Bemærk
Adgang til denne side kræver godkendelse. Du kan prøve at logge på eller ændre mapper.
Adgang til denne side kræver godkendelse. Du kan prøve at ændre mapper.
Efterhånden som flere forretningskritiske industrier transformerer deres OT-systemer til digitale it-infrastrukturer, er SOC-teams (Security Operation Center) og SFO'er (Chief Information Security Officer) i stigende grad ansvarlige for trusler fra OT-netværk.
Sammen med de nye ansvarsområder håndterer SOC-teams nye udfordringer, herunder:
Mangel på OT-ekspertise og viden i nuværende SOC-teams vedrørende OT-beskeder, industrielt udstyr, protokoller og netværksadfærd. Dette resulterer ofte i en vag eller minimeret forståelse af OT-hændelser og deres forretningsmæssige indvirkning.
Siloindledt eller ineffektiv kommunikation og processer mellem OT- og SOC-organisationer.
Begrænset teknologi og værktøjer, f.eks. manglende synlighed eller automatiseret sikkerhedsafhjælpning for OT-netværk. Du skal evaluere og sammenkæde oplysninger på tværs af datakilder for OT-netværk, og integration med eksisterende SOC-løsninger kan være dyrt.
Men uden OT-data, kontekst og integration med eksisterende SOC-værktøjer og arbejdsprocesser kan OT-sikkerhed og driftstrusler håndteres forkert eller endda gå ubemærket hen.
Integrer Defender til IoT og Microsoft Sentinel
Microsoft Sentinel er en skalerbar cloudtjeneste til SIEM (Security Information Event Management) SOAR (Security Orchestration Automated Response). SOC-teams kan bruge integrationen mellem Microsoft Defender til IoT og Microsoft Sentinel til at indsamle data på tværs af netværk, registrere og undersøge trusler og reagere på hændelser.
I Microsoft Sentinel sender Defender for IoT-dataconnector og -løsningen standardsikkerhedsindhold til SOC-teams, hvilket hjælper dem med at få vist, analysere og reagere på ot-sikkerhedsbeskeder og forstå de genererede hændelser i det bredere organisatoriske trusselsindhold.
Installér defender for IoT-dataconnectoren alene for at streame dine OT-netværksbeskeder til Microsoft Sentinel. Installér derefter også Microsoft Defender til IoT-løsningen for den ekstra værdi af IoT/OT-specifikke analyseregler, projektmapper og SOAR-playbooks samt hændelsestilknytninger til MITRE ATT-&CK for ICS-teknikker.
Integration af Defender for IoT med Microsoft Sentinel hjælper dig også med at hente flere data fra Microsoft Sentinel andre partnerintegrationer. Du kan få flere oplysninger under Integrationer med Microsoft og partnertjenester.
Bemærk!
Nogle funktioner i Microsoft Sentinel kan pådrage sig et gebyr. Du kan finde flere oplysninger under Planlæg omkostninger og forstå Microsoft Sentinel priser og fakturering.
Integreret registrering og svar
I følgende tabel kan du se, hvordan både OT-teamet på Defender for IoT-siden og SOC-teamet på den Microsoft Sentinel side kan registrere og reagere på trusler hurtigt på tværs af hele angrebstidslinjen.
