Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
La Microsoft Defender per il sistema IoT è stata creata per offrire un'ampia copertura e visibilità da origini dati diverse. Esaminare questa architettura per comprendere come pianificare l'architettura OT di conseguenza.
Panoramica dell'architettura OT
L'immagine seguente mostra come i dati possono essere trasmessi in Defender per IoT da sensori di rete e origini di terze parti per fornire una visualizzazione unificata della sicurezza IoT/OT. Defender per IoT nel portale di Azure fornisce inventari degli asset, valutazioni delle vulnerabilità e monitoraggio continuo delle minacce.
Defender per IoT si connette sia ai componenti cloud che locali ed è progettato per la scalabilità in ambienti di grandi dimensioni e distribuiti geograficamente.
Defender per IoT include i componenti di monitoraggio della sicurezza OT seguenti:
Il portale di Azure, per la gestione del cloud e l'integrazione con altri servizi Microsoft, ad esempio Microsoft Sentinel.
Sensori di rete ot (Operational Technology) per rilevare i dispositivi in tutta la rete. I sensori di rete Defender per IoT vengono distribuiti in una macchina virtuale o in un'appliance fisica. I sensori OT possono essere configurati come sensori connessi al cloud o come sensori completamente locali gestiti localmente.
Sensori di rete OT
I sensori di rete Defender per IoT individuano e monitorano continuamente il traffico di rete tra i dispositivi di rete.
I sensori di rete sono appositamente creati per le reti OT/IoT e si connettono a una porta SPAN o a un TAP di rete. I sensori di rete Defender per IoT possono fornire visibilità sui rischi entro pochi minuti dalla connessione alla rete.
I sensori di rete usano motori di analisi con riconoscimento OT/IoT e DPI (Deep Packet Inspection) di livello 6 per rilevare minacce, ad esempio malware senza file, in base a attività anomale o non autorizzate.
La raccolta, l'elaborazione, l'analisi e gli avvisi dei dati vengono eseguiti direttamente sul sensore, che può essere ideale per le posizioni con larghezza di banda ridotta o connettività ad alta latenza. Solo i dati di telemetria e le informazioni dettagliate vengono trasferiti alla portale di Azure per la gestione.
Per altre informazioni, vedere Percorso di distribuzione OT di Defender per IoT.
Sensori OT locali connessi al cloud
I sensori connessi al cloud sono sensori connessi a Defender per IoT in Azure e si differenziano dai sensori gestiti localmente come indicato di seguito:
Quando si dispone di un sensore di rete OT connesso al cloud:
Tutti i dati rilevati dal sensore vengono visualizzati nella console del sensore, ma le informazioni di avviso vengono recapitate anche a Azure, dove possono essere analizzate e condivise con altri servizi Azure.
I pacchetti di Intelligence per le minacce Microsoft possono essere inviati automaticamente ai sensori connessi al cloud.
Il nome del sensore definito durante l'onboarding è il nome visualizzato nel sensore ed è di sola lettura dalla console del sensore.
Al contrario, quando si usano sensori gestiti in locale:
Visualizzare tutti i dati per un sensore specifico dalla console del sensore.
È necessario caricare manualmente eventuali pacchetti di intelligence sulle minacce in sensori gestiti in locale.
I nomi dei sensori possono essere aggiornati nella console del sensore.
Per altre informazioni, vedere Gestire i sensori OT dalla console del sensore.
Motori di analisi di Defender per IoT
I sensori di rete Defender per IoT analizzano i dati inseriti usando motori di analisi predefiniti e attivano avvisi in base al traffico sia in tempo reale che preregistrato.
I motori di analisi forniscono machine learning e analisi dei profili, analisi dei rischi, un database di dispositivi e un set di informazioni dettagliate, intelligence sulle minacce e analisi comportamentale.
Ad esempio, il motore di rilevamento delle violazioni dei criteri modella le reti ICS (Industrial Control Systems) per rilevare le deviazioni dal comportamento "baseline" previsto, utilizzando il rilevamento anomalie comportamentali (BAD) come descritto in NISTIR 8219. Questa linea di base viene sviluppata comprendendo le normali attività che si svolgono nella rete, ad esempio i normali modelli di traffico, le azioni degli utenti e gli accessi alla rete ICS. Il sistema BAD monitora quindi la rete per individuare eventuali deviazioni dal comportamento previsto e contrassegna eventuali violazioni dei criteri. Esempi di deviazioni di base includono l'uso non autorizzato di codici funzione, l'accesso a oggetti specifici o modifiche alla configurazione di un dispositivo.
Poiché sono stati compilati molti algoritmi di rilevamento per le reti IT, anziché per le reti OT, la linea di base aggiuntiva per le reti ICS consente di abbreviare la curva di apprendimento del sistema per i nuovi rilevamenti.
