Tworzenie raportów oceny ryzyka
Raporty oceny ryzyka zawierają szczegółowe informacje o ocenach zabezpieczeń, lukach w zabezpieczeniach i problemach operacyjnych na urządzeniach wykrytych przez określony czujnik sieci OT, a także zagrożenia pochodzące z zaimportowanych reguł zapory.
Każdy czujnik sieci usługi Defender dla IoT może wygenerować raport oceny ryzyka, podczas gdy lokalna konsola zarządzania zbiera te raporty ze wszystkich połączonych czujników.
Wymagania wstępne
Aby utworzyć raporty oceny ryzyka, musisz mieć dostęp do czujnika sieci OT, dla którego chcesz wygenerować dane:
Musisz być użytkownikiem Administracja, aby zaimportować reguły zapory do czujnika OT lub dodać kopie zapasowe i adresy serwera antywirusowego.
Musisz być użytkownikiem Administracja lub analitykiem zabezpieczeń, aby utworzyć lub wyświetlić raporty dotyczące oceny ryzyka w czujniku OT lub lokalnej konsoli zarządzania.
Aby uzyskać więcej informacji, zobacz Lokalne użytkowników i role monitorowania ot za pomocą usługi Defender for IoT
Generowanie raportów oceny ryzyka na podstawie czujnika OT
Użyj pojedynczego czujnika OT, aby wyświetlić raporty wygenerowane tylko dla tego czujnika.
Aby wygenerować raport:
Zaloguj się do konsoli czujnika i wybierz pozycję Ocena> ryzykaWygeneruj raport. Raport jest generowany i wyświetlany na liście Raporty wraz ze znacznikiem czasu i rozmiarem raportu.
Przykład:
Raporty są automatycznie nazywane ,
risk-assessment-report-<integer>
gdzie<integer>
przyrost jest automatycznie zwiększany.Wybierz nazwę raportu, aby go pobrać i otworzyć w przeglądarce.
Zawartość raportu oceny ryzyka
Raporty dotyczące oceny ryzyka zawierają następujące szczegóły:
Szczegóły | Opis |
---|---|
Wyniki zabezpieczeń | Ogólny wynik zabezpieczeń dla wszystkich wykrytych urządzeń oraz ocena zabezpieczeń dla każdego pojedynczego urządzenia. Wyniki zabezpieczeń są oparte na danych pochodzących z inspekcji pakietów, aparatów modelowania behawioralnego i projektu maszyny stanu specyficznego dla protokołu SCADA i są podzielone na kategorie w następujący sposób: - Bezpieczne urządzenia to urządzenia z oceną zabezpieczeń powyżej 90%. - Urządzenia wymagające poprawy to urządzenia z oceną zabezpieczeń z zakresu od 70 do 89%. - Urządzenia podatne na zagrożenia to urządzenia z oceną zabezpieczeń poniżej 70%. |
Problemy z zabezpieczeniami i operacjami | Szczegółowe informacje na temat dowolnego z następujących problemów z zabezpieczeniami i operacjami: — Problemy z konfiguracją — Luka w zabezpieczeniach urządzenia, priorytetowa według poziomu zabezpieczeń — Problemy z zabezpieczeniami sieci — Problemy operacyjne z siecią - Połączenia z sieciami ICS - Połączenia internetowe - Wskaźniki złośliwego oprogramowania przemysłowego - Problemy z protokołem - Wektory ataków |
Ryzyko reguły zapory | Raport Oceny ryzyka zwraca uwagę, jeśli reguła nie jest bezpieczna lub czy istnieje niezgodność między regułą a monitorowaną siecią. |
Wzbogacanie raportu oceny ryzyka
Wzbogacanie czujnika o dodatkowe dane w celu zapewnienia pełniejszych raportów dotyczących oceny ryzyka:
- Importowanie reguł zapory w celu ich oceny pod kątem ryzyka w raporcie
- Obniżanie ryzyka przez zdefiniowanie adresów dla kopii zapasowej i serwera antywirusowego
Importowanie reguł zapory do czujnika OT
Zaimportuj reguły zapory do czujnika OT do analizy w raportach oceny ryzyka . Importowanie reguł zapory jest obsługiwane w przypadku następujących zapór:
Nazwa | Opis | Typ pliku |
---|---|---|
Check Point | Eksportowanie zapory do R77 | .ZIP |
Fortinet | Kopia zapasowa konfiguracji | . CONF |
Juniper | Konfiguracja interfejsu wiersza polecenia systemu ScreenOS | .TXT |
Aby zaimportować reguły zapory:
Zaloguj się do czujnika jako użytkownik Administracja i wybierz pozycję Ustawienia> systemoweImportuj ustawienia>Reguły zapory.
W okienku Reguły zapory :
- Wybierz typ zapory z menu rozwijanego
- Wybierz pozycję + Importuj plik , aby przejść do i wybrać plik, który chcesz zaimportować.
Przykład:
Definiowanie kopii zapasowych i serwerów antywirusowych na czujniku OT
Kopie zapasowe i serwery antywirusowe nie są domyślnie zdefiniowane na czujniku. Zalecamy zdefiniowanie tych adresów na czujniku w celu zapewnienia niskiej oceny ryzyka sieci.
Aby dodać adresy serwera kopii zapasowej i antywirusowej:
- Zaloguj się do czujnika OT i wybierz pozycję System Settings System PropertiesVulnerability Assessment (Ocena luk w zabezpieczeniachwłaściwości> systemu).>
- Dodaj odpowiednio adresy serwera kopii zapasowej i antywirusowego do pól backup_servers i AV_addresses . Użyj przecinków, aby oddzielić wiele adresów.
- Wybierz przycisk Zapisz, aby zapisać zmiany.
Wyświetlanie raportów oceny ryzyka dla wielu czujników
Użyj lokalnej konsoli zarządzania, aby wyświetlić raporty oceny ryzyka dla wszystkich połączonych czujników.
Aby wygenerować raport:
Zaloguj się do lokalnej konsoli zarządzania i wybierz pozycję Ocena ryzyka.
Z menu rozwijanego Wybierz czujnik wybierz czujnik, dla którego chcesz wygenerować raport, a następnie wybierz pozycję Generuj raport.
Nowy raport znajduje się w obszarze Zarchiwizowane raporty , na liście według godziny i daty jej utworzenia oraz pokazuje wynik zabezpieczeń i rozmiar raportu.
Przykład:
Wybierz pozycję Pobierz, aby pobrać raport i otworzyć go w przeglądarce.
Następne kroki
Podejmij działania na podstawie zaleceń przedstawionych w raportach dotyczących oceny ryzyka, aby poprawić ogólny wynik zabezpieczeń sieci. Na przykład możesz zainstalować najnowsze aktualizacje zabezpieczeń lub oprogramowania układowego lub zbadać wszystkie elementy PLC, które są obecnie w niezabezpieczonych stanach.
Aby uzyskać więcej informacji, zobacz Zwiększanie poziomu zabezpieczeń za pomocą zaleceń dotyczących zabezpieczeń.
Kontynuuj tworzenie innych raportów, aby uzyskać więcej danych zabezpieczeń z czujnika OT. Aby uzyskać więcej informacji, zobacz: