Öğretici: ot ağlarınızı Sıfır Güven ilkeleriyle izleme

  • Makale

Sıfır Güven, aşağıdaki güvenlik ilkeleri kümesini tasarlamaya ve uygulamaya yönelik bir güvenlik stratejisidir:

Açıkça doğrula En az ayrıcalık erişimi kullan İhlal varsay
Tüm kullanılabilir veri noktalarına göre her zaman kimlik doğrulaması ve yetkilendirme. Tam Zamanında ve Yeterli Erişim (JIT/JEA), risk tabanlı uyarlamalı ilkeler ve veri koruması ile kullanıcı erişimini sınırlayın. Patlama yarıçapı ve segment erişimini en aza indirin. Uçtan uca şifrelemeyi doğrulayın ve görünürlük elde etmek, tehdit algılamayı yönlendirmek ve savunmayı geliştirmek için analiz kullanın.

IoT için Defender, ağ hijyenini koruduğunuzdan ve her alt sistemi ayrı ve güvenli tuttuğunuzdan emin olmak için OT ağınız genelinde site ve bölge tanımlarını kullanır.

Bu öğreticide IoT için Defender ve Sıfır Güven ilkeleriyle OT ağınızı izleme açıklanmaktadır.

Bu öğreticide aşağıdakilerin nasıl yapılacağını öğreneceksiniz:

Önemli

Azure portalındaki Öneriler sayfası şu anda ÖNİzLEME aşamasındadır. Beta, önizleme veya başka bir şekilde genel kullanıma sunulmamış Azure özellikleri için geçerli olan ek yasal koşullar için Bkz. Microsoft Azure Önizlemeleri için Ek Kullanım Koşulları.

Önkoşullar

Bu öğreticideki görevleri gerçekleştirmek için şunları yapmanız gerekir:

  • Azure aboneliğinizde IoT için Defender OT planı

  • IoT için Defender'a birden çok bulut bağlantılı, OT algılayıcısı dağıtıldı, trafik verilerinin akışını sağlayın. Her algılayıcı farklı bir siteye ve bölgeye atanmalı ve ağ kesimlerinizin her biri ayrı ve güvenli tutulmalıdır. Daha fazla bilgi için bkz . IoT için Defender'a OT algılayıcıları ekleme.

  • Aşağıdaki izinler:

    • Güvenlik yöneticisi, Katkıda Bulunan veya Sahip kullanıcısı olarak Azure portalına erişim. Daha fazla bilgi için bkz . IoT için Defender için Azure kullanıcı rolleri ve izinleri.

    • Algılayıcılarınıza Yönetici veya Güvenlik Analisti kullanıcısı olarak erişin. Daha fazla bilgi için bkz . IoT için Defender ile OT izleme için şirket içi kullanıcılar ve roller.

Alt ağlar arası trafikle ilgili uyarıları arayın

Alt ağlar arası trafik, siteler ve bölgeler arasında hareket eden trafiktir.

İç sistemin diğer sistemlere bildirim iletileri göndermesi gibi alt ağlar arası trafik geçerli olabilir. Ancak, bir iç sistem dış sunuculara iletişim gönderiyorsa, iletişimin tamamen meşru olduğunu doğrulamak istersiniz. Giden iletiler varsa, bunlar paylaşılabilen bilgiler içeriyor mu? Gelen trafik varsa güvenli kaynaklardan mı geliyor?

Her alt sistemi ayrı ve güvenli tutmak için içindeki ağınızı sitelere ve bölgelere ayırdınız ve belirli bir site veya bölgedeki trafiğin çoğunun bu sitenin veya bölgenin içinde kalmasını bekleyebilirsiniz. Alt ağlar arası trafik görürseniz ağınızın risk altında olduğunu gösterebilir.

