Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Da immer mehr unternehmenskritische Branchen ihre OT-Systeme in digitale IT-Infrastrukturen umwandeln, sind SOC-Teams (Security Operation Center) und Chief Information Security Officer (CISOs) zunehmend für Bedrohungen durch OT-Netzwerke verantwortlich.
Zusammen mit den neuen Zuständigkeiten stellen sich SOC-Teams neuen Herausforderungen, darunter:
Mangel an OT-Kenntnissen und -Kenntnissen in den aktuellen SOC-Teams in Bezug auf OT-Warnungen, Industriegeräte, Protokolle und Netzwerkverhalten. Dies führt häufig zu einem vagen oder minimierten Verständnis von OT-Vorfällen und deren geschäftlichen Auswirkungen.
Isolierte oder ineffiziente Kommunikation und Prozesse zwischen OT- und SOC-Organisationen.
Eingeschränkte Technologie und Tools, z. B. fehlende Sichtbarkeit oder automatisierte Sicherheitskorrekturen für OT-Netzwerke. Sie müssen Informationen datenquellenübergreifend für OT-Netzwerke auswerten und verknüpfen, und Integrationen in vorhandene SOC-Lösungen können kostspielig sein.
Ohne OT-Daten, Kontext und Integration in vorhandene SOC-Tools und Workflows können OT-Sicherheits- und Betriebsbedrohungen jedoch falsch behandelt oder sogar unbemerkt bleiben.
Integrieren von Defender für IoT und Microsoft Sentinel
Microsoft Sentinel ist ein skalierbarer Clouddienst für security information event management (SIEM) Security Orchestration Automated Response (SOAR). SOC-Teams können die Integration zwischen Microsoft Defender für IoT und Microsoft Sentinel nutzen, um Netzwerkübergreifende Daten zu sammeln, Bedrohungen zu erkennen und zu untersuchen und auf Vorfälle zu reagieren.
In Microsoft Sentinel stellt der Defender für IoT-Datenconnector und die -Lösung sofort einsatzbereite Sicherheitsinhalte für SOC-Teams bereit und hilft ihnen dabei, OT-Sicherheitswarnungen anzuzeigen, zu analysieren und darauf zu reagieren und die generierten Vorfälle in den umfassenderen Bedrohungsinhalten der Organisation zu verstehen.
Installieren Sie den Defender für IoT-Datenconnector allein, um Ihre OT-Netzwerkwarnungen an Microsoft Sentinel zu streamen. Installieren Sie anschließend auch die Lösung Microsoft Defender für IoT für den zusätzlichen Wert von IoT/OT-spezifischen Analyseregeln, Arbeitsmappen und SOAR-Playbooks sowie Incidentzuordnungen zu MITRE ATT&CK für ICS-Techniken.
Die Integration von Defender für IoT in Microsoft Sentinel hilft Ihnen auch, mehr Daten aus Microsoft Sentinel anderen Partnerintegrationen zu erfassen. Weitere Informationen finden Sie unter Integrationen mit Microsoft und Partnerdiensten.
Hinweis
Einige Features von Microsoft Sentinel können eine Gebühr verursachen. Weitere Informationen finden Sie unter Planen von Kosten und Verstehen Microsoft Sentinel Preise und Abrechnung.
Integrierte Erkennung und Reaktion
Die folgende Tabelle zeigt, wie sowohl das OT-Team aufseiten von Defender für IoT als auch das SOC-Team auf der Microsoft Sentinel Seite Bedrohungen schnell erkennen und darauf reagieren können, während des gesamten Angriffs Zeitleiste.
| Microsoft Sentinel | Schritt | Defender für IoT |
|---|---|---|
| OT-Warnung ausgelöst | Ot-Warnungen mit hoher Zuverlässigkeit, die von der Sicherheitsforschungsgruppe abschnitt 52 von Defender für IoT unterstützt werden, werden basierend auf Daten ausgelöst, die in Defender für IoT erfasst wurden. | |
| Analyseregeln öffnen Incidents automatisch nur für relevante Anwendungsfälle, um OT-Warnungsermüdung zu vermeiden | OT-Incident erstellt | |
| SOC-Teams ordnen geschäftliche Auswirkungen zu, einschließlich Daten zur Website, linie, kompromittierten Ressourcen und OT-Besitzern | Zuordnung der Geschäftlichen Auswirkungen von OT-Vorfällen | |
| SOC-Teams verschieben den Incident in "Aktiv " und beginnen mit der Untersuchung, indem Sie Netzwerkverbindungen und Ereignisse, Arbeitsmappen und die Seite "OT-Geräteentität" verwenden. | Untersuchung von OT-Vorfällen | Warnungen werden in "Aktiv" verschoben, und OT-Teams untersuchen dies mithilfe von PCAP-Daten, detaillierten Berichten und anderen Gerätedetails. |
| SOC-Teams reagieren mit OT-Playbooks und Notebooks | OT-Reaktion auf Incidents | OT-Teams unterdrücken die Warnung oder lernen sie bei Bedarf für das nächste Mal kennen. |
| Nachdem die Bedrohung entschärft wurde, schließen SOC-Teams den Incident. | OT-Incidentabschluss | Nachdem die Bedrohung entschärft wurde, schließen OT-Teams die Warnung. |
Warnungs- status Synchronisierungen
Warnungen status Änderungen von Microsoft Sentinel nur mit Defender für IoT und nicht von Defender für IoT zu Microsoft Sentinel synchronisiert werden.
Wenn Sie Defender für IoT in Microsoft Sentinel integrieren, empfiehlt es sich, Den Warnungsstatus zusammen mit den zugehörigen Vorfällen in Microsoft Sentinel zu verwalten.
Microsoft Sentinel Incidents für Defender für IoT
Nachdem Sie den Defender für IoT-Datenconnector konfiguriert haben und IoT/OT-Warnungsdatenstreaming an Microsoft Sentinel haben, verwenden Sie eine der folgenden Methoden, um Incidents basierend auf diesen Warnungen zu erstellen:
| Methode | Beschreibung |
|---|---|
| Verwenden der Standardregel für den Datenconnector | Verwenden Sie die Standardregel Incidents basierend auf allen Warnungen erstellen, die in Microsoft Defender für IOT-Analyseregel generiert wurden, die mit dem Datenconnector bereitgestellt wird. Diese Regel erstellt einen separaten Incident in Microsoft Sentinel für jede Warnung, die von Defender für IoT gestreamt wird. |
| Verwenden von sofort einsatzbereiten Lösungsregeln | Aktivieren Sie einige oder alle vordefinierten Analyseregeln, die mit der Microsoft Defender für IoT-Lösung bereitgestellt werden. Diese Analyseregeln tragen dazu bei, die Ermüdung von Warnungen zu reduzieren, indem nur in bestimmten Situationen Incidents erstellt werden. Sie können z. B. Incidents für übermäßige Anmeldeversuche erstellen, aber für mehrere Überprüfungen, die im Netzwerk erkannt wurden. |
| Erstellen benutzerdefinierter Regeln | Erstellen Sie benutzerdefinierte Analyseregeln, um Incidents nur basierend auf Ihren spezifischen Anforderungen zu erstellen. Sie können die vordefinierten Analyseregeln als Ausgangspunkt verwenden oder Regeln von Grund auf neu erstellen. Fügen Sie den folgenden Filter hinzu, um doppelte Vorfälle für dieselbe Warnungs-ID zu verhindern: | where TimeGenerated <= ProcessingEndTime + 60m |
Unabhängig von der Methode, die Sie zum Erstellen von Warnungen auswählen, sollte für jede Defender für IoT-Warnungs-ID nur ein Incident erstellt werden.
Microsoft Sentinel Arbeitsmappen für Defender für IoT
Um Ihre Defender für IoT-Daten zu visualisieren und zu überwachen, verwenden Sie die Arbeitsmappen, die in Ihrem Microsoft Sentinel Arbeitsbereich als Teil der Microsoft Defender für IoT-Lösung bereitgestellt werden.
Defender für IoT-Arbeitsmappen bieten geführte Untersuchungen für OT-Entitäten basierend auf offenen Vorfällen, Warnungsbenachrichtigungen und Aktivitäten für OT-Ressourcen. Sie bieten auch eine Hunting-Erfahrung im GESAMTEN MITRE ATT&CK-Framework® für ICS und sind so konzipiert, dass Analysten, Sicherheitstechniker und MSSPs ein situationsorientiertes Bewusstsein für den OT-Sicherheitsstatus erlangen können.
Arbeitsmappen können Warnungen nach Typ, Schweregrad, OT-Gerätetyp oder Anbieter oder Warnungen im Zeitverlauf anzeigen. Arbeitsmappen zeigen auch das Ergebnis der Zuordnung von Warnungen zu MITRE ATT&CK für ICS-Taktiken sowie die Verteilung der Taktiken nach Anzahl und Zeitraum. Zum Beispiel:
SOAR-Playbooks für Defender für IoT
Playbooks sind Sammlungen automatisierter Wartungsaktionen, die von Microsoft Sentinel als Routine ausgeführt werden können. Ein Playbook kann Ihnen dabei helfen, Ihre Reaktion auf Bedrohungen zu automatisieren und zu orchestrieren. Sie kann manuell ausgeführt oder so festgelegt werden, dass sie automatisch als Reaktion auf bestimmte Warnungen oder Vorfälle ausgeführt wird, wenn sie durch eine Analyseregel bzw. eine Automatisierungsregel ausgelöst wird.
