Uwaga
Dostęp do tej strony wymaga autoryzacji. Może spróbować zalogować się lub zmienić katalogi.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
W miarę jak coraz bardziej krytyczne dla działania firmy branże przekształcają swoje systemy OT na cyfrowe infrastruktury IT, zespoły centrum operacji zabezpieczeń (SOC, security operation center) i dyrektorzy ds. bezpieczeństwa informacji (CISO) są coraz bardziej odpowiedzialni za zagrożenia ze strony sieci OT.
Wraz z nowymi obowiązkami zespoły SOC zajmują się nowymi wyzwaniami, w tym:
Brak wiedzy i doświadczenia w zakresie OT w obecnych zespołach SOC dotyczących alertów OT, sprzętu przemysłowego, protokołów i zachowania sieci. Często przekłada się to na niejasne lub zminimalizowane zrozumienie zdarzeń OT i ich wpływ na działalność biznesową.
Silosowana lub nieefektywna komunikacja i procesy między organizacjami OT i SOC.
Ograniczona technologia i narzędzia, takie jak brak widoczności lub zautomatyzowane korygowanie zabezpieczeń dla sieci OT. Należy ocenić i połączyć informacje między źródłami danych dla sieci OT, a integracja z istniejącymi rozwiązaniami SOC może być kosztowna.
Jednak bez danych OT, kontekstu i integracji z istniejącymi narzędziami i przepływami pracy SOC zabezpieczenia OT i zagrożenia operacyjne mogą być obsługiwane niepoprawnie, a nawet niezauważone.
Integrowanie usługi Defender dla IoT i usługi Microsoft Sentinel
Microsoft Sentinel to skalowalna usługa w chmurze do zarządzania zdarzeniami zabezpieczeń (SIEM) automatycznego reagowania na zdarzenia zabezpieczeń (SOAR). Zespoły SOC mogą używać integracji między usługą Microsoft Defender for IoT i usługą Microsoft Sentinel w celu zbierania danych między sieciami, wykrywania i badania zagrożeń oraz reagowania na zdarzenia.
W Microsoft Sentinel, łącznik danych i rozwiązanie do usługi Defender for IoT zapewniają gotową do użycia zawartość zabezpieczeń dla zespołów SOC, pomagając im w wyświetlaniu, analizowaniu i reagowaniu na alerty zabezpieczeń OT oraz zrozumieniu wygenerowanych incydentów w kontekście szerszych zagrożeń dla organizacji.
Zainstaluj wyłącznie łącznik danych usługi Defender for IoT, aby przesyłać strumieniowo alerty sieciowe OT do usługi Microsoft Sentinel. Następnie zainstaluj także rozwiązanie Microsoft Defender dla IoT w celu uzyskania dodatkowej wartości z reguł analizy specyficznych dla IoT/OT, skoroszytów, scenariuszy SOAR, a także mapowania incydentów na MITRE ATT&CK dla technik ICS.
Zintegrowanie usługi Defender for IoT z usługą Microsoft Sentinel pomaga również pozyskiwać więcej danych z innych integracji partnerów usługi Microsoft Sentinel. Aby uzyskać więcej informacji, zobacz Integracje z firmą Microsoft i usługami partnerskimi.
Uwaga
Niektóre funkcje usługi Microsoft Sentinel mogą ponieść opłatę. Aby uzyskać więcej informacji, zobacz Planowanie kosztów i omówienie cen i rozliczeń usługi Microsoft Sentinel.
Zintegrowane wykrywanie i reagowanie
W poniższej tabeli przedstawiono, w jaki sposób zarówno zespół OT, po stronie usługi Defender for IoT, jak i zespół SOC po stronie usługi Microsoft Sentinel mogą wykrywać zagrożenia i reagować na nie szybko na całej osi czasu ataku.
Microsoft Sentinel | Krok | Defender dla internetu rzeczy |
---|---|---|
Alert OT uruchomiony | Alerty OT o wysokiej pewności, obsługiwane przez grupę badań zabezpieczeń sekcji 52 usługi Defender dla IoT, są wyzwalane na podstawie danych pozyskanych do usługi Defender dla IoT. | |
Reguły analityczne automatycznie otwierają incydenty tylko dla odpowiednich przypadków użycia, aby uniknąć zmęczenia alertami OT. | Zdarzenie OT utworzone | |
Zespoły SOC mapują wpływ na działalność firmy, w tym dane dotyczące witryny, linii, naruszonych zasobów i właścicieli OT. | Mapowanie wpływu biznesowego zdarzenia OT | |
Zespoły SOC przenoszą incydent do Aktywny i zaczynają badać, używając połączeń sieciowych i zdarzeń, skoroszytów oraz strony jednostki OT urządzenia. | Badanie incydentu OT | Alerty są przenoszone do aktywnych, a zespoły OT badają dane PCAP, szczegółowe raporty i inne szczegóły dotyczące urządzeń. |
Zespoły SOC reagują za pomocą podręczników i notesów OT | Reagowanie na zdarzenia OT | Zespoły OT tłumią alert lub uczą się go na przyszłość, zgodnie z potrzebami |
Po ograniczeniu zagrożenia zespoły SOC zamykają incydent | Zamknięcie incydentu OT | Po ograniczeniu zagrożenia zespoły OT zamykają alert |
Synchronizacje stanu alertów
Zmiany stanu alertu są synchronizowane tylko z usługi Microsoft Sentinel do usługi Defender dla IoT, a nie z usługi Defender dla IoT do usługi Microsoft Sentinel.
W przypadku integracji usługi Defender for IoT z usługą Microsoft Sentinel zalecamy zarządzanie stanami alertów wraz z powiązanymi zdarzeniami w usłudze Microsoft Sentinel.
Zdarzenia usługi Microsoft Sentinel dla usługi Defender dla IoT
Po skonfigurowaniu łącznika danych usługi Defender dla IoT i przesyłania strumieniowego alertów IoT/OT do usługi Microsoft Sentinel użyj jednej z następujących metod, aby utworzyć zdarzenia na podstawie tych alertów:
Metoda | Opis |
---|---|
Użyj domyślnej reguły łącznika danych | Użyj wartości domyślnej Tworzenie zdarzeń na podstawie wszystkich alertów wygenerowanych w usłudze Microsoft Defender dla analizy IOT udostępnionej za pomocą łącznika danych. Ta reguła tworzy oddzielne zdarzenie w usłudze Microsoft Sentinel dla każdego alertu przesyłanego strumieniowo z usługi Defender dla IoT. |
Używaj gotowych reguł rozwiązania | Włącz niektóre lub wszystkie gotowe reguły analizy dostarczone z rozwiązaniem Microsoft Defender for IoT . Te reguły analizy pomagają zmniejszyć zmęczenie alertów, tworząc zdarzenia tylko w określonych sytuacjach. Możesz na przykład utworzyć zdarzenia dla nadmiernych prób logowania oraz w przypadku wielu skanowań wykrytych w sieci. |
Tworzenie reguł niestandardowych | Utwórz niestandardowe reguły analizy, aby tworzyć zdarzenia tylko na podstawie określonych potrzeb. Możesz użyć wbudowanych reguł analizy jako punktu początkowego lub utworzyć reguły od podstaw. Dodaj następujący filtr, aby zapobiec zduplikowaniu zdarzeń dla tego samego identyfikatora alertu: | where TimeGenerated <= ProcessingEndTime + 60m |
Niezależnie od metody tworzenia alertów należy utworzyć tylko jedno zdarzenie dla każdego identyfikatora alertu usługi Defender dla IoT.
Skoroszyty Microsoft Sentinel dla Defendera dla IoT
Aby wizualizować i monitorować dane usługi Defender dla IoT, użyj skoroszytów wdrożonych w obszarze roboczym usługi Microsoft Sentinel w ramach rozwiązania Microsoft Defender for IoT.
Skoroszyty Defender for IoT oferują prowadzone badania dla jednostek OT na podstawie otwartych incydentów, powiadomień o alarmach i działań na rzecz zasobów OT. Zapewniają one również doświadczenie w tropieniu zagrożeń w całej strukturze MITRE ATT&CK® dla ICS i zostały zaprojektowane tak, aby umożliwić analitykom, inżynierom ds. zabezpieczeń i specjalistom MSSP uzyskanie świadomości sytuacyjnej postawy bezpieczeństwa OT.
Skoroszyty mogą wyświetlać alerty według typu, ważności, rodzaju urządzenia OT lub dostawcy, albo alertów w określonym przedziale czasowym. Skoroszyty pokazują również wynik mapowania alertów na taktyki MITRE ATT&CK dla ICS, a także rozkład tych taktyk według liczby i okresów czasowych. Na przykład:
Podręczniki SOAR dla usługi Defender dla IoT
Podręczniki to kolekcje zautomatyzowanych akcji korygowania, które można uruchamiać z usługi Microsoft Sentinel jako rutynowe. Podręcznik może pomóc zautomatyzować i zorganizować reakcję na zagrożenia. Można ją uruchomić ręcznie lub ustawić tak, aby była uruchamiana automatycznie w odpowiedzi na określone alerty lub zdarzenia, odpowiednio wyzwolone przez regułę analizy lub regułę automatyzacji.
Na przykład możesz korzystać z podręczników SOAR do:
Otwórz bilet zasobu w usłudze ServiceNow po wykryciu nowego zasobu, takiego jak nowa stacja robocza inżynieryjna. Ten alert może być nieautoryzowanym urządzeniem, które może być używane przez przeciwników do przeprogramowania komputerów PLC.
Wyślij wiadomość e-mail do odpowiednich uczestników projektu w przypadku wykrycia podejrzanych działań, na przykład nieplanowanego przeprogramowania PLC. Wiadomość e-mail może zostać wysłana do personelu OT, takiego jak inżynier kontrolny odpowiedzialny na powiązanej linii produkcyjnej.
Porównanie zdarzeń, alertów i incydentów w usłudze Defender dla IoT
W tej sekcji wyjaśniono różnice między zdarzeniami, alertami i zdarzeniami usługi Defender for IoT w usłudze Microsoft Sentinel. Użyj wymienionych zapytań, aby wyświetlić pełną listę bieżących zdarzeń, alertów i incydentów dla sieci OT.
Zazwyczaj w usłudze Microsoft Sentinel jest wyświetlanych więcej zdarzeń usługi Defender dla IoT niż alerty i więcej alertów usługi Defender dla IoT niż incydenty.
Zdarzenia usługi Defender dla IoT w usłudze Microsoft Sentinel
Każdy dziennik alertów przesyłany strumieniowo do usługi Microsoft Sentinel z usługi Defender dla IoT jest zdarzeniem. Jeśli dziennik alertów odzwierciedla nowy lub zaktualizowany alert w usłudze Defender dla IoT, nowy rekord zostanie dodany do tabeli SecurityAlert .
Aby wyświetlić wszystkie zdarzenia usługi Defender dla IoT w usłudze Microsoft Sentinel, uruchom następujące zapytanie w tabeli SecurityAlert :
SecurityAlert
| where ProviderName == 'IoTSecurity' or ProviderName == 'CustomAlertRule'
Instead
Alerty usługi Defender dla IoT w usłudze Microsoft Sentinel
Usługa Microsoft Sentinel tworzy alerty na podstawie bieżących reguł analizy i dzienników alertów wymienionych w tabeli SecurityAlert . Jeśli nie masz żadnych aktywnych reguł analizy dla usługi Defender dla IoT, usługa Microsoft Sentinel traktuje każdy dziennik alertów jako zdarzenie.
Aby wyświetlić alerty w usłudze Microsoft Sentinel, uruchom następujące zapytanie w tabeliSecurityAlert :
SecurityAlert
| where ProviderName == 'ASI Scheduled Alerts' or ProviderName =='CustomAlertRule'
Po zainstalowaniu rozwiązania Microsoft Defender dla IoT i wdrożeniu podręcznika AD4IoT-AutoAlertStatusSync zmiany stanu alertu są synchronizowane z usługi Microsoft Sentinel do usługi Defender dla IoT. Zmiany stanu alertu nie są synchronizowane z usługi Defender dla IoT do usługi Microsoft Sentinel.
Ważne
Zalecamy zarządzanie stanami alertów wraz z powiązanymi zdarzeniami w usłudze Microsoft Sentinel. Aby uzyskać więcej informacji, zobacz Praca z zadaniami incydentów w usłudze Microsoft Sentinel.
Zdarzenia usługi Defender dla IoT w usłudze Microsoft Sentinel
Usługa Microsoft Sentinel tworzy zdarzenia na podstawie reguł analizy. Być może istnieje kilka alertów pogrupowanych w tym samym zdarzeniu lub masz skonfigurowane reguły analizy, aby nie tworzyć zdarzeń dla określonych typów alertów.
Aby wyświetlić zdarzenia w usłudze Microsoft Sentinel, uruchom następujące zapytanie:
SecurityIncident
Następne kroki
Aby uzyskać więcej informacji, zobacz:
- Integracje z usługami firmy Microsoft i partnerami
- Samouczek: łączenie usługi Microsoft Defender dla IoT z usługą Microsoft Sentinel
- Wykrywanie zagrożeń poza urządzeniem przy użyciu danych usługi Defender dla IoT
- Tworzenie niestandardowych reguł analizy do wykrywania zagrożeń
- Samouczek: korzystanie z playbooków z regułami automatyzacji w usłudze Microsoft Sentinel