Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Das Microsoft Defender für IoT-System ist so aufgebaut, dass es eine breite Abdeckung und Sichtbarkeit aus verschiedenen Datenquellen bietet. Überprüfen Sie diese Architektur, um zu verstehen, wie Sie Ihre OT-Architektur entsprechend planen.
Übersicht über die OT-Architektur
Die folgende Abbildung zeigt, wie Daten von Netzwerksensoren und Drittanbieterquellen in Defender für IoT gestreamt werden können, um eine einheitliche Ansicht der IoT/OT-Sicherheit bereitzustellen. Defender für IoT im Azure-Portal bietet Ressourcenbestände, Sicherheitsrisikobewertungen und kontinuierliche Bedrohungsüberwachung.
Defender für IoT stellt eine Verbindung mit Cloud- und lokalen Komponenten her und ist für die Skalierbarkeit in großen und geografisch verteilten Umgebungen ausgelegt.
Defender für IoT umfasst die folgenden OT-Sicherheitsüberwachungskomponenten:
Die Azure-Portal für die Cloudverwaltung und Integration in andere Microsoft-Dienste, z. B. Microsoft Sentinel.
Ot-Netzwerksensoren (Operational Technology), um Geräte in Ihrem Netzwerk zu erkennen. Defender für IoT-Netzwerksensoren werden entweder auf einem virtuellen Computer oder einem physischen Anwendung bereitgestellt. OT-Sensoren können als mit der Cloud verbundene Sensoren oder vollständig lokal verwaltete Sensoren konfiguriert werden.
OT-Netzwerksensoren
Defender für IoT-Netzwerksensoren erkennen und überwachen den Netzwerkdatenverkehr auf Ihren Netzwerkgeräten kontinuierlich.
Netzwerksensoren sind speziell für OT/IoT-Netzwerke entwickelt und stellen eine Verbindung mit einem SPAN-Port oder Netzwerk-TAP her. Defender für IoT-Netzwerksensoren können innerhalb weniger Minuten nach dem Herstellen einer Verbindung mit dem Netzwerk Einblick in Risiken bieten.
Netzwerksensoren verwenden OT/IoT-fähige Analyse-Engines und Layer-6 Deep Packet Inspection (DPI), um Bedrohungen wie dateilose Schadsoftware basierend auf anomalen oder nicht autorisierten Aktivitäten zu erkennen.
Die Datenerfassung, -verarbeitung, -analyse und -warnung erfolgt direkt auf dem Sensor. Dies kann ideal für Standorte mit geringer Bandbreite oder Konnektivität mit hoher Latenz sein. Nur Telemetriedaten und Erkenntnisse werden für die Verwaltung an den Azure-Portal übertragen.
Weitere Informationen finden Sie unter Ot-Bereitstellungspfad für Defender für IoT.
Mit der Cloud verbundene und lokale OT-Sensoren
Mit der Cloud verbundene Sensoren sind Sensoren, die in Azure mit Defender für IoT verbunden sind und sich wie folgt von lokal verwalteten Sensoren unterscheiden:
Wenn Sie über einen mit der Cloud verbundenen OT-Netzwerksensor verfügen:
Alle vom Sensor erkannten Daten werden in der Sensorkonsole angezeigt. Warnungsinformationen werden jedoch auch an Azure übermittelt, wo sie analysiert und für andere Azure-Dienste freigegeben werden können.
Microsoft Threat Intelligence-Pakete können automatisch an mit der Cloud verbundene Sensoren gepusht werden.
Der während des Onboardings definierte Sensorname ist der name, der im Sensor angezeigt wird und über die Sensorkonsole schreibgeschützt ist.
Im Gegensatz dazu bei der Arbeit mit lokal verwalteten Sensoren:
Zeigen Sie alle Daten für einen bestimmten Sensor über die Sensorkonsole an.
Sie müssen alle Threat Intelligence-Pakete manuell auf lokal verwaltete Sensoren hochladen.
Sensornamen können in der Sensorkonsole aktualisiert werden.
Weitere Informationen finden Sie unter Verwalten von OT-Sensoren über die Sensorkonsole.
Defender für IoT-Analyse-Engines
Defender für IoT-Netzwerksensoren analysieren erfasste Daten mithilfe integrierter Analyse-Engines und lösen Warnungen basierend auf Echtzeit- und vorab aufgezeichnetem Datenverkehr aus.
Analyse-Engines bieten Machine Learning- und Profilanalysen, Risikoanalysen, eine Gerätedatenbank und eine Reihe von Erkenntnissen, Threat Intelligence und Verhaltensanalysen.
Als Beispiel modelliert die Engine zur Erkennung von Richtlinienverstößen Industrielle Steuerungssysteme (ICS), um Abweichungen vom erwarteten "Basisverhalten" zu erkennen, indem die Verhaltensanomalieerkennung (BAD) verwendet wird, wie in NISTIR 8219 beschrieben. Diese Baseline wird entwickelt, indem die regelmäßigen Aktivitäten im Netzwerk wie normale Datenverkehrsmuster, Benutzeraktionen und Zugriffe auf das ICS-Netzwerk erläutert werden. Das BAD-System überwacht dann das Netzwerk auf abweichungen vom erwarteten Verhalten und kennzeichnet alle Richtlinienverstöße. Beispiele für Grundlegende Abweichungen sind die nicht autorisierte Verwendung von Funktionscodes, der Zugriff auf bestimmte Objekte oder Änderungen an der Konfiguration eines Geräts.
Da viele Erkennungsalgorithmen für die IT und nicht für OT-Netzwerke entwickelt wurden, trägt die zusätzliche Baseline für ICS-Netzwerke dazu bei, die Lernkurve des Systems für neue Erkennungen zu verkürzen.
Defender für IoT-Netzwerksensoren umfassen die folgenden Wichtigsten Analyse-Engines:
| Name | Beschreibung | Beispiele |
|---|---|---|
| Engine zur Erkennung von Protokollverletzungen | Identifiziert die Verwendung von Paketstrukturen und Feldwerten, die gegen ICS-Protokollspezifikationen verstoßen. Protokollverletzungen treten auf, wenn die Paketstruktur- oder Feldwerte nicht der Protokollspezifikation entsprechen. |
Eine Warnung "Illegal MODBUS Operation (Function Code Zero)" gibt an, dass ein primäres Gerät eine Anforderung mit dem Funktionscode 0 an ein sekundäres Gerät gesendet hat. Diese Aktion ist gemäß der Protokollspezifikation nicht zulässig, und das sekundäre Gerät verarbeitet die Eingabe möglicherweise nicht ordnungsgemäß. |
| Richtlinienverstoß | Ein Richtlinienverstoß tritt mit einer Abweichung vom Baselineverhalten auf, das in den gelernten oder konfigurierten Einstellungen definiert ist. | Eine Warnung "Nicht autorisierter HTTP-Benutzer-Agent" gibt an, dass eine Anwendung, die von der Richtlinie nicht gelernt oder genehmigt wurde, als HTTP-Client auf einem Gerät verwendet wird. Dies kann ein neuer Webbrowser oder eine neue Anwendung auf diesem Gerät sein. |
| Engine zur Erkennung industrieller Schadsoftware | Identifiziert Verhaltensweisen, die auf das Vorhandensein schädlicher Netzwerkaktivitäten über bekannte Schadsoftware hinweisen, z. B. Conficker, Black Energy, Havex, WannaCry, NotPetya und Triton. | Eine Warnung "Verdacht auf böswillige Aktivität (Stuxnet)" gibt an, dass der Sensor verdächtige Netzwerkaktivität erkannt hat, die bekanntermaßen mit der Stuxnet-Schadsoftware zusammenhängt. Diese Schadsoftware ist eine fortgeschrittene persistente Bedrohung, die auf industrielle Steuerungs- und SCADA-Netzwerke abzielt. |
| Engine zur Anomalieerkennung | Erkennt ungewöhnliche M2M-Kommunikation (Machine-to-Machine) und ungewöhnliche Verhaltensweisen. Diese Engine modelliert ICS-Netzwerke und erfordert daher einen kürzeren Lernzeitraum als analysen, die für die IT entwickelt wurden. Anomalien werden schneller erkannt, mit minimalen falsch positiven Ergebnissen. |