Verwenden Sie beispielsweise SOAR-Playbooks für Folgendes:
Öffnen Sie ein Ressourcenticket in ServiceNow, wenn eine neue Ressource erkannt wird, z. B. eine neue Entwicklungsarbeitsstation. Diese Warnung kann ein nicht autorisiertes Gerät sein, das möglicherweise von Angreifern verwendet wird, um PLCs neu zu erstellen.
Senden Sie eine E-Mail an relevante Projektbeteiligte, wenn verdächtige Aktivitäten erkannt werden, z. B. eine ungeplante SPS-Neuprogrammierung. Die E-Mail kann an OT-Mitarbeiter gesendet werden, z. B. an einen Kontrolltechniker, der für die entsprechende Produktionslinie zuständig ist.
Vergleichen von Defender für IoT-Ereignissen, -Warnungen und -Vorfällen
In diesem Abschnitt werden die Unterschiede zwischen Defender für IoT-Ereignissen, Warnungen und Vorfällen in Microsoft Sentinel erläutert. Verwenden Sie die aufgeführten Abfragen, um eine vollständige Liste der aktuellen Ereignisse, Warnungen und Vorfälle für Ihre OT-Netzwerke anzuzeigen.
In der Regel werden in Microsoft Sentinel mehr Defender für IoT-Ereignisse als Warnungen und mehr Defender für IoT-Warnungen als Incidents angezeigt.
Defender für IoT-Ereignisse in Microsoft Sentinel
Jedes Warnungsprotokoll, das von Defender für IoT an Microsoft Sentinel gestreamt wird, ist ein Ereignis. Wenn das Warnungsprotokoll eine neue oder aktualisierte Warnung in Defender für IoT widerspiegelt, wird der Tabelle SecurityAlert ein neuer Datensatz hinzugefügt.
Um alle Defender für IoT-Ereignisse in Microsoft Sentinel anzuzeigen, führen Sie die folgende Abfrage für die Tabelle SecurityAlert aus:
SecurityAlert
| where ProviderName == 'IoTSecurity' or ProviderName == 'CustomAlertRule'
Instead
Defender für IoT-Warnungen in Microsoft Sentinel
Microsoft Sentinel erstellt Warnungen basierend auf Ihren aktuellen Analyseregeln und den Warnungsprotokollen, die in der Tabelle SecurityAlert aufgeführt sind. Wenn Sie keine aktiven Analyseregeln für Defender für IoT haben, betrachtet Microsoft Sentinel jedes Warnungsprotokoll als Ereignis.
Führen Sie die folgende Abfrage für dieTabelle SecurityAlert aus, um Warnungen in Microsoft Sentinel anzuzeigen:
SecurityAlert
| where ProviderName == 'ASI Scheduled Alerts' or ProviderName =='CustomAlertRule'
Nachdem Sie die Microsoft Defender für IoT-Lösung installiert und das Playbook AD4IoT-AutoAlertStatusSync bereitgestellt haben, wird status Änderungen von Microsoft Sentinel mit Defender für IoT synchronisiert. Warnungen status Änderungen von Defender für IoT nicht mit Microsoft Sentinel synchronisiert werden.
Wichtig
Es wird empfohlen, dass Sie Ihre Warnungsstatus zusammen mit den zugehörigen Vorfällen in Microsoft Sentinel verwalten. Weitere Informationen finden Sie unter Arbeiten mit Incidentaufgaben in Microsoft Sentinel.
Defender für IoT-Vorfälle in Microsoft Sentinel
Microsoft Sentinel erstellt Incidents basierend auf Ihren Analyseregeln. Möglicherweise haben Sie mehrere Warnungen in demselben Incident gruppiert, oder Sie haben Analyseregeln so konfiguriert, dass sie keine Incidents für bestimmte Warnungstypen erstellen.
Führen Sie die folgende Abfrage aus, um Incidents in Microsoft Sentinel anzuzeigen:
SecurityIncident
Nächste Schritte
Weitere Informationen finden Sie unter:
- Integrationen in Microsoft und Partnerdienste
- Tutorial: Verbinden von Microsoft Defender für IoT mit Microsoft Sentinel
- Sofort einsatzbereite Erkennung von Bedrohungen mit Defender für IoT-Daten
- Erstellen von benutzerdefinierten Analyseregeln zum Erkennen von Bedrohungen
- Tutorial: Verwenden von Playbooks mit Automatisierungsregeln in Microsoft Sentinel