| Microsoft Sentinel | Trin | Defender for IoT |
|---|---|---|
| OT-besked udløst | OT-beskeder med høj tillid, der leveres af Defender for IoT's sektion 52-sikkerhedsforskningsgruppe , udløses baseret på data, der er indtaget til Defender for IoT. | |
| Analyseregler åbner automatisk kun hændelser for relevante use cases, så man undgår ot-advarselstræthed | Ot hændelse oprettet | |
| SOC-teams kortlægger forretningspåvirkning, herunder data om webstedet, linjen, kompromitterede aktiver og OT-ejere | Tilknytning af forretningsmæssige indvirkninger på ot-hændelser | |
| SOC-teams flytter hændelsen til Aktiv og begynder at undersøge ved hjælp af netværksforbindelser og -hændelser, projektmapper og enhedens enhedsside for håndkøbsenhed | Undersøgelse af OT-hændelse | Beskeder flyttes til Aktiv, og OT-teams undersøger ved hjælp af PCAP-data, detaljerede rapporter og andre enhedsoplysninger |
| SOC-teams reagerer med OT-playbooks og notesbøger | Ot hændelsessvar | OT-teams undertrykker enten beskeden eller lærer den til næste gang efter behov |
| Når truslen er mindsket, lukker SOC-teams hændelsen | Lukning af OT-hændelse | Når truslen er mindsket, lukker OT-teams beskeden |
Synkronisering af beskedstatus
Ændringer af beskedstatus synkroniseres fra Microsoft Sentinel til Kun Defender for IoT og ikke fra Defender for IoT til Microsoft Sentinel.
Hvis du integrerer Defender for IoT med Microsoft Sentinel, anbefaler vi, at du administrerer dine beskedstatusser sammen med de relaterede hændelser i Microsoft Sentinel.
Microsoft Sentinel hændelser for Defender for IoT
Når du har konfigureret Defender for IoT-dataconnectoren og har streaming af IoT-/OT-beskeddata til Microsoft Sentinel, kan du bruge en af følgende metoder til at oprette hændelser, der er baseret på disse beskeder:
| Metode | Beskrivelse |
|---|---|
| Brug standardreglen for dataconnectoren | Brug standarden Opret hændelser baseret på alle beskeder, der genereres i Microsoft Defender for IOT-analysereglen, der leveres med dataconnectoren. Denne regel opretter en separat hændelse i Microsoft Sentinel for hver besked, der streames fra Defender for IoT. |
| Brug standardløsningsregler | Aktivér nogle af eller alle de indbyggede analyseregler, der følger med Microsoft Defender til IoT-løsningen. Disse analyseregler hjælper med at reducere advarselstræthed ved kun at oprette hændelser i bestemte situationer. Du kan f.eks. vælge at oprette hændelser for overdrevne logonforsøg, men for flere scanninger, der er registreret i netværket. |
| Opret brugerdefinerede regler | Opret brugerdefinerede analyseregler for at oprette hændelser, der kun er baseret på dine specifikke behov. Du kan bruge køreklare analyseregler som udgangspunkt eller oprette regler fra bunden. Tilføj følgende filter for at forhindre dublerede hændelser for det samme besked-id: | where TimeGenerated <= ProcessingEndTime + 60m |
Uanset hvilken metode du vælger at oprette beskeder på, skal der kun oprettes én hændelse for hvert Defender for IoT-besked-id.
Microsoft Sentinel projektmapper til Defender for IoT
Hvis du vil visualisere og overvåge dine Defender for IoT-data, skal du bruge de projektmapper, der er installeret i dit Microsoft Sentinel arbejdsområde, som en del af Microsoft Defender til IoT-løsningen.
Defender for IoT-projektmapper indeholder automatiserede undersøgelser af OT-enheder baseret på åbne hændelser, beskedmeddelelser og aktiviteter for OT-aktiver. De giver også en jagtoplevelse på tværs af MITRE ATT-&CK-rammerne® for ICS og er designet til at gøre det muligt for analytikere, sikkerhedsteknikere og MSP'er at få en situationsbestemt bevidsthed om OT-sikkerhedsholdning.
Projektmapper kan vise beskeder efter type, alvorsgrad, enhedstype eller leverandør eller beskeder over tid. Projektmapper viser også resultatet af tilknytning af beskeder til MITRE ATT&CK for ICS-taktik plus fordelingen af taktikker efter antal og tidsperiode. Det kan f.eks. være:
SOAR playbooks for Defender for IoT
Playbooks er samlinger af automatiserede afhjælpningshandlinger, der kan køres fra Microsoft Sentinel som en rutine. En playbook kan hjælpe med at automatisere og orkestrere dit trusselssvar. Den kan køres manuelt eller indstilles til at køre automatisk som svar på specifikke beskeder eller hændelser, når den udløses af henholdsvis en analyseregel eller en automatiseringsregel.
