Bemærk
Adgang til denne side kræver godkendelse. Du kan prøve at logge på eller ændre mapper.
Adgang til denne side kræver godkendelse. Du kan prøve at ændre mapper.
Microsoft Defender til IoT-systemet er udviklet til at give bred dækning og synlighed fra forskellige datakilder. Gennemse denne arkitektur for at forstå, hvordan du planlægger din OT-arkitektur i overensstemmelse hermed.
Oversigt over OT-arkitektur
På følgende billede kan du se, hvordan data kan streames til Defender for IoT fra netværkssensorer og tredjepartskilder for at give et samlet overblik over IoT/OT-sikkerhed. Defender for IoT i Azure Portal leverer oversigter over aktiver, sårbarhedsvurderinger og løbende trusselsovervågning.
Defender for IoT opretter forbindelse til komponenter i både cloudmiljøet og det lokale miljø og er udviklet til skalerbarhed i store og geografisk distribuerede miljøer.
Defender for IoT indeholder følgende ot-sikkerhedsovervågningskomponenter:
Azure Portal til cloudadministration og -integration til andre Microsoft-tjenester, f.eks. Microsoft Sentinel.
Driftstekniske netværkssensorer (OT) til registrering af enheder på tværs af dit netværk. Defender for IoT-netværkssensorer installeres på enten en virtuel maskine eller en fysisk apparat. OT-sensorer kan konfigureres som cloudtilsluttede sensorer eller fuldt lokale, lokalt administrerede sensorer.
OT-netværkssensorer
Defender for IoT-netværkssensorer registrerer og overvåger løbende netværkstrafik på tværs af dine netværksenheder.
Netværkssensorer er specialbyggede til OT/IoT-netværk og opretter forbindelse til en SPAN-port eller netværks TAP. Defender for IoT-netværkssensorer kan give indblik i risici inden for få minutter efter, at der er oprettet forbindelse til netværket.
Netværkssensorer bruger OT/IoT-orienterede analyseprogrammer og Layer-6 Deep Packet Inspection (DPI) til at registrere trusler, f.eks. filuafhængig malware, baseret på unormal eller uautoriseret aktivitet.
Dataindsamling, behandling, analyse og advarsler foregår direkte på sensoren, hvilket kan være ideelt til placeringer med lav båndbredde eller forbindelse med høj ventetid. Det er kun telemetri og indsigt, der overføres til administration til Azure Portal.
Du kan få flere oplysninger under Installationssti til IoT OT ved hjælp af Defender for IoT OT.
Cloudtilsluttede vs. lokale OT-sensorer
Cloudtilsluttede sensorer er sensorer, der er forbundet til Defender for IoT i Azure og adskiller sig fra lokalt administrerede sensorer på følgende måde:
Når du har en cloudtilsluttet OT-netværkssensor:
Alle data, som sensoren registrerer, vises i sensorkonsollen, men beskedoplysninger leveres også til Azure, hvor de kan analyseres og deles med andre Azure tjenester.
Microsoft Threat Intelligence-pakker kan automatisk pushes til cloudtilsluttede sensorer.
Det sensornavn, der er defineret under onboarding, er det navn, der vises i sensoren, og det er skrivebeskyttet fra sensorkonsollen.
I modsætning hertil, når du arbejder med lokalt administrerede sensorer:
Få vist alle data for en bestemt sensor fra sensorkonsollen.
Du skal manuelt uploade trusselsintelligenspakker til lokalt administrerede sensorer.
Sensornavne kan opdateres i sensorkonsollen.
Du kan få flere oplysninger under Administrer OT-sensorer fra sensorkonsollen.
Defender for IoT-analyseprogrammer
Defender for IoT-netværkssensorer analyserer data, der indtages, ved hjælp af indbyggede analyseprogrammer og udløser beskeder, der er baseret på både trafik i realtid og forudindstillet trafik.
Analyseprogrammer leverer maskinel indlæring og profilanalyse, risikoanalyse, en enhedsdatabase og et sæt indsigter, trusselsintelligens og adfærdsanalyser.
Som eksempel modellerer programmet til registrering af overtrædelse af politikker netværk for industrielle kontrolsystemer (ICS) for at registrere afvigelser fra den forventede funktionsmåde for "baseline" ved at bruge BEHAVIORal Anomaly Detection (BAD) som beskrevet i NISTIR 8219. Denne baseline er udviklet ved at forstå de regelmæssige aktiviteter, der finder sted på netværket, f.eks. normale trafikmønstre, brugerhandlinger og adgang til ICS-netværket. BAD-systemet overvåger derefter netværket for enhver afvigelse fra den forventede funktionsmåde og markerer eventuelle politikovertrædelser. Eksempler på grundlæggende afvigelser omfatter uautoriseret brug af funktionskoder, adgang til bestemte objekter eller ændringer i konfigurationen af en enhed.
Da mange registreringsalgoritmer blev bygget til it i stedet for OT-netværk, hjælper den ekstra grundlinje for ICS-netværk med at forkorte systemets læringskurve for nye registreringer.