Alt ağlar arası trafiği aramak için:

  1. Araştırmak istediğiniz bir OT ağ sensöründe oturum açın ve soldaki Cihaz haritası'nı seçin.

  2. Haritanın sol tarafındaki Gruplar bölmesini genişletin ve ardından Alt Ağlar Arası Bağlan Filtrele'yi> seçin.

  3. Haritada, cihazlar arasındaki bağlantıları görüntüleyebilmeniz için yeterince yakınlaştırın. Sağ tarafta cihazı daha fazla araştırabileceğiniz bir cihaz ayrıntıları bölmesini göstermek için belirli cihazları seçin.

    Örneğin, cihaz ayrıntıları bölmesinde Etkinlik Raporu'nı seçerek etkinlik raporu oluşturun ve belirli trafik desenleri hakkında daha fazla bilgi edinin.

Bilinmeyen cihazlarda uyarı arayın

Ağınızda hangi cihazların olduğunu ve kimlerle iletişim kurdıklarını biliyor musunuz? IoT için Defender, OT alt ağlarında algılanan yeni, bilinmeyen cihazlar için uyarıları tetikler, böylece bu cihazı tanımlayabilir ve hem cihaz güvenliğini hem de ağ güvenliğinizi güvence altına alabilirsiniz.

Bilinmeyen cihazlar, ağlar arasında hareket eden geçici cihazlar içerebilir. Örneğin geçici cihazlar, sunucuların bakımını yaparken ağa bağlandıkları teknisyenin dizüstü bilgisayarını veya ofisinizdeki bir konuk ağına bağlanan bir ziyaretçinin akıllı telefonunu içerebilir.

Önemli

Bilinmeyen cihazları tanımladıktan sonra, bilinmeyen cihazlardaki şüpheli trafik ek bir risk oluşturduğu için bu cihazlar tarafından tetiklenen diğer uyarıları araştırdığınızdan emin olun.

Yetkisiz/bilinmeyen cihazları ve riskli siteleri ve bölgeleri denetlemek için:

  1. Azure portalında IoT için Defender'da Uyarılar'ı seçerek buluta bağlı tüm algılayıcılarınızın tetiklediği uyarıları görüntüleyin. Bilinmeyen cihazlara yönelik uyarıları bulmak için aşağıdaki adlarla uyarıları filtreleyin:

    • Yeni Varlık Algılandı
    • Alan Cihazı Beklenmedik Bir Şekilde Bulundu

    Her filtre eylemini ayrı ayrı gerçekleştirin. Her filtre eylemi için, ağınızdaki riskli siteleri ve bölgeleri tanımlamak için aşağıdakileri yapın; bu, yenilenen güvenlik ilkeleri gerektirebilir:

    1. Bilinmeyen cihazlar için çok sayıda uyarı oluşturan belirli bir siteniz olup olmadığını görmek için uyarılarınızı Siteye göre gruplandırma.

    2. Uyarılarınızı belirli bölgelere daraltmak için görüntülenen uyarılara Bölge filtresini ekleyin.

Bilinmeyen cihazlar için birçok uyarı oluşturan belirli siteler veya bölgeler risk altındadır. Bu kadar çok bilinmeyen cihazın ağınıza bağlanmasını önlemek için güvenlik ilkelerinizi yenilemenizi öneririz.

Bilinmeyen cihazlar için belirli bir uyarıyı araştırmak için:

  1. Uyarılar sayfasında, sağdaki bölmede ve uyarı ayrıntıları sayfasında daha fazla ayrıntı görüntülemek için bir uyarı seçin.

  2. Cihazın yasal olup olmadığından henüz emin değilseniz ilgili OT ağ algılayıcısı hakkında daha fazla araştırma yapın.

    • Uyarıyı tetikleyen OT ağ sensöründe oturum açın, ardından uyarınızı bulun ve uyarı ayrıntıları sayfasını açın.
    • Cihazın ağda nerede algılandığını ve ilgili olabilecek diğer olayları bulmak için Harita görünümünü ve Olay Zaman Çizelgesi sekmelerini kullanın.

  3. Aşağıdaki eylemlerden birini gerçekleştirerek riski gerektiği gibi azaltın:

    • Aynı cihaz için uyarının yeniden tetiklenmeyecek şekilde cihazın yasal olup olmadığını öğrenin. Uyarı ayrıntıları sayfasında Öğren'i seçin.
    • Yasal değilse cihazı engelleyin.

