¿Qué es Microsoft Defender para IoT para generadores de dispositivos?

Nota

Azure Defender para IoT ha cambiado su nombre a Microsoft Defender para IoT.

La seguridad es una preocupación casi universal para los implementadores de IoT. Los dispositivos IoT tienen necesidades únicas de supervisión de puntos de conexión, administración de la posición de seguridad y detección de amenazas, todo ello con requisitos de rendimiento muy concretos.

Microsoft Defender para IoT proporciona agentes de seguridad ligeros para que pueda crear seguridad directamente en las nuevas iniciativas de IoT/OT. El microagente proporciona visibilidad de los puntos de conexión en la administración de la postura de seguridad y la detección de amenazas, y se integra con otras herramientas de Microsoft para la administración unificada de la seguridad.

  • Administración de la postura de seguridad: puede supervisar de forma proactiva la postura de seguridad de los dispositivos IoT. Defender para IoT proporciona recomendaciones de postura de seguridad basadas en el banco de pruebas de CIS junto con recomendaciones específicas para el dispositivo. Obtenga visibilidad de la seguridad del sistema operativo, incluida su configuración, la del firewall y los permisos.
  • Detección de amenazas en el punto de conexión: detecte amenazas como redes de robots (botnets), intentos de fuerza bruta, mineros de criptografía y actividades de red sospechosas. Cree alertas personalizadas para abordar las amenazas más importantes dentro de la organización.
  • Integración en IoT Hub: Defender para IoT está habilitado de forma predeterminada en todas las instancias de IoT Hub que se crean. Defender para IoT proporciona supervisión en tiempo real, recomendaciones y alertas, sin requerir la instalación de un agente en ningún dispositivo. Defender para IoT usa análisis avanzado en los metadatos registrados de IoT Hub para analizar y proteger los dispositivos locales y centros de IoT.

Administración de la posición de seguridad

El microagente de Defender para IoT permite mejorar rápidamente las funcionalidades de defensa y seguridad de los dispositivos de cualquier organización además de identificar de forma constante los puntos débiles en la postura de seguridad del sistema operativo. Las recomendaciones de línea base del sistema operativo basadas en el punto de referencia de CIS ayudan a identificar problemas con la higiene de la seguridad del dispositivo y dan prioridad a los cambios en la protección de la seguridad.

  • Los puntos de referencia de CIS son los procedimientos recomendados para configurar de forma segura un sistema de destino. Los puntos de referencia de CIS se desarrollan a través de un proceso único, basado en el consenso que consta de profesionales de ciberseguridad y expertos en la materia en todo el mundo.
  • Los puntos de referencia de CIS son las únicas guías de configuración de la seguridad basadas en el consenso y en prácticas recomendadas que el gobierno, las empresas, el sector y los académicos han desarrollado y aceptado.

Microagente de Defender para IoT

El microagente de Defender para IoT proporciona protección en profundidad y visibilidad del comportamiento de los dispositivos.

  • Recopila, agrega y analiza eventos de seguridad sin procesar de los dispositivos. Estos eventos incluyen las conexiones de IP, la creación de procesos, los inicios de sesión de los usuarios y otra información relacionada con la seguridad.
  • Los agentes de dispositivo de Defender para IoT controlan la agregación de eventos para ayudar a evitar un alta tasa de procesamiento de la red.
  • El microagente tiene opciones de implementación flexibles. El microagente incluye código fuente, por lo que puede incorporarlo al firmware o personalizarlo para incluir solo lo que necesite. También está disponible como un paquete binario, o bien se integra directamente en otras soluciones de Azure IoT. El microagente está disponible para los sistemas operativos de IoT estándar, como Linux y Azure RTOS.
  • Los agentes son altamente personalizables, lo que le permite usarlos para tareas específicas, como enviar solo información importante a los SLA más rápidos, o para agregar información de seguridad exhaustiva y contexto en segmentos más grandes, lo que evita mayores costos de servicio.

Integración de IoT Hub

  • Los agentes de dispositivos y otra aplicaciones usan el SDK de Send Security Message de Azure para enviar información de seguridad a Azure IoT Hub. IoT Hub obtiene esta información y la reenvía al servicio de Defender para IoT.
  • Una vez que el servicio de Defender para IoT está habilitado, además de los datos reenviados, IoT Hub envía también todos los datos internos para el análisis por parte de Defender para IoT. Estos datos incluyen los registros de operaciones de dispositivos a la nube, las identidades de los dispositivos y la configuración del Hub. Toda esta información ayuda a crear la canalización de análisis de Defender para IoT.

Canalización de Analytics

La canalización del análisis de Defender para IoT también recibe otros flujos de inteligencia sobre amenazas de varios orígenes procedentes de Microsoft y de los asociados de Microsoft. La canalización de análisis completa funciona con todas las configuraciones del cliente realizadas en el servicio (como las alertas personalizadas y el uso del SDK de Send Security Message).

Con la canalización de análisis, Defender para IoT combina todos los flujos de información para generar alertas y recomendaciones viables. La canalización contiene reglas personalizadas creadas tanto por investigadores de seguridad como por expertos, así como modelos de Machine Learning en busca de desviaciones del comportamiento estándar del dispositivo y análisis de riesgos.

La arquitectura de micro agente.

Pasos siguientes

Revisión de la cartera de agentes