Brug f.eks. SOAR-playbooks til at:
Åbn en aktivbillet i ServiceNow, når der registreres et nyt aktiv, f.eks. en ny teknisk arbejdsstation. Denne besked kan være en uautoriseret enhed, der kan bruges af modstandere til at omprogrammere PLC'er.
Send en mail til relevante interessenter, når der registreres mistænkelig aktivitet, f.eks. uplanlagt PLC-omprogrammering. Mailen kan sendes til OT-medarbejdere, f.eks. en kontroltekniker, der er ansvarlig på den relaterede produktionslinje.
Sammenligning af Defender for IoT-hændelser, -beskeder og -hændelser
I dette afsnit forklares forskellene mellem Defender for IoT-hændelser, beskeder og hændelser i Microsoft Sentinel. Brug de viste forespørgsler til at få vist en komplet liste over de aktuelle hændelser, beskeder og hændelser for dine OT-netværk.
Du får typisk vist flere Defender for IoT-hændelser i Microsoft Sentinel end beskeder og mere Defender for IoT-beskeder end hændelser.
Defender for IoT-hændelser i Microsoft Sentinel
Hver beskedlog, som streams til Microsoft Sentinel fra Defender for IoT, er en hændelse. Hvis beskedloggen afspejler en ny eller opdateret besked i Defender for IoT, føjes der en ny post til tabellen SecurityAlert .
Hvis du vil have vist alle Defender for IoT-hændelser i Microsoft Sentinel, skal du køre følgende forespørgsel i tabellen SecurityAlert:
SecurityAlert
| where ProviderName == 'IoTSecurity' or ProviderName == 'CustomAlertRule'
Instead
Defender for IoT-beskeder i Microsoft Sentinel
Microsoft Sentinel opretter beskeder baseret på dine aktuelle analyseregler og de beskedlogge, der er angivet i tabellen SecurityAlert. Hvis du ikke har nogen aktive analyseregler for Defender for IoT, betragter Microsoft Sentinel hver beskedlog som en hændelse.
Hvis du vil have vist beskeder i Microsoft Sentinel, skal du køre følgende forespørgsel i tabellenSecurityAlert:
SecurityAlert
| where ProviderName == 'ASI Scheduled Alerts' or ProviderName =='CustomAlertRule'
Når du har installeret Microsoft Defender til IoT-løsningen og installeret playbooken AD4IoT-AutoAlertStatusSync, synkroniseres statusændringer for beskeder fra Microsoft Sentinel til Defender for IoT. Ændringer af beskedstatus synkroniseres ikke fra Defender for IoT til Microsoft Sentinel.
Vigtigt!
Vi anbefaler, at du administrerer dine beskedstatusser sammen med de relaterede hændelser i Microsoft Sentinel. Du kan få flere oplysninger under Arbejd med hændelsesopgaver i Microsoft Sentinel.
Defender for IoT-hændelser i Microsoft Sentinel
Microsoft Sentinel opretter hændelser baseret på dine analyseregler. Du kan have flere beskeder grupperet i den samme hændelse, eller du har muligvis konfigureret analyseregler til ikke at oprette hændelser for bestemte beskedtyper.
Kør følgende forespørgsel for at få vist hændelser i Microsoft Sentinel:
SecurityIncident
Næste trin
Du kan finde flere oplysninger under:
- Integrationer med Microsoft og partnertjenester
- Selvstudium: Opret forbindelse Microsoft Defender til IoT med Microsoft Sentinel
- Registrer trusler klar til brug med Defender for IoT-data
- Opret brugerdefinerede analyseregler for at registrere trusler
- Selvstudium: Brug playbooks med automatiseringsregler i Microsoft Sentinel