Defender for IoT implementeren voor OT-bewaking
In dit artikel worden de stappen op hoog niveau beschreven die nodig zijn voor het implementeren van Defender for IoT voor OT-bewaking. Meer informatie over elke implementatiestap vindt u in de onderstaande secties, inclusief relevante kruisverwijzingen voor meer informatie.
In de volgende afbeelding ziet u de fasen in een end-to-end OT-bewakingsimplementatiepad, samen met het team dat verantwoordelijk is voor elke fase.
Hoewel teams en functietitels verschillen in verschillende organisaties, vereisen alle Defender for IoT-implementaties communicatie tussen de personen die verantwoordelijk zijn voor de verschillende gebieden van uw netwerk en infrastructuur.
Tip
Elke stap in het proces kan een andere hoeveelheid tijd duren. Het downloaden van een ot-sensoractiveringsbestand kan bijvoorbeeld vijf minuten duren, terwijl het configureren van verkeersbewaking dagen of zelfs weken kan duren, afhankelijk van de processen van uw organisatie.
We raden u aan het proces voor elke stap te starten zonder te wachten totdat deze is voltooid voordat u verdergaat met de volgende stap. Zorg ervoor dat u doorgaat met het opvolgen van alle stappen die nog in verwerking zijn om ervoor te zorgen dat ze worden voltooid.
Vereisten
Voordat u begint met het plannen van de implementatie van ot-bewaking, moet u ervoor zorgen dat u een Azure-abonnement en een OT-plan hebt waarvoor Defender for IoT is onboarded.
Zie Een Microsoft Defender voor IoT-proefversie starten voor meer informatie.
Plannen en voorbereiden
In de volgende afbeelding ziet u de stappen die zijn opgenomen in de plannings- en voorbereidingsfase. De plannings- en voorbereidingsstappen worden afgehandeld door uw architectuurteams.
Uw OT-bewakingssysteem plannen
Plan basisgegevens over uw bewakingssysteem, zoals:
Sites en zones: bepaal hoe u het netwerk dat u wilt bewaken segmenteren met behulp van sites en zones die locaties over de hele wereld kunnen vertegenwoordigen.
Sensorbeheer: bepaal of u cloud-verbonden of air-gapped, lokaal beheerde OT-sensoren of een hybride systeem van beide gaat gebruiken. Als u cloudsensoren gebruikt, selecteert u een verbindingsmethode, zoals rechtstreeks verbinding maken of via een proxy.
Gebruikers en rollen: een lijst met de typen gebruikers die u nodig hebt op elke sensor en de rollen die ze nodig hebben voor elke activiteit.
Zie Uw OT-bewakingssysteem plannen met Defender for IoT voor meer informatie.
Tip
Als u verschillende lokaal beheerde sensoren gebruikt, kunt u ook een on-premises beheerconsole implementeren voor centrale zichtbaarheid en beheer.
De implementatie van een OT-site voorbereiden
Definieer aanvullende details voor elke site die in uw systeem is gepland, waaronder:
Een netwerkdiagram. Identificeer alle apparaten die u wilt bewaken en maak een goed gedefinieerde lijst met subnetten. Nadat u uw sensoren hebt geïmplementeerd, gebruikt u deze lijst om te controleren of alle subnetten die u wilt bewaken, worden gedekt door Defender for IoT.
Een lijst met sensoren: gebruik de lijst met verkeer, subnetten en apparaten die u wilt bewaken om een lijst te maken met de OT-sensoren die u nodig hebt en waar ze in uw netwerk worden geplaatst.
Methoden voor verkeersspiegeling: kies een methode voor verkeersspiegeling voor elke OT-sensor, zoals een SPAN-poort of TAP.
Apparaten: bereid een implementatiewerkstation voor en alle hardware of VM-apparaten die u gaat gebruiken voor elk van de OT-sensoren die u hebt gepland. Als u vooraf geconfigureerde apparaten gebruikt, moet u deze bestellen.
Zie De implementatie van een OT-site voorbereiden voor meer informatie.
Sensoren onboarden in Azure
In de volgende afbeelding ziet u de stap die is opgenomen in de fase voor onboarding van sensoren. Sensoren worden onboarding naar Azure uitgevoerd door uw implementatieteams.
Ot-sensoren onboarden op de Azure Portal
Onboard zoveel OT-sensoren bij Defender for IoT als u hebt gepland. Zorg ervoor dat u de activeringsbestanden downloadt die voor elke OT-sensor zijn opgegeven en sla deze op een locatie op die toegankelijk is vanaf uw sensorcomputers.
Zie OT-sensoren onboarden naar Defender for IoT voor meer informatie.
Sitenetwerk instellen
In de volgende afbeelding ziet u de stappen die zijn opgenomen in de sitenetwerkinstallatiezin. Stappen voor sitenetwerken worden afgehandeld door uw connectiviteitsteams.
Verkeersspiegeling in uw netwerk configureren
Gebruik de plannen die u eerder hebt gemaakt om verkeersspiegeling te configureren op de locaties in uw netwerk waar u OT-sensoren implementeert en verkeer spiegelt naar Defender for IoT.
Zie voor meer informatie:
- Spiegeling configureren met een SWITCH SPAN-poort
- Verkeersspiegeling configureren met een RSPAN-poort (Remote SPAN)
- Actieve of passieve aggregatie (TAP) configureren
- De bewakingsinterfaces van een sensor bijwerken (ERSPAN configureren)
- Verkeersspiegeling configureren met een ESXi vSwitch
- Verkeersspiegeling configureren met een Hyper-V vSwitch
Inrichten voor cloudbeheer
Configureer firewallregels om ervoor te zorgen dat uw OT-sensorapparaten toegang hebben tot Defender for IoT in de Azure-cloud. Als u van plan bent om verbinding te maken via een proxy, configureert u deze instellingen pas nadat u de sensor hebt geïnstalleerd.
Sla deze stap over voor elke OT-sensor die is gepland om in de lucht te worden opgeslagen en lokaal wordt beheerd, rechtstreeks op de sensorconsole of via een on-premises beheerconsole.
Zie OT-sensoren inrichten voor cloudbeheer voor meer informatie.
Uw OT-sensoren implementeren
In de volgende afbeelding ziet u de stappen die zijn opgenomen in de implementatiefase van de sensor. OT-sensoren worden geïmplementeerd en geactiveerd door uw implementatieteam.
Uw OT-sensoren installeren
Als u Defender for IoT-software op uw eigen apparaten installeert, downloadt u de installatiesoftware van de Azure Portal en installeert u deze op uw OT-sensorapparaat.
Nadat u de OT-sensorsoftware hebt geïnstalleerd, voert u verschillende controles uit om de installatie en configuratie te valideren.
Zie voor meer informatie:
Sla deze stappen over als u vooraf geconfigureerde apparaten aanschaft.
Uw OT-sensoren en de eerste installatie activeren
Gebruik een initiële installatiewizard om netwerkinstellingen te bevestigen, de sensor te activeren en SSH/TLS-certificaten toe te passen.
Zie Uw OT-sensor configureren en activeren voor meer informatie.
Proxyverbindingen configureren
Als u hebt besloten om een proxy te gebruiken om uw sensoren te verbinden met de cloud, stelt u uw proxy in en configureert u instellingen op uw sensor. Zie Proxy-instellingen configureren op een OT-sensor voor meer informatie.
Sla deze stap over in de volgende situaties:
- Voor elke OT-sensor waar u rechtstreeks verbinding maakt met Azure, zonder proxy
- Voor elke sensor die in de lucht moet worden opgeslagen en lokaal moet worden beheerd, rechtstreeks op de sensorconsole of via een on-premises beheerconsole.
Optionele instellingen configureren
U wordt aangeraden een Active Directory-verbinding te configureren voor het beheren van on-premises gebruikers op uw OT-sensor en ook om sensorstatusbewaking via SNMP in te stellen.
Als u deze instellingen niet configureert tijdens de implementatie, kunt u ze ook later retourneren en configureren.
Zie voor meer informatie:
Ot-bewaking kalibreren en verfijnen
In de volgende afbeelding ziet u de stappen voor het kalibreren en afstemmen van OT-bewaking met uw zojuist geïmplementeerde sensor. Kalibratie- en afstemmingsactiviteiten worden uitgevoerd door uw implementatieteam.
OT-bewaking op uw sensor beheren
Standaard detecteert uw OT-sensor mogelijk niet de exacte netwerken die u wilt bewaken of identificeert ze niet precies zoals u ze wilt weergeven. Gebruik de lijsten die u eerder hebt gemaakt om de subnetten te controleren en handmatig te configureren, poort- en VLAN-namen aan te passen en DHCP-adresbereiken indien nodig te configureren.
Zie Het OT-verkeer beheren dat wordt bewaakt door Microsoft Defender voor IoT voor meer informatie.
