Мониторинг угроз OT в корпоративных центрах информационной безопасности
По мере того, как более критически важные для бизнеса отрасли преобразуют свои системы OT в цифровые ИТ-инфраструктуры, команды центра безопасности (SOC) и главные сотрудники по информационной безопасности (CISO) все чаще отвечают за угрозы из сетей OT.
Вместе с новыми обязанностями команды SOC сталкиваются с новыми проблемами, в том числе следующие.
Отсутствие опыта и знаний об ОТ-средах, в том числе об оповещениях в ОТ-средах, промышленном оборудовании, протоколах и поведении сети. Часто это приводит к тому, что команды SOC недостаточно хорошо понимают инциденты в ОТ-средах и их последствия для бизнеса.
Разрозненные и неэффективные процессы и взаимодействие между организациями ОТ и SOC.
Ограниченные технологии и средства, такие как отсутствие видимости или автоматическое исправление безопасности для сетей OT. Необходимо оценить и связать сведения между источниками данных для сетей OT, а интеграция с существующими решениями SOC может оказаться дорогостоящим.
Однако без данных OT, контекста и интеграции с существующими инструментами и рабочими процессами SOC, безопасность и операционные угрозы OT могут обрабатываться неправильно или даже не замечены.
Интеграция Defender для Интернета вещей и Microsoft Sentinel
Microsoft Sentinel — это масштабируемая облачная служба для управления событиями безопасности (SIEM) автоматического реагирования (SOAR). Команды SOC могут использовать интеграцию между Microsoft Defender для Интернета вещей и Microsoft Sentinel для сбора данных в сетях, обнаружения и исследования угроз и реагирования на инциденты.
В Microsoft Sentinel соединитель данных и решение Defender для Интернета вещей выводит встроенное содержимое безопасности в команды SOC, помогая им просматривать, анализировать и реагировать на оповещения безопасности OT и понимать созданные инциденты в более широком содержимом организационных угроз.
Установите соединитель данных Defender для Интернета вещей только для потоковой передачи оповещений сети OT в Microsoft Sentinel. Затем установите решение Microsoft Defender для Интернета вещей для дополнительных значений правил аналитики, книг и сборников схем SOAR, а также сопоставления инцидентов с методами MITRE ATT&CK для ICS.
Интеграция Defender для Интернета вещей с Microsoft Sentinel также помогает получить больше данных из других интеграции партнеров Microsoft Sentinel. Дополнительные сведения см. в статье об интеграции с службами Майкрософт и партнерами.
Примечание.
Некоторые функции Microsoft Sentinel могут нести плату. Дополнительные сведения см. в разделе "Планирование затрат" и сведения о ценах и выставлении счетов в Microsoft Sentinel.
Интегрированное обнаружение и реагирование
В следующей таблице показано, как команда OT на стороне Defender для Интернета вещей и команда SOC на стороне Microsoft Sentinel могут обнаруживать угрозы и оперативно реагировать на них по всей временной шкале атаки.
| Microsoft Sentinel | Этап | Defender для Интернета вещей |
|---|---|---|
| Активировано оповещение OT | Оповещения OT с высокой степенью достоверности, основанные на исследовательской группе безопасности Section 52 комплекса Defender для Интернета вещей, активируются на основе данных, принятых в Defender для Интернета вещей. | |
| Правила аналитики автоматически открывают инциденты только для соответствующих вариантов использования, избегая нарастания объема оповещений OT | Создание инцидента OT | |
| Команды SOC сопоставляют влияние на бизнес, включая данные о сайте, сетевой доступности, скомпрометированных ресурсах и владельцах OT | Сопоставление влияния инцидента OT на бизнес | |
| Команды SOC переносят инцидент в группу Активные и приступают к исследованию, используя сетевые подключения и события, книги и страницу сущности устройства OT | Исследование инцидента OT | Оповещения перемещаются в группу Активные, и команды OT приступают к исследованию, изучая данные PCAP, подробные отчеты и другие сведения об устройстве |
| В ответ команды SOC передают сборники схем ОТ и книги | Реагирование на инцидент OT | Команды OT либо подавляют оповещение, либо изучают его для следующего раза по мере необходимости |
| После устранения угрозы команды SOC закрывают инцидент | Закрытие инцидента OT | После устранения угрозы команды OT закрывают оповещение |
Синхронизации состояния оповещений
Изменения состояния оповещения синхронизируются только из Microsoft Sentinel в Defender для Интернета вещей, а не из Defender для Интернета вещей в Microsoft Sentinel.
Если вы интегрируете Defender для Интернета вещей с Microsoft Sentinel, рекомендуется управлять состояниями оповещений вместе с связанными инцидентами в Microsoft Sentinel.
Инциденты Microsoft Sentinel для Defender для Интернета вещей
После настройки соединителя данных Defender для Интернета вещей и потоковой передачи данных оповещений IoT/OT в Microsoft Sentinel используйте один из следующих методов для создания инцидентов на основе этих оповещений:
| Метод | Description |
|---|---|
| Использование правила соединителя данных по умолчанию | Используйте инциденты по умолчанию на основе всех оповещений, созданных в Microsoft Defender для аналитики IOT , предоставленного соединителем данных. Это правило создает отдельный инцидент в Microsoft Sentinel для каждого оповещения, передаваемого из Defender для Интернета вещей. |
| Использование встроенных правил решения | Включите некоторые или все встроенные правила аналитики, предоставляемые решением Microsoft Defender для Интернета вещей . Эти правила аналитики помогают снизить усталость от оповещений, создавая инциденты только в определенных ситуациях. Например, можно создать инциденты для чрезмерных попыток входа, но для нескольких проверок, обнаруженных в сети. |
| Создание настраиваемых правил | Создайте пользовательские правила аналитики для создания инцидентов только в соответствии с конкретными потребностями. Вы можете использовать встроенные правила аналитики в качестве отправной точки или создавать правила с нуля. Добавьте следующий фильтр, чтобы предотвратить повторяющиеся инциденты для одного и того же идентификатора оповещения: | where TimeGenerated <= ProcessingEndTime + 60m |
Независимо от способа создания оповещений следует создать только один инцидент для каждого идентификатора оповещения Defender для Интернета вещей.
Книги Microsoft Sentinel для Defender для Интернета вещей
Чтобы визуализировать и отслеживать данные Defender для Интернета вещей, используйте книги, развернутые в рабочей области Microsoft Sentinel в рамках решения Microsoft Defender для Интернета вещей.
Книги Defender для Интернета вещей предоставляют интерактивные исследования для сущностей OT на основе открытых инцидентов, уведомлений оповещений и действий для активов OT. Они также предоставляют опыт охоты в рамках платформы MITRE ATT&CK® для ICS, и предназначены для того, чтобы аналитики, инженеры по безопасности и MSSPs могли получить ситуационные сведения о состоянии безопасности OT.
Книги могут отображать оповещения по типам, серьезности, типу устройства OT или поставщику или оповещениям со временем. Книги также показывают результат сопоставления оповещений с MITRE ATT&CK для тактики ICS, а также распределение тактики по количеству и периоду времени. Например:
Сборники схем SOAR для Defender для Интернета вещей
Сборники схем — это наборы автоматических действий по исправлению, которые можно запускать из Microsoft Sentinel как подпрограммы. Сборник схем поддерживает автоматизацию и оркестрацию реагирования на угрозы. Его можно запускать вручную или автоматически в ответ на конкретные оповещения или инциденты при срабатывании правила аналитики или правила автоматизации соответственно.
Например, используйте сборники схем SOAR для следующих действий.
Открытие билета для актива в ServiceNow при обнаружении нового актива, например рабочей станции для инженеров. Это оповещение может быть несанкционированным устройством, которое может использоваться злоумышленниками для повторной подготовки PLC.
Отправка сообщения электронной почты соответствующим заинтересованным лицам при обнаружении подозрительных действий, например незапланированного перепрограммирования ПЛК. Почта может быть отправлена персоналу OT, например инженеру управления, ответственному за связанную производственную линию.
Сравнение событий, оповещений и инцидентов Defender для Интернета вещей
В этом разделе описаны различия между событиями, оповещениями и инцидентами Defender для Интернета вещей в Microsoft Sentinel. Используйте перечисленные запросы для просмотра полного списка текущих событий, оповещений и инцидентов для сетей OT.
Обычно в Microsoft Sentinel отображается больше событий Defender для Интернета вещей, чем оповещений, а также больше оповещений Defender для Интернета вещей, чем инциденты.
События Defender для Интернета вещей в Microsoft Sentinel
Каждый журнал оповещений, который передается в Microsoft Sentinel из Defender для Интернета вещей, является событием. Если журнал оповещений отражает новое или обновленное оповещение в Defender для Интернета вещей, в таблицу SecurityAlert добавляется новая запись.
Чтобы просмотреть все события Defender для Интернета вещей в Microsoft Sentinel, выполните следующий запрос в таблице SecurityAlert :
SecurityAlert
| where ProviderName == 'IoTSecurity' or ProviderName == 'CustomAlertRule'
Instead
Оповещения Defender для Интернета вещей в Microsoft Sentinel
Microsoft Sentinel создает оповещения на основе текущих правил аналитики и журналов оповещений, перечисленных в таблице SecurityAlert . Если у вас нет правил активной аналитики для Defender для Интернета вещей, Microsoft Sentinel рассматривает каждый журнал оповещений как событие.
Чтобы просмотреть оповещения в Microsoft Sentinel, выполните следующий запрос втаблице SecurityAlert :
SecurityAlert
| where ProviderName == 'ASI Scheduled Alerts' or ProviderName =='CustomAlertRule'
После установки решения Microsoft Defender для Интернета вещей и развертывания сборника схем AD4IoT-AutoAlertStatusSync изменения состояния оповещения синхронизируются с Microsoft Sentinel в Defender для Интернета вещей. Изменения состояния оповещения не синхронизированы из Defender для Интернета вещей в Microsoft Sentinel.
Важно!
Мы рекомендуем управлять состояниями оповещений вместе со связанными инцидентами в Microsoft Sentinel. Дополнительные сведения см. в статье "Работа с задачами инцидентов" в Microsoft Sentinel.
Инциденты Defender для Интернета вещей в Microsoft Sentinel
Microsoft Sentinel создает инциденты на основе правил аналитики. У вас может быть несколько оповещений, сгруппированных в одном инциденте, или у вас могут быть правила аналитики, настроенные для не создания инцидентов для определенных типов оповещений.
Чтобы просмотреть инциденты в Microsoft Sentinel, выполните следующий запрос:
SecurityIncident
Дальнейшие действия
Дополнительные сведения см. в разделе:
- Интеграция с microsoft и партнерскими службами
- Руководство по Подключение Microsoft Defender для Интернета вещей с помощью Microsoft Sentinel
- Встроенные средства обнаружения угроз в Defender для Интернета вещей
- Создание настраиваемых правил аналитики для обнаружения угроз
- Руководство. Использование сборников схем с правилами автоматизации в Microsoft Sentinel