Eine Warnung "Periodisches Verhalten im Kommunikationskanal" spiegelt das periodische und zyklische Verhalten der Datenübertragung wider, das in industriellen Netzwerken üblich ist. Weitere Beispiele sind übermäßige SMB-Anmeldeversuche und von der SPS-Überprüfung erkannte Warnungen. |
| Erkennung von Betriebsvorfällen | Erkennt Betriebsprobleme, z. B. zeitweilige Konnektivität, die auf frühe Anzeichen eines Geräteausfalls hinweisen können. | Die Warnung "Gerät ist verdächtigt, getrennt (nicht reagierend)" wird ausgelöst, wenn ein Gerät für einen vordefinierten Zeitraum nicht auf eine Anforderung antwortet. Diese Warnung kann auf ein Herunterfahren, eine Trennung oder eine Fehlfunktion des Geräts hinweisen. Ein weiteres Beispiel wäre, wenn dem Befehl Siemens S7 stop PLC Warnungen gesendet wurden. |
Verwaltungsoptionen
Defender für IoT bietet Unterstützung für Hybridnetzwerke mithilfe der folgenden Verwaltungsoptionen:
Die Azure-Portal. Verwenden Sie die Azure-Portal als einen zentralen Bereich, um alle Daten anzuzeigen, die von Ihren Geräten über mit der Cloud verbundene Netzwerksensoren erfasst werden. Die Azure-Portal bietet zusätzlichen Wert, z. B. Arbeitsmappen, Verbindungen mit Microsoft Sentinel, Sicherheitsempfehlungen und vieles mehr.
Verwenden Sie auch die Azure-Portal, um neue Appliances und Softwareupdates zu erhalten, Ihre Sensoren in Defender für IoT zu integrieren und zu warten und Threat Intelligence-Pakete zu aktualisieren. Zum Beispiel:
Die OT-Sensorkonsole. Anzeigen von Erkennungen für Geräte, die mit einem bestimmten OT-Sensor verbunden sind, über die Konsole des Sensors. Verwenden Sie die Sensorkonsole, um eine Netzwerkkarte für geräte anzuzeigen, die von diesem Sensor erkannt wurden, eine Zeitleiste aller Ereignisse, die auf dem Sensor auftreten, Sensorinformationen an Partnersysteme weiterzuleiten und vieles mehr. Zum Beispiel:
Von Defender für IoT überwachte Geräte
Defender für IoT kann alle Geräte aller Typen in allen Umgebungen ermitteln. Geräte werden auf den Defender für IoT-Gerätebestandsseiten basierend auf einer eindeutigen IP- und MAC-Adresskopplung aufgeführt.
Defender für IoT identifiziert einzelne und eindeutige Geräte wie folgt:
| Typ | Beschreibung |
|---|---|
| Identifiziert als einzelne Geräte | Zu den Geräten, die als einzelne Geräte identifiziert werden, gehören: IT-, OT- oder IoT-Geräte mit einer oder mehreren NICs, einschließlich Netzwerkinfrastrukturgeräten wie Switches und Routern Hinweis: Ein Gerät mit Modulen oder Backplane-Komponenten, z. B. Racks oder Steckplätzen, wird als einzelnes Gerät gezählt, einschließlich aller Module oder Backplane-Komponenten. |
| Nicht als einzelne Geräte identifiziert | Die folgenden Elemente werden nicht als einzelne Geräte betrachtet und gelten nicht für Ihre Lizenz: - Öffentliche Internet-IP-Adressen - Gruppen mit mehrfacher Umwandlung - Broadcastgruppen - Inaktive Geräte Vom Netzwerk überwachte Geräte werden als inaktiv markiert, wenn innerhalb eines angegebenen Zeitraums keine Netzwerkaktivität erkannt wird: In OT-Netzwerken wird seit mehr als 60 Tagen keine Netzwerkaktivität erkannt. Hinweis: Endpunkte, die bereits von Defender für Endpunkt verwaltet werden, werden von Defender für IoT nicht als separate Geräte betrachtet. |