De gedetecteerde apparaatinventaris controleren en bijwerken
Nadat uw apparaten volledig zijn gedetecteerd, controleert u de apparaatinventaris en wijzigt u de apparaatdetails indien nodig. U kunt bijvoorbeeld dubbele apparaatvermeldingen identificeren die kunnen worden samengevoegd, apparaattypen of andere eigenschappen die moeten worden gewijzigd, en meer.
Zie De gedetecteerde apparaatinventaris controleren en bijwerken voor meer informatie.
Meer informatie over OT-waarschuwingen voor het maken van een netwerkbasislijn
De waarschuwingen die door uw OT-sensor worden geactiveerd, kunnen verschillende waarschuwingen bevatten die u regelmatig wilt negeren, of Learn, als geautoriseerd verkeer.
Controleer alle waarschuwingen in uw systeem als een eerste sortering. Met deze stap maakt u een basislijn voor netwerkverkeer waarmee Defender for IoT verder kan werken.
Zie Een geleerde basislijn van OT-waarschuwingen maken voor meer informatie.
Basislijn leren eindigt
Uw OT-sensoren blijven in de leermodus zolang er nieuw verkeer wordt gedetecteerd en u onverwerkte waarschuwingen hebt.
Wanneer basislijn leren eindigt, is het implementatieproces voor ot-bewaking voltooid en gaat u verder in de operationele modus voor doorlopende bewaking. In de operationele modus wordt voor elke activiteit die afwijkt van de basislijngegevens een waarschuwing geactiveerd.
Tip
Schakel de leermodus handmatig uit als u denkt dat de huidige waarschuwingen in Defender for IoT uw netwerkverkeer nauwkeurig weergeven en de leermodus nog niet automatisch is beëindigd.
Defender for IoT-gegevens verbinden met uw SIEM
Zodra Defender for IoT is geïmplementeerd, verzendt u beveiligingswaarschuwingen en beheert u OT/IoT-incidenten door Defender for IoT te integreren met uw SIEM-platform (Security Information and Event Management) en bestaande SOC-werkstromen en -hulpprogramma's. Integreer Defender for IoT-waarschuwingen met de SIEM van uw organisatie door te integreren met Microsoft Sentinel en gebruik te maken van de kant-en-klare Microsoft Defender voor IoT-oplossing of door doorstuurregels naar andere SIEM-systemen te maken. Defender for IoT integreert out-of-the-box met Microsoft Sentinel, evenals een breed scala aan SIEM-systemen, zoals Splunk, IBM QRadar, LogRhythm, Fortinet en meer.
Zie voor meer informatie:
- OT-bedreigingsbewaking in soc's voor ondernemingen
- Zelfstudie: Verbinding maken Microsoft Defender voor IoT met Microsoft Sentinel
- On-premises OT-netwerksensoren verbinden met Microsoft Sentinel
- Integraties met Microsoft- en partnerservices
- Defender for IoT-cloudwaarschuwingen streamen naar een partner-SIEM
Nadat u Defender for IoT-waarschuwingen hebt geïntegreerd met een SIEM, wordt u aangeraden de volgende volgende stappen uit te voeren om OT/IoT-waarschuwingen operationeel te maken en deze volledig te integreren met uw bestaande SOC-werkstromen en -hulpprogramma's:
Identificeer en definieer relevante IoT/OT-beveiligingsbedreigingen en SOC-incidenten die u wilt bewaken op basis van uw specifieke OT-behoeften en omgeving.
Maak detectieregels en ernstniveaus in de SIEM. Alleen relevante incidenten worden geactiveerd, waardoor onnodige ruis wordt verminderd. U definieert bijvoorbeeld PLC-codewijzigingen die zijn uitgevoerd vanaf niet-geautoriseerde apparaten of buiten werkuren, als een incident met hoge ernst vanwege de hoge betrouwbaarheid van deze specifieke waarschuwing.
In Microsoft Sentinel bevat de oplossing Microsoft Defender for IoT een set out-of-the-box detectieregels, die speciaal zijn gebouwd voor Defender for IoT-gegevens, en waarmee u de incidenten die in Sentinel zijn gemaakt, kunt verfijnen.
Definieer de juiste werkstroom voor risicobeperking en maak geautomatiseerde onderzoeksplaybooks voor elke use-case. In Microsoft Sentinel bevat de oplossing Microsoft Defender for IoT out-of-the-box playbooks voor geautomatiseerde reactie op Defender for IoT-waarschuwingen.
Volgende stappen
Nu u de implementatiestappen voor ot-bewakingssysteem begrijpt, bent u klaar om aan de slag te gaan.