Yetkisiz cihazları arayın

Ağınızda algılanan yeni, yetkisiz cihazları proaktif olarak izlemenizi öneririz. Yetkisiz cihazların düzenli olarak denetlenmesi, ağınıza sızabilecek sahte veya kötü amaçlı olabilecek cihazların tehditlerini önlemeye yardımcı olabilir.

Örneğin, yetkisiz tüm cihazları tanımlamak için Yetkisiz cihazları gözden geçirme önerisini kullanın.

Yetkisiz cihazları gözden geçirmek için:

  1. Azure portalında IoT için Defender'da Öneriler (Önizleme) öğesini seçin ve Yetkisiz cihazları gözden geçirme önerisini arayın.
  2. İyi durumda olmayan cihazlar sekmesinde listelenen cihazları görüntüleyin. Bu cihazların her biri yetkisizdir ve ağınız için bir risk olabilir.

Cihazı sizin için biliniyorsa yetkili olarak işaretlemek veya araştırmadan sonra cihazın bilinmemesi durumunda cihazın ağınızla bağlantısını kesmek gibi düzeltme adımlarını izleyin.

Daha fazla bilgi için bkz . Güvenlik önerileriyle güvenlik duruşunu geliştirme.

Bahşiş

Yetkisiz cihazları, cihaz envanterini Yetkilendirme alanına göre filtreleyerek ve yalnızca Yetkisiz olarak işaretlenmiş cihazları göstererek de gözden geçirebilirsiniz.

Güvenlik açığı olan sistemleri arayın

Ağınızda eski yazılım veya üretici yazılımına sahip cihazlar varsa, bunlar saldırılara karşı savunmasız olabilir. Kullanım süresi sonu olan ve daha fazla güvenlik güncelleştirmesi olmayan cihazlar özellikle savunmasızdır.

Güvenlik açığı olan sistemleri aramak için:

  1. Azure portalında IoT için Defender'da Çalışma Kitapları Güvenlik Açıkları'nı seçerek Güvenlik Açıkları> çalışma kitabını açın.

  2. Sayfanın üst kısmındaki Abonelik seçicisinde OT algılayıcılarınızın eklendiği Azure aboneliğini seçin.

    Çalışma kitabı tüm ağınızdaki verilerle doldurulur.

  3. Güvenlik açığı bulunan cihazlar ve Güvenlik açığı bulunan bileşenler listelerini görüntülemek için ekranı aşağı kaydırın. Ağınızdaki bu cihazlar ve bileşenler, üretici yazılımı veya yazılım güncelleştirmesi gibi dikkat gerektirir veya başka güncelleştirme yoksa değiştirilmesi gerekir.

  4. Sayfanın üst kısmındaki SiteAdı'nda verileri siteye göre filtrelemek için bir veya daha fazla site seçin. Verileri siteye göre filtrelemek, site genelinde güncelleştirmeler veya cihaz değiştirmeleri gerektirebilecek belirli sitelerdeki endişeleri belirlemenize yardımcı olabilir.

Ağınızı test etmek için kötü amaçlı trafiğin simülasyonunu oluşturma

Belirli bir cihazın güvenlik duruşunu doğrulamak için bir Saldırı vektörü raporu çalıştırarak bu cihaza yönelik trafiğin benzetimini yapın. Güvenlik açıklarını kötüye kullanılmadan önce bulmak ve azaltmak için sanal trafiği kullanın.

Saldırı vektör raporunu çalıştırmak için:

  1. Araştırmak istediğiniz cihazı algılayan bir OT ağ algılayıcısında oturum açın ve soldaki Saldırı vektörünü seçin.

  2. + Benzetimi ekle'yi seçin ve saldırı vektör simülasyonu ekle bölmesine aşağıdaki ayrıntıları girin:

    Alan / Seçenek Açıklama
    Dosya Adı Simülasyonunuz için Sıfır Güven ve tarih gibi anlamlı bir ad girin.
    En Fazla Vektör Sayısı Cihazlar arasında desteklenen en fazla bağlantı sayısını eklemek için 20'yi seçin.
    Cihaz Haritasında Göster isteğe bağlı. Simülasyonu algılayıcının cihaz haritasında göstermek için öğesini seçin. Bu, daha sonra daha fazla araştırma yapmanıza olanak tanır.
    Tüm Kaynak Cihazları / Göster Tüm Hedef Cihazları Göster Simülasyonunuzda algılayıcının algılanan tüm cihazlarını olası kaynak cihazlar ve hedef cihazlar olarak göstermek için her ikisini de seçin.

    Algılanan tüm trafiği simülasyonunuza eklemek için Cihazları Dışla ve Alt Ağları Dışla'yı boş bırakın.

  3. Kaydet'i seçin ve simülasyonunun çalışmasının bitmesini bekleyin. Bu süre, algılayıcınız tarafından algılanan trafik miktarına bağlıdır.

  4. Sağ tarafta daha fazla ayrıntı görüntülemek için yeni benzetimi genişletin ve algılanan öğelerden herhangi birini seçin. Örneğin:

    Screenshot of a sample attack vector simulation.

  5. Özellikle aşağıdaki güvenlik açıklarından herhangi birini arayın:

    Güvenlik açığı Açıklama
    İnternet'e açık cihazlar Örneğin, bu güvenlik açıkları İnternet bağlantısından kaynaklanan dış tehditlere açık iletisiyle gösterilebilir.
    Açık bağlantı noktaları olan cihazlar Açık bağlantı noktaları uzaktan erişim için yasal olarak kullanılabilir, ancak bir risk de olabilir.

    Örneğin, bu güvenlik açıkları TeamViewer kullanılarak uzaktan erişime izin verildi Uzak Masaüstü kullanılarak izin verilen uzaktan erişime benzer bir iletiyle gösterilebilir
    Alt ağlardan geçen cihazlar arasındaki Bağlan Örneğin, cihazlar arasında doğrudan bağlantı iletisi görebilirsiniz. Bu ileti kendi başına kabul edilebilir, ancak alt ağları geçme bağlamında riskli olabilir.

Site veya bölge başına algılanan verileri izleme

Azure portalında, aşağıdaki konumlardan siteye ve bölgeye göre IoT için Defender verilerini görüntüleyin:

İzleyebileceğiniz örnek uyarılar

Sıfır Güven için izleme yaparken aşağıdaki liste, izlenecek önemli IoT için Defender uyarılarının bir örneğidir:

  • Ağa bağlı yetkisiz cihaz, özellikle kötü amaçlı IP/Etki alanı adı istekleri
  • Bilinen kötü amaçlı yazılım algılandı
  • İnternet'e yetkisiz bağlantı
  • Yetkisiz uzaktan erişim
  • Ağ tarama işlemi algılandı
  • Yetkisiz PLC programlama
  • Üretici yazılımı sürümlerinde yapılan değişiklikler
  • "PLC Stop" ve diğer kötü amaçlı olabilecek komutlar
  • Cihazın bağlantısının kesildiğinden şüpheleniliyor
  • Ethernet/IP CIP hizmeti isteği hatası
  • BACnet işlemi başarısız oldu
  • Geçersiz DNP3 işlemi
  • Yetkisiz SMB oturum açma

Sonraki adımlar

ağ segmentasyonunuzda izlemenizin sonuçlarına göre veya kuruluşunuzdaki kişi ve sistemler zaman içinde değiştikçe değişiklik yapmanız gerekebilir.

Sitelerinizin ve bölgelerinizin yapısını değiştirin ve her zaman geçerli ağ gerçeklerinizle eşleştiğinden emin olmak için site tabanlı erişim ilkelerini yeniden atayın.

Yerleşik IoT için Defender Güvenlik Açıkları çalışma kitabını kullanmaya ek olarak, sürekli izlemenizi iyileştirmek için daha fazla özel çalışma kitabı oluşturun.

Daha fazla bilgi için bkz.