Temel kavramlar

  • Makale
  • Okumak için 6 dakika

Bu makalede IoT için Microsoft Defender'ın temel avantajları açıklanmıştır.

Hızlı, müdahaleci olmayan dağıtım ve pasif izleme

IoT algılayıcıları için Defender, SPAN (Yansıtma) bağlantı noktalarına ve ağ TAP'lere bağlanır ve pasif (aracısız) izleme yoluyla ICS ağ trafiğini toplamaya hemen başlar. Derin paket incelemesi (DPI), hem seri hem de Ethernet denetim ağ ekipmanlarından gelen trafiğin açıklarını yapmak için kullanılır. IoT için Defender, veri yoluna yerleştirilmay olduğundan ve OT cihazlarını etkin bir şekilde taramayarak OT ağlarını hiç etkilemez.

Cihaz bilgileriyle ilgili ayrıntılı Windows anlık görüntüleri sunmak için IoT için Defender algılayıcısı, pasif izlemeyi isteğe bağlı bir etkin bileşenle ek olarak yapılandırabilirsiniz. Bu bileşen, cihaz ayrıntıları için cihaz ayrıntılarını Windows veya istediğiniz sıklıkta sorgulamak için güvenli, satıcı onaylı komutlar kullanır.

ICS protokolleri, cihazları ve uygulamaları hakkında ekli bilgi

Tek başına DPI, protokol anomalilerini tanımlamak ve cihazı ayrıntılı bir düzeyde tanımlamak için yeterli değildir. IoT için Defender algılayıcısı, en büyük ve en karmaşık ortamlardan bazılarını adresler. Tüm endüstriyel sektörlerde bugüne kadar 1.300'den fazla OT ağı analiz edildi.

Analiz ve kendi kendine öğrenme altyapıları

Altyapılar, sürekli izleme ve imzaları güncelleştirme veya kural tanımlama gereğini ortadan kaldırmak için kendi kendine öğrenmeyi içeren beş analiz altyapısı aracılığıyla güvenlik sorunlarını tanımlar. Altyapılar, ANOMALIler için OT ağ trafiğini sürekli analiz etmek üzere ICS'ye özgü davranış analizi ve veri bilimi kullanır. Beş altyapı:

  • Protokol ihlali algılama: ICS protokol belirtimlerini ihlal eden paket yapılarının ve alan değerlerinin kullanımını tanımlar.

  • İlke ihlali algılama: İşlev kodlarının yetkisiz kullanımı, belirli nesnelere erişim veya cihaz yapılandırmasında yapılan değişiklikler gibi ilke ihlallerini tanımlar.

  • Endüstriyel kötü amaçlı yazılım algılama:şon, Black Energy, Havex, WannaCry ve NotPetya gibi bilinen kötü amaçlı yazılımların varlığını gösteren davranışları tanımlar.

  • Anomali algılama: Makineden makineye (M2M) olağan dışı iletişimleri ve davranışlarını algılar. ICS ağlarını durumların ve geçişlerin belirlenimci dizileri olarak modellenin, altyapı Endüstriyel Sonlu Durum Modellemesi (IFSM) olarak adlandırılan, patentli bir teknik kullanır. Çözüm, başlangıçta OT yerine IT için geliştirilmiş olan genel matematiksel yaklaşımlardan veya analizlerden daha kısa bir öğrenme süresi gerektirir. Ayrıca en düşük hatalı pozitif sonuçla anomalileri daha hızlı algılar.

  • operasyonel olay algılama: Donanım hatasının erken işaretlerini işaretabilen aralıklı bağlantı gibi operasyonel sorunları tanımlar.

Risk ve güvenlik açığı değerlendirmesi için Ağ Trafiği Analizi

Sektörde benzersiz olan IoT için Defender, aşağıdakiler gibi tüm ağ ve uç nokta güvenlik açıklarını pasif olarak tanımlamak için özel Ağ Trafiği Analizi (NTA) algoritmalarını kullanır:

  • Yetkisiz uzaktan erişim bağlantıları
  • Sahte veya belgelenmemiş cihazlar
  • Zayıf kimlik doğrulaması
  • Güvenlik açığı olan cihazlar (eşleşmeyen CVE'lere göre)
  • Alt ağlar arasında yetkisiz köprüler
  • Zayıf güvenlik duvarı kuralları

Araştırma, adli araştırma ve tehdit avcılığı için veri madenciliği

Platform, tüm ilgili boyutlar arasında geçmiş trafiği ayrıntılı olarak aramak için sezgisel bir veri madenciliği arabirimi sağlar. Zaman aralığı, IP adresi, MAC adresi ve bağlantı noktaları örnek olarak verilmiştir. Ayrıca işlev kodları, protokol hizmetleri ve modülleri temel alan protokole özgü sorgular da oluşturabilirsiniz. Daha fazla detaya gitme analizi için tam uygunluk PCAPs kullanılabilir.

Algılayıcı Bulut Yönetimi modu

Algılayıcı Bulut Yönetimi modu, algılayıcının algılayan cihaz, uyarı ve diğer bilgilerin nerede görüntülendiğinden karar verir.

Buluta bağlı algılayıcılar için algılayıcının algılayan bilgiler algılayıcı konsolunda görüntülenir. Uyarı bilgileri bir IoT hub'ı üzerinden teslim edilir ve Microsoft Sentinel gibi diğer Azure hizmetleriyle paylaşılır.

Yerel olarak bağlı algılayıcılar için algılayıcının algılayan bilgileri algılayıcı konsolunda görüntülenir. Algılama bilgileri, algılayıcıya bağlı ise şirket içi yönetim konsoluyla da paylaşılır.

Havadan eşlenen ağlar

Havayla eşlenen bir ortamda çalışıyorsanız, IoT için Defender'daki şirket içi yönetim konsolu, tüm tesisleriniz genelinde önemli IoT ve OT risk göstergelerinin ve uyarılarının gerçek zamanlı bir görünümünü sunar. SOC iş akışlarınız ve runbook'lar ile sıkı bir şekilde tümleştirilmiş olan bu özellik, risk azaltma etkinliklerinin ve tehditlerin siteler arası bağıntılarının kolayca önceliklerini belirlemenizi sağlar.

IoT için Defender tüm cihazlarınızı birleştirilmiş bir görünüm sağlar. Ayrıca tür (TRIP, RTU, DCS ve daha fazlası), üretici, model ve üretici yazılımı düzeltme düzeyi gibi cihazlar hakkında kritik bilgilerin yanı sıra uyarı bilgileri sağlar.

IoT için Defender, birden çok dağıtımın etkili bir şekilde yönetimine ve ağın kapsamlı bir birleşik görünümüne olanak sağlar. IoT için Defender, operasyonel ağ güvenliğinin uyarı işlemesini ve denetimlerini iyiler.

Şirket içi yönetim konsolu, genel algılayıcı yüklemelerinin etkinliklerini izlemenizi ve denetlemenizi sağlayan web tabanlı bir yönetim platformudur. Şirket içi yönetim konsolu, dağıtılan algılayıcılardan alınan verileri yönetmeye ek olarak çeşitli iş kaynaklarından gelen verileri sorunsuz bir şekilde tümleştirmektedir: CMDB'ler, DNS, güvenlik duvarları, Web API'leri ve daha fazlası.

Şirket içi yönetim konsolu ekranı.

Şirket içi yönetim konsoluyla çalışmadan önce algılayıcılar tarafından kullanılabilen kavramlar, özellikler ve özellikler hakkında bilgi sahibi olun.

Tümleştirmeler

Hem cihaz hem de uyarı bilgilerini iş ortağı sistemleriyle paylaşarak IoT için Defender'ın özelliklerini genişletebilirsiniz. Tümleştirmeler, kuruluşların cihaz görünürlüğünü ve tehdit zekalarını önemli ölçüde geliştirmek için önceden silo güvenlik çözümleri arasında köprü bulunmasına yardımcı olur. Tümleştirmeler ayrıca kuruluşların sistem genelindeki yanıtları hızlandırmalarına ve riskleri daha hızlı bir şekilde hafifletlerine yardımcı olur.

Tümleştirmeler, mevcut SOC iş akışlarınız ve güvenlik yığınınız ile tümleştirerek karmaşıklığı azaltır ve IT ve OT silolarını ortadan kaldırabilirsiniz. Örneğin:

  • IBM QRadar, Splunk, ArcSight, LogRhythm ve RSA NetWitness gibi SIEM'ler

  • ServiceNow ve IBM Resilient gibi güvenlik düzenleme ve bilet sistemleri

  • CyberArk Privileged Session Manager (PSM) ve BeyondTrust gibi güvenli uzaktan erişim çözümleri

  • Aruba ClearPass ve Forvlut CounterACT gibi güvenli ağ erişim denetimi (NAC) sistemleri

  • Fortinet ve Check Point gibi güvenlik duvarları

Tam protokol desteği

Ekli protokol desteğine ek olarak, özel ve özel protokoller çalıştıran IoT ve ICS cihazlarını veya herhangi bir standarttan sapan protokolleri güvenli hale getirebilirsiniz. Geliştiriciler Horizon Open Development Environment (ODE) SDK'sı kullanarak tanımlı protokollere göre ağ trafiğinin kodunu çözen ekserler oluşturabilir. Hizmetler tam izleme, uyarı ve raporlama sağlamak için trafiği analiz eder. Horizon kullanarak şunları yapmak için:

  • Yeni sürümlere yükseltmeye gerek kalmadan görünürlüğü ve denetimi genişletin.

  • Harici bir eklenti olarak siteyi geliştirerek özel bilgilerin güvenliğini sağlama.

  • Uyarılar, olaylar ve protokol parametreleri için metni yerelleştirin.

Ayrıca, bilgileri iletişim kurmak için özel protokol uyarılarını kullanabilirsiniz:

  • Özel bir Horizon eklentisinde protokollere ve temel alınan protokollere dayalı trafik algılamaları hakkında.

  • Tüm protokol katmanlarından protokol alanlarının birleşimi hakkında. Örneğin MODBUS çalıştıran bir ortamda, algılayıcı belirli bir IP adresi ve Ethernet hedefi üzerinde bir bellek yazmacına yazma komutu algılayan bir uyarı oluşturmak istiyor olabilir. Veya belirli bir IP adresine herhangi bir erişim gerçekleştiriliyor olduğunda bir uyarı oluşturmak da istiyor olabilir.

Ufuk uyarı kuralı koşulları karşılendiğinde uyarılar tetiklenir.

Ayrıca Horizon özel uyarıları ile çalışmak kendi uyarı başlıklarınızı ve iletilerinizi yazmanızı sağlar. Çözümlenen protokol alanları ve değerleri uyarı iletisi metnine katıştırabilirsiniz.

Özel, koşul tabanlı uyarı tetikleme ve mesajlaşmayı kullanmak belirli ağ etkinliğinin tespit güncelleştirmesi ve güvenlik, IT ve operasyonel ekiplerinizi etkili bir şekilde güncelleştirmenize yardımcı olur.

Desteklenen protokollerin tam listesi için bkz. Desteklenen Protokoller.

Envanter Cihazı nedir?

IoT için Defender Cihaz envanteri, kuruluşların ağlarını ve yönetilen uç noktalarını izleme algılayıcıları tarafından algılanan çok çeşitli varlık özniteliklerini görüntüler.

IoT için Defender, aşağıdakiler için envanterde cihazları tek bir benzersiz ağ cihazı olarak tanımlar ve sınıflandıracak:

  1. Tek başına IT/OT/IoT cihazları (1 veya birden çok SıC ile)
  2. Birden çok arka plan bileşeninden (tüm raflar/yuvalar/modüller dahil) oluşan cihazlar
  3. Anahtar/Yönlendirici (w/multiple NIC) gibi ağ altyapısı olarak hareket eden cihazlar.

Genel İnternet IP adresleri, çok noktaya yayın grupları ve yayın grupları envanter cihazları olarak kabullanmaz. 60'dan fazla süredir etkin olmayan cihazlar etkin olmayan Envanter cihazları olarak sınıflandırılır.

Yüksek kullanılabilirlik

Şirket içi yönetim konsoluna bir yüksek kullanılabilirlik aleti yükleyerek IoT için Defender dağıtımınıza karşı daha fazla güvenlik sağlar. Yüksek kullanılabilirlik dağıtımları, yönetilen algılayıcılarınızı sürekli olarak etkin bir şirket içi yönetim konsoluna bildirmesini sağlar.

Bu dağıtım, birincil ve ikincil gereç içeren bir şirket içi yönetim konsol çifti ile uygulanır.

Yerelleştirme

Birçok konsol özelliği çok çeşitli dilleri destekler.

Sonraki adım

IoT için Defender'ı çalışmaya başlama