Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Man mano che un numero maggiore di settori critici per l'azienda trasforma i propri sistemi OT in infrastrutture IT digitali, i team del centro operativo di sicurezza e i responsabili della sicurezza delle informazioni (CISO) sono sempre più responsabili delle minacce provenienti dalle reti OT.
Insieme alle nuove responsabilità, i team SOC affrontano nuove sfide, tra cui:
Mancanza di competenze e conoscenze ot all'interno dei team SOC correnti in merito agli avvisi OT, alle apparecchiature industriali, ai protocolli e al comportamento di rete. Questo spesso si traduce in una comprensione vaga o ridotta al minimo degli eventi imprevisti OT e del loro impatto aziendale.
Comunicazione e processi insilosi o inefficienti tra organizzazioni OT e SOC.
Tecnologia e strumenti limitati, ad esempio mancanza di visibilità o correzione automatica della sicurezza per le reti OT. È necessario valutare e collegare le informazioni tra le origini dati per le reti OT e le integrazioni con le soluzioni SOC esistenti potrebbero essere costose.
Tuttavia, senza dati OT, contesto e integrazione con i flussi di lavoro e gli strumenti SOC esistenti, la sicurezza OT e le minacce operative potrebbero essere gestite in modo errato o addirittura passare inosservate.
Integrare Defender per IoT e Microsoft Sentinel
Microsoft Sentinel è un servizio cloud scalabile per la gestione degli eventi delle informazioni di sicurezza (SIEM, Security Information Event Management) security orchestration automated response (SOAR). I team SOC possono usare l'integrazione tra Microsoft Defender per IoT e Microsoft Sentinel per raccogliere dati nelle reti, rilevare e analizzare le minacce e rispondere agli eventi imprevisti.
In Microsoft Sentinel, il connettore dati e la soluzione Defender per IoT visualizzano contenuti di sicurezza predefiniti per i team SOC, consentendo loro di visualizzare, analizzare e rispondere agli avvisi di sicurezza OT e comprendere gli eventi imprevisti generati nei contenuti più ampi delle minacce dell'organizzazione.
Installare il connettore dati Defender per IoT da solo per trasmettere gli avvisi di rete OT a Microsoft Sentinel. Installare quindi anche il Microsoft Defender per la soluzione IoT per il valore aggiuntivo di regole di analisi specifiche di IoT/OT, cartelle di lavoro e playbook SOAR, nonché mapping degli eventi imprevisti a MITRE ATT&CK per le tecniche ICS.
L'integrazione di Defender per IoT con Microsoft Sentinel consente anche di inserire più dati dalle altre integrazioni di partner di Microsoft Sentinel. Per altre informazioni, vedere Integrazioni con Microsoft e i servizi per i partner.
Nota
Alcune funzionalità di Microsoft Sentinel potrebbero comportare una tariffa. Per altre informazioni, vedere Pianificare i costi e comprendere Microsoft Sentinel prezzi e fatturazione.
Rilevamento e risposta integrati
La tabella seguente illustra in che modo sia il team OT, sul lato Defender per IoT, che il team SOC, sul lato Microsoft Sentinel, possono rilevare e rispondere rapidamente alle minacce nell'intera sequenza temporale degli attacchi.
| Microsoft Sentinel | Passaggio | Defender per IoT |
|---|---|---|
| Avviso OT attivato | Gli avvisi OT ad alta attendibilità, basati sul gruppo di ricerca sulla sicurezza sezione 52 di Defender per IoT, vengono attivati in base ai dati inseriti in Defender per IoT. | |
| Le regole di analisi aprono automaticamente gli eventi imprevisti solo per i casi d'uso rilevanti, evitando l'affaticamento degli avvisi OT | Evento imprevisto OT creato | |
| I team SOC mappano l'impatto aziendale, inclusi i dati relativi al sito, alla linea, agli asset compromessi e ai proprietari ot | Mapping dell'impatto aziendale degli eventi imprevisti OT | |
| I team soc spostano l'evento imprevisto in Attivo e iniziano a analizzare, usando connessioni di rete ed eventi, cartelle di lavoro e la pagina dell'entità del dispositivo OT | Indagine sugli eventi imprevisti OT | Gli avvisi vengono spostati in Attivo e i team OT analizzano l'uso di dati PCAP, report dettagliati e altri dettagli del dispositivo |
| I team SOC rispondono con playbook e notebook OT | Risposta agli eventi imprevisti OT | I team OT eliminano l'avviso o lo apprendono per la prossima volta, in base alle esigenze |
| Dopo aver mitigato la minaccia, i team soc chiudono l'evento imprevisto | Chiusura dell'evento imprevisto OT | Dopo aver mitigato la minaccia, i team OT chiudono l'avviso |
Sincronizzazioni dello stato degli avvisi
Le modifiche dello stato degli avvisi vengono sincronizzate solo da Microsoft Sentinel a Defender per IoT e non da Defender per IoT a Microsoft Sentinel.
Se si integra Defender per IoT con Microsoft Sentinel, è consigliabile gestire gli stati degli avvisi insieme agli eventi imprevisti correlati in Microsoft Sentinel.
eventi imprevisti Microsoft Sentinel per Defender per IoT
Dopo aver configurato il connettore dati Defender per IoT e aver trasmesso i dati degli avvisi IoT/OT a Microsoft Sentinel, usare uno dei metodi seguenti per creare eventi imprevisti in base a tali avvisi:
| Metodo | Descrizione |
|---|---|
| Usare la regola del connettore dati predefinita | Usare la regola predefinita Creare eventi imprevisti in base a tutti gli avvisi generati in Microsoft Defender per la regola di analisi IOT fornita con il connettore dati. Questa regola crea un evento imprevisto separato in Microsoft Sentinel per ogni avviso trasmesso da Defender per IoT. |
| Usare regole di soluzione predefinite | Abilitare alcune o tutte le regole di analisi predefinite fornite con la soluzione Microsoft Defender per IoT. Queste regole di analisi consentono di ridurre l'affaticamento degli avvisi creando eventi imprevisti solo in situazioni specifiche. Ad esempio, è possibile scegliere di creare eventi imprevisti per tentativi di accesso eccessivi, ma per più analisi rilevate nella rete. |
| Creare regole personalizzate | Creare regole di analisi personalizzate per creare eventi imprevisti solo in base alle esigenze specifiche. È possibile usare le regole di analisi predefinite come punto di partenza o creare regole da zero. Aggiungere il filtro seguente per evitare eventi imprevisti duplicati per lo stesso ID avviso: | where TimeGenerated <= ProcessingEndTime + 60m |
Indipendentemente dal metodo scelto per creare avvisi, deve essere creato un solo evento imprevisto per ogni ID avviso di Defender per IoT.
Microsoft Sentinel cartelle di lavoro per Defender per IoT
Per visualizzare e monitorare i dati di Defender per IoT, usare le cartelle di lavoro distribuite nell'area di lavoro Microsoft Sentinel come parte della soluzione Microsoft Defender per IoT.
Le cartelle di lavoro di Defender per IoT forniscono indagini guidate per le entità OT in base a eventi imprevisti aperti, notifiche di avviso e attività per gli asset OT. Offrono anche un'esperienza di ricerca in tutto il framework MITRE ATT&CK® per ICS e sono progettati per consentire a analisti, ingegneri della sicurezza e MSSP di acquisire consapevolezza situazionale del comportamento di sicurezza OT.
Le cartelle di lavoro possono visualizzare gli avvisi per tipo, gravità, tipo di dispositivo OT o fornitore o avvisi nel tempo. Le cartelle di lavoro mostrano anche il risultato degli avvisi di mapping a MITRE ATT&CK per le tattiche ICS, oltre alla distribuzione delle tattiche per conteggio e periodo di tempo. Ad esempio:
Playbook SOAR per Defender per IoT
I playbook sono raccolte di azioni correttive automatizzate che possono essere eseguite da Microsoft Sentinel come routine. Un playbook consente di automatizzare e orchestrare la risposta alle minacce. Può essere eseguito manualmente o impostato per l'esecuzione automatica in risposta ad avvisi o eventi imprevisti specifici, se attivati rispettivamente da una regola di analisi o da una regola di automazione.
Ad esempio, usare playbook SOAR per:
Aprire un ticket di asset in ServiceNow quando viene rilevato un nuovo asset, ad esempio una nuova workstation di progettazione. Questo avviso può essere un dispositivo non autorizzato che potrebbe essere usato dagli avversari per riprogrammare i PLC.
Inviare un messaggio di posta elettronica agli stakeholder pertinenti quando viene rilevata un'attività sospetta, ad esempio la riprogrammazione plc non pianificata. La posta potrebbe essere inviata al personale OT, ad esempio un tecnico di controllo responsabile della linea di produzione correlata.
Confronto tra eventi, avvisi e eventi imprevisti di Defender per IoT
Questa sezione illustra le differenze tra gli eventi, gli avvisi e gli eventi imprevisti di Defender per IoT in Microsoft Sentinel. Usare le query elencate per visualizzare un elenco completo degli eventi, degli avvisi e degli eventi imprevisti correnti per le reti OT.
In genere vengono visualizzati più eventi di Defender per IoT in Microsoft Sentinel rispetto agli avvisi e più avvisi di Defender per IoT rispetto agli eventi imprevisti.
Eventi di Defender per IoT in Microsoft Sentinel
Ogni log degli avvisi che esegue il flusso a Microsoft Sentinel da Defender per IoT è un evento. Se il log avvisi riflette un avviso nuovo o aggiornato in Defender per IoT, viene aggiunto un nuovo record alla tabella SecurityAlert .
Per visualizzare tutti gli eventi di Defender per IoT in Microsoft Sentinel, eseguire la query seguente nella tabella SecurityAlert:
SecurityAlert
| where ProviderName == 'IoTSecurity' or ProviderName == 'CustomAlertRule'
Instead
Avvisi di Defender per IoT in Microsoft Sentinel
Microsoft Sentinel crea avvisi in base alle regole di analisi correnti e ai log degli avvisi elencati nella tabella SecurityAlert. Se non sono presenti regole di analisi attive per Defender per IoT, Microsoft Sentinel considera ogni log degli avvisi come un evento.
Per visualizzare gli avvisi in Microsoft Sentinel, eseguire la query seguente nella tabellaSecurityAlert:
SecurityAlert
| where ProviderName == 'ASI Scheduled Alerts' or ProviderName =='CustomAlertRule'
Dopo aver installato il Microsoft Defender per la soluzione IoT e aver distribuito il playbook AD4IoT-AutoAlertStatusSync, le modifiche dello stato degli avvisi vengono sincronizzate da Microsoft Sentinel a Defender per IoT. Le modifiche dello stato degli avvisi non vengono sincronizzate da Defender per IoT a Microsoft Sentinel.
Importante
È consigliabile gestire gli stati degli avvisi insieme agli eventi imprevisti correlati in Microsoft Sentinel. Per altre informazioni, vedere Usare le attività degli eventi imprevisti in Microsoft Sentinel.
Eventi imprevisti di Defender per IoT in Microsoft Sentinel
Microsoft Sentinel crea eventi imprevisti in base alle regole di analisi. È possibile che nello stesso evento imprevisto siano raggruppati diversi avvisi oppure che siano configurate regole di analisi per non creare eventi imprevisti per tipi di avviso specifici.
Per visualizzare gli eventi imprevisti in Microsoft Sentinel, eseguire la query seguente:
SecurityIncident
Passaggi successivi
Per ulteriori informazioni, vedere:
- Integrazioni con Microsoft e i servizi partner
- Esercitazione: Connettere Microsoft Defender per IoT con Microsoft Sentinel
- Rilevare le minacce predefinite con i dati di Defender per IoT
- Creare regole di analisi personalizzate per rilevare le minacce
- Esercitazione: Usare playbook con regole di automazione in Microsoft Sentinel