你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
创建风险评估报告
风险评估报告提供有关特定 OT 网络传感器检测设备上的安全功能分数、漏洞和操作问题,以及来自所导入防火墙规则的风险的详细信息。
每个 Defender for IoT 网络传感器都可以生成风险评估报告,而本地管理控制台会从所有已连接的传感器收集这些报告。
先决条件
若要创建风险评估报告,必须能够访问要为其生成数据的 OT 网络传感器:
只有“管理员”用户才能将防火墙规则导入 OT 传感器或者添加备份和防病毒服务器地址。
只有“管理员”或“安全分析师”用户才能在 OT 传感器或本地管理控制台上创建或查看风险评估报告。
有关详细信息,请参阅使用 Defender for IoT 进行 OT 监视的本地用户和角色
从 OT 传感器生成风险评估报告
使用单个 OT 传感器可以仅查看针对该传感器生成的报告。
若要生成报告,请执行以下操作:
登录到传感器控制台,然后选择“风险评估”>“生成报告”。 报告随即会生成并显示在“报告列表”中,附带时间戳和报告大小。
例如:
报告自动命名为
risk-assessment-report-<integer>,其中的<integer>会自动递增。选择报告名称以下载并在浏览器中打开该报告。
风险评估报告内容
风险评估报告包括以下详细信息:
| 详细信息 | 说明 |
|---|---|
| 安全分数 | 所有受检测设备的总体安全分数,以及每个设备的安全分数。 安全分数是根据从数据包检查、行为建模引擎和特定于 SCADA 的状态机设计中获得的数据评估出来的,其分类如下: - 安全设备:安全分数在 90% 以上的设备。 - 需要改进的设备:安全分数介于 70% 和 89% 之间的设备。 - 易受攻击设备:安全分数低于 70% 的设备。 |
| 安全和操作问题 | 深入了解以下任何安全和操作问题: - 配置问题 - 按安全级别确定优先级的设备漏洞 - 网络安全问题 - 网络操作问题 - ICS 网络连接 - Internet 连接 - 行业恶意软件指示器 - 协议问题 - 攻击途径 |
| 防火墙规则风险 | 风险评估报告会突出显示规则是否不安全,或者规则与受监视网络之间是否不匹配。 |
扩充风险评估报告
使用额外的数据扩充传感器,以提供更全面的风险评估报告:
- 导入防火墙规则以在报告中评估其风险
- 通过定义备份和防病毒服务器的地址来降低风险
将防火墙规则导入 OT 传感器
将防火墙规则导入 OT 传感器,以便在“风险评估”报告中进行分析。 以下防火墙支持导入防火墙规则:
| 名称 | 说明 | 文件类型 |
|---|---|---|
| Check Point | 防火墙导出到 R77 | .ZIP |
| Fortinet | 配置备份 | .CONF |
| Juniper | ScreenOS CLI 配置 | .TXT |
若要导入防火墙规则,请执行以下操作:
以“管理员”用户身份登录到传感器,然后选择“系统设置”>“导入设置”>“防火墙规则”。
在“防火墙规则”窗格中:
- 从下拉菜单中选择一种防火墙类型
- 选择“+ 导入文件”,浏览到要导入的文件并将其选中。
例如:
在 OT 传感器上定义备份和防病毒服务器
默认未在传感器上定义备份和防病毒服务器。 我们建议在传感器上定义这些地址,以保持良好的网络风险评估分数。
若要添加备份和防病毒服务器地址,请执行以下操作:
- 登录到 OT 传感器,然后选择“系统设置”>“系统属性”>“漏洞评估”。
- 将备份和防病毒服务器地址分别添加到“backup_servers”和“AV_addresses”字段。 使用逗号分隔多个地址。
- 选择“保存” 以保存更改。
查看多个传感器的风险评估报告
使用本地管理控制台查看所有已连接传感器的风险评估报告。
若要生成报告,请执行以下操作:
登录到本地管理控制台,然后选择“风险评估”。
在“选择传感器”下拉菜单中,选择要为其生成报告的传感器,然后选择“生成报告”。
新报告将在“存档的报告”区域中列出,附带其创建时间和日期,并显示安全分数和报告大小。
例如:
选择“下载”可下载报告并在浏览器中打开它。
后续步骤
根据风险评估报告中提供的建议采取操作,以提高整体网络安全分数。 例如,可以安装最新的安全或固件更新,或调查当前处于不安全状态的任何 PLC。
有关详细信息,请参阅使用安全建议增强安全状况。
继续创建其他报告,以便从 OT 传感器获取更多安全数据。 有关详细信息,请参阅: