Was ist Microsoft Defender für IoT?

  • 6 Minuten

Microsoft Defender for IoT bietet passive Überwachung und Überwachung ohne Agent, wobei die Ressourcenermittlung und Sicherheitsüberwachung in unternehmenskritischen Netzwerkumgebungen ausgeführt wird. Defender for IoT ist eine Netzwerkerkennungs- und Antwortlösung, die für die Erkennung und Sicherung von IoT/OT-Geräten entwickelt wurde.

Defender for IoT nutzt IoT/OT-fähige Verhaltensanalysen und Threat Intelligence. Es geht über signaturbasierte Lösungen hinaus, um moderne Bedrohungen abzufangen. So könnten beispielsweise Zero-Day-Malware und „Living-off-the-Land“-Taktiken von statischen Kompromittierungsindikatoren übersehen werden, während Defender for IoT sie erkennt.

Defender für IoT hilft OT- und IT-Teams automatisch, alle nicht verwalteten Ressourcen, Verbindungen und kritischen Sicherheitsrisiken zu ermitteln. Verwenden Sie Defender für IoT, um ein anomales oder nicht autorisiertes Verhalten zu erkennen, ohne IoT/OT-Stabilität oder Leistung zu beeinträchtigen.

Entdecken Sie Ihr Netzwerk

Haben Sie Einblick in alle Geräte in Ihrem Netzwerk? Sie können nur Geräte schützen, die Sie kennen. Im Beispiel eines Gebäudeverwaltungsunternehmens kann die Ermittlung Geräte wie Aufzüge, Parkplatzzufahrten, Kameras und Beleuchtungssysteme umfassen.

Die Defender für IoT-Sensorkonsole bietet eine Gerätebestandsseite und eine Gerätezuordnungsseite. Beide Seiten bieten Drilldowndaten für alle OT/IoT-Geräte in Ihrem Netzwerk und die Verbindungen zwischen ihnen.

  • Gerätebestand: Anzeigen von Gerätedetails wie IP-Adressen und Lieferanten, verwandte Protokolle, Firmware und Warnungen im Zusammenhang mit dem Gerät.

    Screenshot of the Device inventory from a sensor console.

  • Gerätezuordnung: Anzeigen von OT-Geräteverbindungspfaden, OT/IoT-Netzwerktopologien und Zuordnungen über das Purdue-Modell für die ICS-Sicherheit.

Beispielsweise könnten Sie speziell die Gerätezuordnung verwenden, wenn Sie eine Zero Trust-Richtlinie implementieren. Sie müssen die Verbindungen zwischen Ihren Geräten verstehen, um die Geräte auf ihre eigenen Netzwerke aufzuteilen und den detaillierten Zugriff zu verwalten.

Verwalten von Netzwerkrisiken und Sicherheitsrisiken

Nachdem Sie den Einblick gewonnen haben, welche Geräte in Ihrem Netzwerk vorhanden sind, können Sie die Risiken und Sicherheitsrisiken Ihrer Geräte nachverfolgen.

Defender for IoT-Risikobewertungsberichte sind in jeder Sensorkonsole verfügbar. Die Berichte helfen Ihnen, Sicherheitsrisiken in Ihrem Netzwerk zu identifizieren. Beispielsweise können nicht autorisierte Geräte, nicht gepatchte Systeme, nicht autorisierte Internetverbindungen und Geräte mit nicht verwendeten offenen Ports Sicherheitsrisiken darstellen.

Verwenden Sie gemeldete Daten, um Aktivitäten zu priorisieren, wenn Sie Risiken für Ihre empfindlichsten OT-/IoT-Ressourcen verringern, einschließlich aller Geräte, deren Kompromittierung erhebliche Auswirkungen auf Ihre Organisation hätte. Beispiele für Auswirkungen sind Sicherheitsvorfälle, Umsatzverlust oder Diebstahl vertraulicher IP-Adressen.

Bleiben Sie auf dem neuesten Stand mit der aktuellen Threat Intelligence

Da sich die Sicherheitslandschaft permanent ändert und weiterentwickelt, entstehen jederzeit neue Risiken und Bedrohungen. Die Sicherheitsforschungsgruppe von Defender für IoT, Section 52, ist ein OT/IoT-fokussiertes Team von Sicherheitsforschern und wissenschaftlichen Fachkräften für Daten. Das Section 52-Team besteht aus Experten für Bedrohungssuche, Reverse Engineering von Schadsoftware, Reaktion auf Incidents und Datenanalyse.

Section 52 kuratiert kontinuierlich Threat Intelligence-Pakete, die speziell für OT/IoT-Umgebungen erstellt wurden. Die Pakete entsprechen dem neuesten Stand bei Folgendem:

  • Besorgniserregende Incidents, z. B. Schadsoftwaresignaturen, schädliche DNS-Abfragen und schädliche IP-Adressen.
  • Allgemeine Sicherheitsrisiken und Gefährdungen zum Aktualisieren der Berichterstellung des Bedrohungs- und Sicherheitsrisikomanagements für Defender für IoT.
  • Ressourcenprofile, die die Features von Defender für IoT zur Ermittlung von Ressourcen verbessern.

Sie können mit den neuesten OT-/IoT-Bedrohungen Schritt halten, indem Sie eine Defender for IoT-Bereitstellung mit den aktuellen Threat Intelligence-Paketen auf dem neuesten Stand halten.

Screenshot that shows how to update threat-intelligence packages in the Azure portal.

Verwalten Ihrer Standorte und Sensoren

Sie können Defender für IoT in einer reinen nicht verbunden, lokalen Umgebung bereitstellen, aber auch über das Azure-Portal lokale Gerätesensoren aus der Cloud integrieren. Sie können Ihre Sensoren auf der Seite Erste Schritte für ein bestimmtes Azure-Abonnement und eine bestimmte Ressource registrieren. Die Bereitstellung aus dem Portal ist hilfreich, wenn Sie die Betriebs- und Wartungsanforderungen für Ihre Verwaltungssysteme verringern möchten, und wenn Sie andere Microsoft- und Azure-Dienste bereitgestellt haben.

Integrierte Sensoren sind im Azure-Portal auf der Defender für IoT-Seite Standorte und Sensoren sichtbar. Diese Seite sieht für erfahrene Azure-Benutzer vertraut aus und zeigt Details für jeden Standort und Sensor an. Auf der Seite Standorte und Sensoren können Sie die Zone, den Verbindungsstatus und den Threat Intelligence-Updatestatus jedes Sensors anzeigen. Sie können sie auch verwenden, um ihrer Bereitstellung weitere Sensoren hinzuzufügen.

Screenshot that shows the Sites and sensors page in the Azure portal.

Nachdem Sie das Onboarding für Standorte und Sensoren in Defender for IoT durchgeführt haben, verwenden Sie betriebsbezogene Warnungen, um die Ereignisse zu überwachen, die in Ihrem Netzwerk auftreten. Betriebsbezogene Warnungen sind hilfreich, wenn Fehlfunktionen auftreten oder Geräte falsch konfiguriert sind. Wenn Defender für IoT beispielsweise ständig Ihr Netzwerk scannt, können Sie einen falsch konfigurierten Engineering-Arbeitsbereich identifizieren und die Grundursachen Ihrer Probleme schnell beheben.

Screenshot that shows the Alerts page in the sensor console.

Integration in andere Microsoft- und Partnerdienste

Wenn Sie über andere Systeme verfügen, die für die Sicherheitsüberwachung und Governance bereitgestellt werden, können Sie die OT/IoT-Sicherheit in Ihre anderen Systeme integrieren, um Ihren Teams eine nahtlose Erfahrung zu bieten.

Sie können beispielsweise Defender für IoT direkt in Microsoft Sentinel oder Partnerdienste wie Splunk, IBM QRadar oder ServiceNow integrieren.

Integrieren Sie Defender für IoT zu folgenden Zwecken in andere Diensten:

  • Aufschlüsseln von Silos, die die Kommunikation zwischen IT- und OT-Teams verlangsamen, und Bereitstellen einer gemeinsamen, systemübergreifenden Sprache, um Probleme schnell zu beheben.
  • Schnelle Reaktion auf Angriffe, die IT/OT-Grenzen überschreiten, wie TRITON.
  • Verwenden von Workflows, Schulungen und Tools, die Sie jahrelang für Ihr SOC-Team entwickelt haben, und deren Anwendung auf die IoT/OT-Sicherheit.

Integration mit Microsoft Sentinel

Die Integration von Defender für IoT und Microsoft Sentinel hilft SOC-Teams, während der gesamten Angriffszeit schneller zu erkennen und zu reagieren. Die Integration von Defender for IoT und Microsoft Sentinel kann Kommunikation, Prozesse und Reaktionszeit für Sicherheitsanalysten und OT-Personal verbessern. Microsoft Sentinel-Arbeitsmappen, Analyseregeln und Sicherheitsvorgänge sowie Reaktions-Playbooks helfen Ihnen, in Defender für IoT erkannte OT-Bedrohungen zu überwachen und darauf zu reagieren.

Installieren Sie den Defender für IoT-Datenconnector in Ihrem Microsoft Sentinel-Arbeitsbereich. Der Defender für IoT-Datenconnector hat folgende integrierte Inhalte:

  • Arbeitsmappen: Verwenden Sie Microsoft Sentinel-Arbeitsmappen, um Ihre Defender für IoT-Daten von Microsoft Sentinel zu visualisieren und zu überwachen. Arbeitsmappen bieten geführte Untersuchungen für OT-Entitäten auf Grundlage von offenen Incidents, Warnungen und Aktivitäten für OT-Ressourcen.
  • Analyseregelvorlagen: Verwenden Sie Microsoft Sentinel-Analyseregelvorlagen, um Vorfallauslöser für Warnungen zu konfigurieren, die von Defender für IoT von OT-Datenverkehr generiert werden.

Sie können dann Microsoft Sentinel-Playbooks verwenden, um automatisierte Korrekturmaßnahmen zu erstellen, die als Routine ausgeführt werden, um die Automatisierung und Orchestrierung von Reaktionen auf Bedrohungen zu unterstützen. Sie können Playbooks manuell ausführen oder festlegen, dass sie automatisch als Reaktion auf bestimmte Warnungen oder Vorfälle ausgeführt werden. Verwenden Sie eine Analyseregel oder eine Automatisierungsregel als Trigger.

Screenshot that shows the Defender for IoT data connector in Microsoft Sentinel.