Como funciona o Microsoft Defender para IoT

  • 3 minutos

Nesta unidade, descreveremos como o Microsoft Defender para IoT funciona nos bastidores.

Implantação flexível

O Defender para IoT dá suporte a várias soluções de implantação flexíveis:

  • Implantações de nuvem: sensores de OT, implantados em dispositivos físicos ou virtuais, conectam-se ao Defender para IoT no portal do Azure. Use o portal do Azure para gerenciar os sensores e dados do sensor e integrá-los aos outros serviços da Microsoft, como o Microsoft Sentinel.
  • Redes isoladas: implante o Defender para IoT totalmente no local e conecte-se a um sistema SIEM (gerenciamento de eventos e informações de segurança) local. Você pode fazer a integração diretamente com o Microsoft Sentinel ou com uma variedade de ferramentas SOC de parceiros, como Splunk, IBM QRadar e ServiceNow.
  • Implantações híbridas: para trabalhar em um ambiente híbrido, você pode gerenciar seus sensores locais e ainda se conectar a um SIEM baseado em nuvem, como o Microsoft Sentinel.

Sensores do Defender para IoT

Os sensores do Defender para IoT são implantados no local, como um dispositivo virtual ou físico. Eles descobrem e monitoram continuamente os dispositivos de rede e coletam o tráfego de rede do ICS (sistema de controle industrial).

Os sensores usam monitoramento passivo ou sem agente para dispositivos IoT/OT. Os sensores se conectam a uma porta SPAN ou rede TAP para executar a inspeção profunda de pacote no tráfego de rede IoT/OT.

Toda a coleta, processamento, análise e alertas de dados ocorre diretamente no computador sensor, o que torna o processo ideal para locais com baixa largura de banda ou conectividade de alta latência. Somente os metadados são transferidos para o portal do Azure para gerenciamento.

A imagem a seguir mostra uma captura de tela de exemplo da página Alertas em um console de sensor. Ele mostra os alertas disparados pelos dispositivos anexados a esse sensor.

Screenshot that shows a sensor console Alerts page.

Mecanismos de aprendizado de máquina do Defender para IoT

Os mecanismos de análise de autoaprendizagem ou de aprendizado de máquina no Defender para IoT eliminam a necessidade de atualizar assinaturas ou definir regras. Os mecanismos do Defender para IoT usam a análise comportamental específica do ICS e a ciência de dados para analisar continuamente o tráfego de rede OT por:

  • Anomalias.
  • Malware.
  • Problemas operacionais.
  • Violações de protocolo.
  • Desvios de atividade de rede de linha de base.

Os sensores do Defender para IoT também incluem cinco mecanismos de detecção de análise que disparam alertas com base na análise do tráfego em tempo real e pré-registrado:

  • Mecanismo de detecção de violação de política: usa o aprendizado de máquina para alertar sobre desvios no comportamento da linha de base, como uso não autorizado de códigos de função específicos, acesso a objetos específicos ou alterações na configuração do dispositivo. Os exemplos incluem a versão do software DeltaV alterada, alterações de firmware e alertas de programação PLC não autorizados.
  • Mecanismo de detecção de violação de protocolo: identifica o uso de estruturas de pacote e valores de campo que violam as especificações do protocolo ICS. Exemplos incluem exceções de Modbus e início de alertas de código de função obsoletos.
  • Mecanismo de detecção de malware: identifica comportamentos que indicam a presença de malware industrial conhecido. Exemplos incluem Conficker, Black Energy, Havex, WannaCry, NotPetya e Triton.
  • Mecanismo de detecção de anomalias: detecta as comunicações e comportamentos incomuns entre máquinas. Os exemplos incluem tentativas excessivas de entrada do protocolo SMB ou verificações de PLC.
  • Mecanismo de detecção de incidentes operacionais: detecta os problemas operacionais, como conectividade intermitente que pode indicar sinais antecipados de falha de equipamentos. Por exemplo, quando um dispositivo não responde e pode ser desconectado, os alertas podem ser enviados com um comando PLC de parada do Siemens S7.