböcker med automatiseringsregler i Microsoft Sentinel
- Automatisera hotsvar med spelböcker i Microsoft Sentinel
Stäng incidenter automatiskt
Spelboksnamn: AD4IoT-AutoCloseIncidents
I vissa fall genererar underhållsaktiviteter aviseringar i Microsoft Sentinel som kan distrahera ett SOC-team från att hantera de verkliga problemen. Den här spelboken stänger automatiskt incidenter som skapats från sådana aviseringar under en angiven underhållsperiod och parsar uttryckligen IoT-enhetsentitetsfälten.
Så här använder du den här spelboken:
- Ange den relevanta tidsperiod då underhållet förväntas ske och IP-adresserna för alla relevanta tillgångar, till exempel i en Excel fil.
- Skapa en visningslista som innehåller alla tillgångs-IP-adresser där aviseringar ska hanteras automatiskt.
E-postaviseringar per produktionslinje
Spelboksnamn: AD4IoT-MailByProductionLine
Den här spelboken skickar e-post för att meddela specifika intressenter om aviseringar och händelser som inträffar i din miljö.
När du till exempel har specifika säkerhetsteam tilldelade till specifika produktlinjer eller geografiska platser vill du att teamet meddelas om aviseringar som är relevanta för deras ansvarsområden.
Om du vill använda den här spelboken skapar du en visningslista som mappar mellan sensornamnen och adresserna för var och en av de intressenter som du vill avisera.
Skapa en ny ServiceNow-biljett
Spelboksnamn AD4IoT-NewAssetServiceNowTicket
Vanligtvis är entiteten som har behörighet att programmera en PLC den tekniska arbetsstationen. Därför kan angripare skapa nya tekniska arbetsstationer för att skapa skadlig PLC-programmering.
Den här spelboken öppnar ett ärende i ServiceNow varje gång en ny teknisk arbetsstation identifieras, vilket uttryckligen parsar IoT-enhetsentitetsfälten.
Nästa steg
Mer information finns i: