Självstudie: Integrera Microsoft Sentinel och Microsoft Defender för IoT

Med Microsoft Defender för IoT kan du skydda hela ot-miljön, oavsett om du behöver skydda befintliga OT-enheter eller bygga in säkerhet i nya OT-innovationer.

Microsoft Sentinel och Microsoft Defender för IoT hjälper till att överbrygga klyftan mellan IT- och OT-säkerhetsutmaningar och ge SOC-team färdiga funktioner för att effektivt och effektivt identifiera och svara på OT-hot. Integreringen mellan Microsoft Defender för IoT och Microsoft Sentinel hjälper organisationer att snabbt identifiera flerstegsattacker, som ofta korsar IT- och OT-gränser.

I den här kursen får du:

  • Anslut Microsoft Sentinel till Defender för IoT
  • Använda Log Analytics för att fråga efter Defender för IoT-aviseringar
  • Installera Microsoft Sentinel-lösningen för Defender för IoT
  • Lär dig mer om analysregler, arbetsböcker och spelböcker som distribuerats till din Microsoft Sentinel-arbetsyta med Defender for IoT-lösningen

Förutsättningar

Innan du börjar kontrollerar du att du har följande krav på arbetsytan:

  • Läs- och skrivbehörigheter på din Microsoft Sentinel-arbetsyta

  • Deltagarbehörigheter för den prenumeration som du vill ansluta till

  • Defender för IoT måste vara aktiverat på dina relevanta IoT Hub-instanser.

    Använd följande procedur för att verifiera eller aktivera den här inställningen om det behövs:

    1. Gå till den IoT Hub instans som du definierade när du registrerade dina sensorer i Defender för IoT.

    2. Välj Defender för IoT > Inställningar > datainsamling.

    3. Under Microsoft Defender för IoT väljer du Aktivera Microsoft Defender för IoT.

Mer information finns i Behörigheter i Microsoft Sentinel och Snabbstart: Kom igång med Defender för IoT.

Viktigt

För närvarande kan både Microsoft Defender för IoT och Microsoft Defender för molnet dataanslutningsprogram aktiverade på samma Microsoft Sentinel-arbetsyta samtidigt resultera i dubbla aviseringar i Microsoft Sentinel. Vi rekommenderar att du kopplar från Microsoft Defender för molnet dataanslutningen innan du ansluter till Microsoft Defender för IoT.

Anslut dina data från Defender för IoT till Microsoft Sentinel

Börja med att aktivera Defender for IoT-dataanslutningsappen för att strömma alla dina Defender for IoT-händelser till Microsoft Sentinel.

Så här aktiverar du Defender for IoT-dataanslutningsappen:

  1. Under Konfiguration i Microsoft Sentinel väljer du Dataanslutningsprogram och letar sedan upp dataanslutningsappen Microsoft Defender för IoT .

  2. Längst ned till höger väljer du Sidan Öppna anslutningsapp.

  3. På fliken Instruktioner under Konfiguration väljer du Anslut för varje prenumeration vars aviseringar och enhetsaviseringar du vill strömma till Microsoft Sentinel.

    Om du har gjort några anslutningsändringar kan det ta 10 sekunder eller mer innan prenumerationslistan uppdateras.

    Tips

    Om du ser ett felmeddelande kontrollerar du att Defender för IoT är aktiverat på minst en IoT Hub instans i den valda prenumerationen.

Mer information finns i Anslut Microsoft Sentinel till Azure-, Windows-, Microsoft- och Amazon-tjänster.

Visa Defender för IoT-aviseringar

Visa Defender for IoT-aviseringar i området Microsoft Sentinel-loggar .

  1. I Microsoft Sentinel väljer du Loggar > AzureSecurityOfThings > SecurityAlert eller söker efter SecurityAlert.

  2. Använd följande exempelfrågor för att filtrera loggarna och visa aviseringar som genererats av Defender för IoT:

    Så här ser du alla aviseringar som genereras av Defender för IoT:

    SecurityAlert | where ProductName == "Azure Security Center for IoT"
    

    Så här ser du specifika sensoraviseringar som genereras av Defender för IoT:

    SecurityAlert
    | where ProductName == "Azure Security Center for IoT"
    | where tostring(parse_json(ExtendedProperties).SensorId) == “<sensor_name>”
    

    Så här ser du specifika ot-motoraviseringar som genereras av Defender för IoT:

    SecurityAlert
    | where ProductName == "Azure Security Center for IoT"
    | where ProductComponentName == "MALWARE"
    
    SecurityAlert
    | where ProductName == "Azure Security Center for IoT"
    | where ProductComponentName == "ANOMALY"
    
    SecurityAlert
    | where ProductName == "Azure Security Center for IoT"
    | where ProductComponentName == " PROTOCOL_VIOLATION"
    
    SecurityAlert
    | where ProductName == "Azure Security Center for IoT"
    | where ProductComponentName == " POLICY_VIOLATION"
    
    SecurityAlert
    | where ProductName == "Azure Security Center for IoT"
    | where ProductComponentName == "OPERATIONAL"
    

    Så här ser du aviseringar med hög allvarlighetsgrad som genereras av Defender för IoT:

    SecurityAlert
    | where ProductName == "Azure Security Center for IoT"
    | where AlertSeverity == "High"
    

    Så här ser du specifika protokollaviseringar som genereras av Defender för IoT:

    SecurityAlert
    | where ProductName == "Azure Security Center for IoT"
    | where tostring(parse_json(ExtendedProperties).Protocol) == "<protocol_name>"
    

Anteckning

Sidan Loggar i Microsoft Sentinel baseras på Log Analytics i Azure Monitor.

Mer information finns i Översikt över loggfrågor i Azure Monitor-dokumentationen och Modulen Skriva din första KQL fråga Learn.

Installera Defender för IoT-lösningen

IoT OT-hotövervakning med Defender för IoT-lösningen är en uppsättning paketerat innehåll, inklusive analysregler, arbetsböcker och spelböcker som konfigurerats specifikt för Defender för IoT-data. Den här lösningen stöder för närvarande endast driftsnätverk (OT/ICS).

Tips

Microsoft Sentinel-lösningar kan hjälpa dig att registrera Microsoft Sentinel-säkerhetsinnehåll för en specifik dataanslutning med hjälp av en enda process. IoT OT-hotövervakning med Defender för IoT stöder till exempel integrering med Microsoft Sentinels funktioner för säkerhetsorkestrering, automatisering och svar (SOAR) genom att tillhandahålla färdiga och OT-optimerade spelböcker med automatiserade funktioner för svar och skydd.

Så här installerar du lösningen

  1. Under Innehållshantering i Microsoft Sentinel väljer du Innehållshubb och letar sedan upp IoT OT-hotövervakning med Defender för IoT-lösningen .

  2. Längst ned till höger väljer du Visa information och sedan Skapa. Välj den prenumeration, resursgrupp och arbetsyta där du vill installera lösningen och granska sedan det relaterade säkerhetsinnehåll som ska distribueras.

    När du är klar väljer du Granska + skapa för att installera lösningen.

Mer information finns i Om Microsoft Sentinel-innehåll och -lösningar och Identifiera och distribuera färdigt innehåll och lösningar centralt.

Identifiera hot direkt med Defender for IoT-data

Incidenter skapas inte för aviseringar som genereras av Defender för IoT-data som standard.

Du kan se till att Microsoft Sentinel skapar incidenter för relevanta aviseringar som genereras av Defender för IoT, antingen genom att använda färdiga analysregler som tillhandahålls i IoT OT-hotövervakning med Defender för IoT-lösningen , konfigurera analysregler manuellt eller genom att konfigurera dataanslutningsappen för att automatiskt skapa incidenter för alla aviseringar som genereras av Defender för IoT.

Mer information finns i:

Visualisera och övervaka Defender för IoT-data

Om du vill visualisera och övervaka dina Defender for IoT-data använder du arbetsböckerna som distribuerats till din Microsoft Sentinel-arbetsyta som en del av IoT OT Threat Monitoring med Defender for IoT-lösningen .

Defender för IoT-arbetsböcker tillhandahåller guidade undersökningar för OT-entiteter baserat på öppna incidenter, aviseringsmeddelanden och aktiviteter för OT-tillgångar. De ger också en jaktupplevelse i MITRE ATTCK-ramverket&® för ICS och är utformade för att göra det möjligt för analytiker, säkerhetstekniker och MSSP:er att få situationsmedvetenhet om OT-säkerhetsstatus.

Visa arbetsböcker i Microsoft Sentinel på fliken Mina arbetsböcker för hothantering >> . Mer information finns i Visualisera insamlade data.

I följande tabell beskrivs arbetsböckerna som ingår i IoT OT Threat Monitoring med Defender for IoT-lösningen :

Arbetsbok Description Loggar
Aviseringar Visar data som: Aviseringsmått, De översta aviseringarna, Avisering över tid, Avisering efter allvarlighetsgrad, Avisering efter motor, Avisering efter enhetstyp, Avisering efter leverantör och avisering efter IP-adress. Använder data från följande logg: SecurityAlert
Incidenter Visar data som:

– Incidentmått, översta incidenten, incident över tid, incident efter protokoll, incident efter enhetstyp, incident efter leverantör och incident efter IP-adress.

- Incident efter allvarlighetsgrad, incident mean time to respond, Incident Mean time to resolve och Incident close reasons.
Använder data från följande logg: SecurityAlert
MITRE ATTCK&® för ICS Visar data som: Antal taktiker, taktikinformation, taktik över tid, antal tekniker. Använder data från följande logg: SecurityAlert
Enhetsinventering Visar data som: OT-enhetsnamn, typ, IP-adress, Mac-adress, modell, operativsystem, serienummer, leverantör, protokoll. Använder data från följande logg: SecurityAlert

Automatisera svar på Defender for IoT-aviseringar

Spelböcker är samlingar av automatiserade reparationsåtgärder som kan köras från Microsoft Sentinel som en rutin. En spelbok kan hjälpa dig att automatisera och samordna ditt hotsvar. Den kan köras manuellt eller ställas in för att köras automatiskt som svar på specifika aviseringar eller incidenter, när den utlöses av en analysregel eller en automatiseringsregel.

Spelböckerna som beskrivs i följande avsnitt distribueras till din Microsoft Sentinel-arbetsyta som en del av IoT OT Threat Monitoring med Defender for IoT-lösningen .

Mer information finns i:

Stäng incidenter automatiskt

Spelboksnamn: AD4IoT-AutoCloseIncidents

I vissa fall genererar underhållsaktiviteter aviseringar i Microsoft Sentinel som kan distrahera ett SOC-team från att hantera de verkliga problemen. Den här spelboken stänger automatiskt incidenter som skapats från sådana aviseringar under en angiven underhållsperiod och parsar uttryckligen IoT-enhetsentitetsfälten.

Så här använder du den här spelboken:

  • Ange den relevanta tidsperiod då underhållet förväntas ske och IP-adresserna för alla relevanta tillgångar, till exempel i en Excel fil.
  • Skapa en visningslista som innehåller alla tillgångs-IP-adresser där aviseringar ska hanteras automatiskt.

E-postaviseringar per produktionslinje

Spelboksnamn: AD4IoT-MailByProductionLine

Den här spelboken skickar e-post för att meddela specifika intressenter om aviseringar och händelser som inträffar i din miljö.

När du till exempel har specifika säkerhetsteam tilldelade till specifika produktlinjer eller geografiska platser vill du att teamet meddelas om aviseringar som är relevanta för deras ansvarsområden.

Om du vill använda den här spelboken skapar du en visningslista som mappar mellan sensornamnen och adresserna för var och en av de intressenter som du vill avisera.

Skapa en ny ServiceNow-biljett

Spelboksnamn AD4IoT-NewAssetServiceNowTicket

Vanligtvis är entiteten som har behörighet att programmera en PLC den tekniska arbetsstationen. Därför kan angripare skapa nya tekniska arbetsstationer för att skapa skadlig PLC-programmering.

Den här spelboken öppnar ett ärende i ServiceNow varje gång en ny teknisk arbetsstation identifieras, vilket uttryckligen parsar IoT-enhetsentitetsfälten.

Nästa steg

Mer information finns i: