IoT için Microsoft Defender mimarisi

  • Makale
  • Okumak için 4 dakika

Bu makalede, IoT için Defender aracısız çözümünün işlevsel sistem mimarisi açıklanmıştır. IoT için Microsoft Defender ortamının ihtiyaçlarına uygun iki özellik kümesi, kuruluşlar için aracısız çözüm ve cihaz oluşturucular için aracı tabanlı çözüm sunar.

Kuruluşlar için aracısız çözüm mimarisi

IoT için Defender bileşenleri

IoT için Defender hem Azure bulutuna hem de şirket içi bileşenlere bağlanır. Çözüm, birden çok uzak konuma sahip büyük ve coğrafi olarak dağıtılmış ortamlarda ölçeklenebilirlik için tasarlanmıştır. Bu çözüm ülkeye, bölgeye, iş birimine veya bölgeye göre çok katmanlı bir dağıtılmış mimariye olanak sağlar.

IoT için Microsoft Defender aşağıdaki bileşenleri içerir:

Buluta bağlı dağıtımlar

  • IoT için Microsoft Defender algılayıcı VM'si veya aleti
  • Azure portal yönetimi ve Microsoft Sentinel tümleştirmesi için destek
  • Yerel site yönetimi için şirket içi yönetim konsolu
  • Eklenmiş güvenlik aracısı (isteğe bağlı)

Havadan eşlenmiş (Çevrimdışı) dağıtımlar

  • IoT için Microsoft Defender algılayıcı VM'si veya aleti
  • Yerel site yönetimi için şirket içi yönetim konsolu

IoT için Defender mimarisi.

IoT algılayıcıları için Microsoft Defender

IoT için Defender algılayıcıları ağ cihazlarını keşfeder ve sürekli olarak izleyebilir. Algılayıcılar, IoT ve OT cihazlarında pasif (aracısız) izleme kullanarak ICS ağ trafiğini toplar.

IoT ve OT ağları için özel olarak inşa edilen aracısız teknoloji, ağa bağlandıktan dakikalar içinde IoT ve OT riskine yönelik derin görünürlük sağlar. Müdahaleci olmayan Ağ Trafiği Analizi (NTA) yaklaşımı nedeniyle ağ ve ağ cihazları üzerinde sıfır performans etkisine sahip olur.

Patentli, IoT ve OT algılayan davranış analizi ve Katman 7 Derin Paket İncelemesi (DPI) uygulayarak, anormal veya yetkisiz etkinliklere dayalı gelişmiş IoT ve OT tehditlerini (dosyasız kötü amaçlı yazılım gibi) hemen algılamak için geleneksel imza tabanlı çözümlerin ötesinde analiz etmenize olanak sağlar.

IoT için Defender algılayıcıları BIR SPAN bağlantı noktasına veya ağ TAP'larına bağlanır ve IoT ve OT ağ trafiği üzerinde hemen DPI gerçekleştirmeye başlar.

Veri toplama, işleme, analiz ve uyarı işlemleri doğrudan sensör üzerinde uzıyor. Yönetim konsoluna yalnızca meta veriler aktarıldıkları için bu işlem, düşük bant genişliğine veya yüksek gecikme süresine sahip bağlantı özelliklerine sahip konumlar için idealdir.

Algılayıcı beş analiz algılama motoru içerir. Altyapılar, hem gerçek zamanlı hem de önceden kaydedilmiş trafiğin analizine göre uyarılar tetikler. Aşağıdaki altyapılar kullanılabilir:

Protokol ihlali algılama altyapısı

Protokol ihlali algılama altyapısı, ICS protokol belirtimlerini ihlal eden paket yapılarının ve alan değerlerinin kullanımını tanımlar. Örneğin: Modbus özel durumu ve Eski işlev kodu uyarılarının başlatılmış olması.

İlke ihlali algılama altyapısı

İlke ihlali algılama altyapısı, makine öğrenmesini kullanarak, belirli işlev kodlarının yetkisiz kullanımı, belirli nesnelere erişim veya cihaz yapılandırmasında yapılan değişiklikler gibi temel davranışlardan sapma olan kullanıcıları uyarıyor. Örneğin: DeltaV yazılım sürümü değiştirildi ve Yetkisiz BILGISAYAR PROGRAMLAMA uyarıları. İlke ihlali altyapısı, Endüstriyel Sonlu Durum Modellemesi (IFSM) adlı patentli bir teknik kullanarak ICS ağlarını durumların ve geçişlerin belirlenimci dizileri olarak modeller. İlke ihlali algılama altyapısı, ICS ağlarının bir taban çizgisini oluşturmak için platformun, başlangıçta OT ağları yerine IT için geliştirilmiş olan genel matematiksel yaklaşımlara veya analizlere göre daha kısa bir öğrenme dönemi oluşturmasını gerektirir.

Endüstriyel kötü amaçlı yazılım algılama altyapısı

Endüstriyel kötü amaçlı yazılım algılama altyapısı, Eleksecker, Black Energy, Havex, WannaCry, NotPetya ve Triton gibi bilinen kötü amaçlı yazılımların varlığını gösteren davranışları tanımlar.

Anomali algılama altyapısı

Anomali algılama altyapısı, makineden makineye (M2M) olağan dışı iletişimleri ve davranışları algılar. ICS ağlarını durumların ve geçişlerin belirlenimci dizileri olarak modelleten platform, OT yerine ilk olarak IT için geliştirilen genel matematiksel yaklaşımlardan veya analizlerden daha kısa bir öğrenme süresi gerektirir. Ayrıca en düşük hatalı pozitif sonuçla anomalileri daha hızlı algılar. Anomali algılama altyapısı uyarıları Aşırı SMB oturum açma denemeleri ve SCAN Scan Algılanan uyarıları içerir.

operasyonel olay algılama

Operasyonel olay algılama, donanım hatasının erken işaretlerini işaretabilen aralıklı bağlantı gibi operasyonel sorunları algılar. Örneğin, cihazın bağlantısının kesiliyor (yanıt vermiyor) olduğu düşüniliyor ve Siemens S7 STOP THE komutuna uyarılar gönderiliyor.

Yönetim konsolları

IoT için Microsoft Defender'ın karma ortamlarda yönetilmesi iki yönetim portalı aracılığıyla gerçekleştiriliyor:

  • Algılayıcı konsolu
  • Şirket içi yönetim konsolu
  • Azure portal

Algılayıcı konsolu

Algılayıcı algılamaları, bir ağ haritası, cihaz envanteri ve risk değerlendirme raporları, veri madenciliği sorguları ve saldırı vektörleri gibi çok çeşitli raporlarda görüntülenilen, araştırılan ve analiz edilen algılayıcı konsolunda görüntülenir. Konsolu algılayıcı altyapıları tarafından algılanan tehditleri görüntülemek ve işlemek, bilgileri iş ortağı sistemlerine iletmek, kullanıcıları yönetmek ve daha fazlasını yapmak için de kullanabilirsiniz.

IoT için Defender algılayıcı konsolu

Şirket içi yönetim konsolu

Şirket içi yönetim konsolu, güvenlik operasyon merkezi (SOC) operatörlerinin birden çok algılayıcıdan toplanan uyarıları tek bir panoda yönetmesine ve analiz etmesine olanak sağlar ve OT ağlarının genel durumunun bir görünümünü sağlar.

Bu mimari, soC düzeyinde ağın kapsamlı birleşik bir görünümünü, iyileştirilmiş uyarı işlemeyi ve operasyonel ağ güvenliğinin kontrolünü sağlayarak karar verme ve risk yönetiminin kusursuz kalmasını sağlar.

Yönetim konsolu çok müşterili çalışma, izleme, veri analizi ve merkezi algılayıcı uzaktan denetimine ek olarak, uzak gereçlerin her biri için ek sistem bakım araçları (uyarı dışlama gibi) ve tam olarak özelleştirilmiş raporlama özellikleri sağlar. Bu mimari hem site düzeyinde yerel yönetimi hem de SOC içindeki genel yönetimi destekler.

Yönetim konsolu, kurtarma için gereken tüm yapılandırma dosyalarının yedeklerini düzenli aralıklarla alan bir yedekleme konsolu sağlayan yüksek kullanılabilirlik yapılandırması için dağıtılabilir. Birincil konsol başarısız olursa, yerel site yönetim gereçleri kesinti olmadan kullanılabilirliği sürdürmek için yedekleme konsoluyla eşitlemek için otomatik olarak yük devretmesi yapılır.

SOC iş akışlarınız ve çalıştırma kitaplarınız ile sıkı bir şekilde tümleştirilmiş olan bu özellik, risk azaltma etkinliklerinin ve tehditlerin siteler arası bağıntılarının kolayca önceliklendirmenize olanak sağlar.

  • Bütüncül - Cihaz yönetimi, risk ve güvenlik açıkları ve olay yanıtı ile güvenlik açığı yönetimi izleme için tek bir birleşik platform ile karmaşıklığı azaltın.

  • Toplama ve bağıntı: Tüm sitelerden toplanan verileri ve uyarıları görüntüleme, toplama ve analiz etme.

  • Tüm algılayıcıları kontrol edin; tüm algılayıcıları tek bir konumdan yapılandırarak ve izleyebilirsiniz.

    Tüm uyarılarınızı ve bilginizi yönetin.

Azure portal

Azure'daki Azure portal IoT için Defender şunları yapmak için kullanılır:

  • Çözüm gereçleri satın alma

  • Yazılım yükleme ve güncelleştirme

  • Algılayıcıları Azure'a ekleme

  • Tehdit Bilgileri paketlerini güncelleştirme

Sonraki adımlar

IoT için Defender hakkında SSS

Sistem önkoşulları