I sensori di rete Defender per IoT includono i motori di analisi principali seguenti:
| Nome | Descrizione | Esempi |
|---|---|---|
| Motore di rilevamento delle violazioni del protocollo | Identifica l'uso di strutture di pacchetti e valori di campo che violano le specifiche del protocollo ICS. Le violazioni del protocollo si verificano quando la struttura dei pacchetti o i valori dei campi non sono conformi alla specifica del protocollo. |
Un avviso "Operazione MODBUS non valida (Codice funzione Zero)" indica che un dispositivo primario ha inviato una richiesta con codice funzione 0 a un dispositivo secondario. Questa azione non è consentita in base alla specifica del protocollo e il dispositivo secondario potrebbe non gestire correttamente l'input |
| Violazione dei criteri | Una violazione dei criteri si verifica con una deviazione dal comportamento di base definito nelle impostazioni apprese o configurate. | Un avviso "Agente utente HTTP non autorizzato" indica che un'applicazione non appresa o approvata dai criteri viene usata come client HTTP in un dispositivo. Potrebbe trattarsi di un nuovo Web browser o di un'applicazione nel dispositivo. |
| Motore di rilevamento malware industriale | Identifica i comportamenti che indicano la presenza di attività di rete dannose tramite malware noto, ad esempio Conficker, Black Energy, Havex, WannaCry, NotPetya e Triton. | Un avviso "Sospetto di attività dannose (Stuxnet)" indica che il sensore ha rilevato attività di rete sospette note per essere correlate al malware Stuxnet. Questo malware è una minaccia persistente avanzata rivolta al controllo industriale e alle reti SCADA. |
| Motore di rilevamento anomalie | Rileva le comunicazioni e i comportamenti insoliti da computer a computer (M2M). Questo motore modella le reti ICS e pertanto richiede un periodo di apprendimento più breve rispetto all'analisi sviluppata per l'IT. Le anomalie vengono rilevate più velocemente, con falsi positivi minimi. |
Un avviso "Comportamento periodico nel canale di comunicazione" riflette il comportamento periodico e ciclico della trasmissione dei dati, comune nelle reti industriali. Altri esempi includono tentativi di accesso SMB eccessivi e avvisi rilevati dall'analisi PLC. |
| Rilevamento degli eventi imprevisti operativi | Rileva i problemi operativi, ad esempio la connettività intermittente, che possono indicare i primi segni di guasto dell'apparecchiatura. | Quando un dispositivo non risponde a qualsiasi tipo di richiesta per un periodo predefinito, viene attivato un avviso "Dispositivo sospetto disconnesso (non reattivo)". Questo avviso potrebbe indicare un arresto, una disconnessione o un malfunzionamento del dispositivo. Un altro esempio potrebbe essere se al comando Siemens S7 stop PLC sono stati inviati avvisi. |
Opzioni di gestione
Defender per IoT offre supporto di rete ibrida usando le opzioni di gestione seguenti:
Portale di Azure. Usare il portale di Azure come un unico riquadro di vetro per visualizzare tutti i dati inseriti dai dispositivi tramite sensori di rete connessi al cloud. Il portale di Azure offre un valore aggiuntivo, ad esempio cartelle di lavoro, connessioni a Microsoft Sentinel, raccomandazioni sulla sicurezza e altro ancora.
Usare anche il portale di Azure per ottenere nuove appliance e aggiornamenti software, eseguire l'onboarding e la gestione dei sensori in Defender per IoT e aggiornare i pacchetti di intelligence sulle minacce. Ad esempio:
Console del sensore OT. Visualizzare i rilevamenti per i dispositivi connessi a un sensore OT specifico dalla console del sensore. Usare la console del sensore per visualizzare una mappa di rete per i dispositivi rilevati da tale sensore, una sequenza temporale di tutti gli eventi che si verificano nel sensore, inoltrare le informazioni sui sensori ai sistemi partner e altro ancora. Ad esempio:
Dispositivi monitorati da Defender per IoT
Defender per IoT può individuare tutti i dispositivi, di tutti i tipi, in tutti gli ambienti. I dispositivi sono elencati nelle pagine di inventario dei dispositivi Defender per IoT in base a un accoppiamento univoco di indirizzi IP e MAC.
Defender per IoT identifica i dispositivi singoli e univoci come indicato di seguito:
| Tipo | Descrizione |
|---|---|
| Identificato come singoli dispositivi | I dispositivi identificati come singoli dispositivi includono: Dispositivi IT, OT o IoT con uno o più schede di interfaccia di rete, inclusi i dispositivi dell'infrastruttura di rete, ad esempio commutatori e router Nota: un dispositivo con moduli o componenti backplane, ad esempio rack o slot, viene conteggiato come un singolo dispositivo, inclusi tutti i moduli o i componenti backplane. |
| Non identificato come singoli dispositivi | Gli elementi seguenti non vengono considerati come singoli dispositivi e non vengono conteggiati per la licenza: - Indirizzi IP Internet pubblici - Gruppi con più cast - Gruppi di trasmissione - Dispositivi inattivi I dispositivi monitorati dalla rete sono contrassegnati come inattivi quando non è stata rilevata alcuna attività di rete entro un periodo di tempo specificato: Nelle reti OT non viene rilevata alcuna attività di rete per più di 60 giorni. Nota: gli endpoint già gestiti da Defender per endpoint non vengono considerati come dispositivi separati da Defender per IoT. |