Defender for IoT-netværkssensorer omfatter følgende primære analyseprogrammer:
| Navn | Beskrivelse | Eksempler |
|---|---|---|
| Registreringsprogram for protokolovertrædelse | Identificerer brugen af pakkestrukturer og feltværdier, der ikke overholder ICS-protokolspecifikationerne. Protokolovertrædelser opstår, når pakkestrukturen eller feltværdierne ikke overholder protokolspecifikationen. |
Beskeden "Ulovlig MODBUS-handling (funktionskode nul)" angiver, at en primær enhed sendte en anmodning med funktionskode 0 til en sekundær enhed. Denne handling er ikke tilladt i henhold til protokolspecifikationen, og den sekundære enhed håndterer muligvis ikke inputtet korrekt |
| Politikovertrædelse | Der opstår en politikovertrædelse med en afvigelse fra den oprindelige funktionsmåde, der er defineret i de lærte eller konfigurerede indstillinger. | En " Uautoriseret HTTP-brugeragent" -besked angiver, at et program, der ikke blev lært eller godkendt af en politik, bruges som en HTTP-klient på en enhed. Dette kan være en ny webbrowser eller et nyt program på den pågældende enhed. |
| Program til registrering af industriel malware | Identificerer funktionsmåder, der angiver tilstedeværelsen af skadelig netværksaktivitet via kendt malware, f.eks. Conficker, Black Energy, Havex, WannaCry, NotPetya og Triton. | En advarsel om "Mistanke om skadelig aktivitet (Stuxnet)" angiver, at sensoren registrerede mistænkelig netværksaktivitet, der er kendt for at være relateret til Stuxnet-malwaren. Denne malware er en avanceret vedvarende trussel rettet mod industriel kontrol og SCADA-netværk. |
| Program til registrering af uregelmæssigheder | Registrerer usædvanlig kommunikation og funktionsmåder fra maskine til maskine (M2M). Denne motor modellerer ICS-netværk og kræver derfor en kortere læringsperiode end analyser, der er udviklet til it. Uregelmæssigheder registreres hurtigere med minimale falske positiver. |
En besked om periodisk adfærd i kommunikationskanalen afspejler periodisk og cyklisk adfærd af dataoverførsel, hvilket er almindeligt i industrielle netværk. Andre eksempler omfatter overdrevne SMB-logonforsøg, og PLC-scanning registrerede beskeder. |
| Registrering af handlingshændelse | Registrerer driftsproblemer, f.eks. periodisk forbindelse, der kan indikere tidlige tegn på udstyrsfejl. | Beskeden "Enheden mistænkes for at være frakoblet (svarer ikke)" udløses, når en enhed ikke svarer på nogen form for anmodning i en foruddefineret periode. Denne besked kan indikere en lukning, afbrydelse af forbindelsen eller en funktionsfejl på enheden. Et andet eksempel kan være, hvis kommandoen Siemens S7 stop PLC blev sendt beskeder. |
Administrationsindstillinger
Defender for IoT understøtter hybridnetværk ved hjælp af følgende administrationsindstillinger:
Azure Portal. Brug Azure Portal som en enkelt glasrude til at få vist alle data, der er hentet fra dine enheder via cloudtilsluttede netværkssensorer. Azure Portal giver ekstra værdi, f.eks. projektmapper, forbindelser til Microsoft Sentinel, sikkerhedsanbefalinger og meget mere.
Brug også Azure Portal til at hente nye apparater og softwareopdateringer, ombord og vedligeholde dine sensorer i Defender for IoT og opdatere trusselsintelligenspakker. Det kan f.eks. være:
OT-sensorkonsollen. Få vist registreringer for enheder, der er tilsluttet en bestemt OT-sensor, fra sensorens konsol. Brug sensorkonsollen til at få vist et netværkskort for enheder, der er registreret af den pågældende sensor, en tidslinje over alle hændelser, der forekommer på sensoren, videresend sensoroplysninger til partnersystemer med mere. Det kan f.eks. være:
Enheder, der overvåges af Defender for IoT
Defender for IoT kan finde alle enheder af alle typer på tværs af alle miljøer. Enheder er angivet i Defender for IoT Enhedsoversigtssider baseret på en unik IP- og MAC-adressekobling.
Defender for IoT identificerer enkelte og entydige enheder på følgende måde:
| Type | Beskrivelse |
|---|---|
| Identificeret som individuelle enheder | Enheder, der er identificeret som individuelle enheder, omfatter: IT-, OT- eller IoT-enheder med en eller flere NIC'er, herunder netværksinfrastrukturenheder, f.eks. kontakter og routere Bemærk! En enhed med moduler eller backplankomponenter, f.eks. racks eller slots, tælles som en enkelt enhed, herunder alle moduler eller backplane-komponenter. |
| Ikke identificeret som individuelle enheder | Følgende elementer betragtes ikke som individuelle enheder og tæller ikke med i din licens: - Offentlige INTERNET-IP-adresser - Flerstøbte grupper - Udsendelsesgrupper - Inaktive enheder Enheder, der overvåges af netværket, markeres som inaktive , når der ikke er registreret nogen netværksaktivitet inden for et angivet tidspunkt: I OT-netværk registreres der ingen netværksaktivitet i mere end 60 dage. Bemærk! Slutpunkter, der allerede administreres af Defender for Endpoint, anses ikke for at være separate enheder af Defender for IoT. |