Руководство. Исследование и обнаружение угроз для устройств Интернета вещей

Интеграция между Microsoft Defender для Интернета вещей и Microsoft Sentinel позволяет командам SOC эффективно обнаруживать угрозы безопасности в сети и реагировать на них. Повысьте возможности безопасности с помощью решения Microsoft Defender для Интернета вещей— набора пакетного содержимого, настроенного специально для данных Defender для Интернета вещей, включая правила аналитики, книги и сборники схем.

Изучив это руководство, вы:

• Установка Microsoft Defender для решения Интернета вещей в рабочей области Microsoft Sentinel
• Узнайте, как исследовать оповещения Defender для Интернета вещей в инцидентах Microsoft Sentinel
• Узнайте о правилах аналитики, книгах и сборниках схем, развернутых в рабочей области Microsoft Sentinel с помощью решения Microsoft Defender для Интернета вещей

Важно!

Интерфейс центра содержимого Microsoft Sentinel в настоящее время находится на этапе предварительной версии, как и Microsoft Defender для решения Интернета вещей. Дополнительные юридические условия, применимые к функциям Azure, которые предоставляются в бета-версии, предварительной версии или еще не выпущены в общедоступной версии по другим причинам, см. на странице Дополнительные условия использования Azure для предварительных версий в Microsoft Azure.

Предварительные требования

Перед началом работы убедитесь, что у вас есть:

• Разрешения на чтение и запись в рабочей области Microsoft Sentinel. Дополнительные сведения см. в статье Разрешения в Microsoft Sentinel.

• Завершено руководство. Подключение Microsoft Defender для Интернета вещей с помощью Microsoft Sentinel.

Установка решения "Defender для Интернета вещей"

Решения Microsoft Sentinel помогают адаптировать содержимое Microsoft Sentinel, связанное с безопасностью, для определенного соединителя данных с помощью одного процесса.

Решение Microsoft Defender для Интернета вещей интегрирует данные Defender для Интернета вещей с возможностями оркестрации, автоматизации и реагирования (SOAR) Microsoft Sentinel, предоставляя встроенные и оптимизированные сборники схем для автоматического реагирования и предотвращения.

Чтобы установить решение, выполните следующие действия.

1. В Microsoft Sentinel в разделе Управление содержимым выберите Центр содержимого, а затем найдите Microsoft Defender для решения Интернета вещей.

2. В правом нижнем углу выберите Просмотреть сведения, а затем — Создать. Выберите подписку, группу ресурсов и рабочую область, в которой необходимо установить решение, а затем просмотрите связанное содержимое системы безопасности, которое будет развернуто.

3. Когда все будет готово, выберите Просмотр и создание, чтобы установить решение.

Дополнительные сведения см. в статьях О содержимом и решениях Microsoft Sentinel и Централизованное обнаружение и развертывание стандартного содержимого и решений.

Встроенные средства обнаружения угроз в Defender для Интернета вещей

Соединитель данных Microsoft Defender для Интернета вещей включает правило безопасности Майкрософт по умолчанию с именем Создание инцидентов на основе оповещений Azure Defender для Интернета вещей, которое автоматически создает новые инциденты для всех обнаруженных оповещений Defender для Интернета вещей.

Решение Microsoft Defender для Интернета вещей включает более подробный набор готовых правил аналитики, которые создаются специально для данных Defender для Интернета вещей и точно настраивают инциденты, созданные в Microsoft Sentinel, для соответствующих оповещений.

Чтобы использовать встроенные оповещения Defender для Интернета вещей, выполните следующие действия.

1. На странице Аналитика Microsoft Sentinel найдите и отключите правило Создание инцидентов на основе Azure Defender для Интернета вещей. Этот шаг предотвращает создание повторяющихся инцидентов в Microsoft Sentinel для одинаковых оповещений.

2. Найдите и включите любое из следующих встроенных правил аналитики, установленных вместе с Microsoft Defender для решения Интернета вещей:

   Имя правила	Описание
   Недопустимые коды функций для трафика ICS/SCADA	Недопустимые коды функций в оборудовании системы контроля и сбора данных (SCADA) могут указывать на одну из таких проблем: – неправильная конфигурация приложения, например из-за обновления встроенного ПО или переустановки; – вредоносные действия. Например, угроза кибератаки, направленная на использование недопустимых значений в протоколе, чтобы воспользоваться уязвимостью в программируемом логическом контроллере (ПЛК), например, переполнение буфера.
   Обновление встроенного ПО	Неавторизованные обновления встроенного ПО могут указывать на вредоносные действия в сети, например угрозу кибератаки, при которой выполняется попытка управлять встроенным ПО ПЛК, чтобы нарушить его работу.
   Неавторизованные изменения PLC	Несанкционированные изменения в коде логики многозвенной логической схемы ПЛК могут включать в себя: – индикация новой функциональной возможности в ПЛК; – неправильная конфигурация приложения, например из-за обновления встроенного ПО или переустановки; – вредоносные действия в сети, например угроза кибератаки, при которой выполняется попытка управлять программированием ПЛК, чтобы нарушить его работу.
   Небезопасное состояние ключа ПЛК	Новый режим может указывать на то, что ПЛК не защищен. Если оставить ПЛК в незащищенном режиме работы, злоумышленники получат возможность совершать на нем вредоносные действия, например, загрузку программы. И в случае взлома ПЛК могут пострадать устройства и процессы, взаимодействующие с ним. Это может повлиять на общую надежность и безопасность системы.
   Остановка ПЛК	Команда остановки ПЛК может указывать на неправильную конфигурацию приложения, вызвавшую остановку работы ПЛК, или на вредоносную активность в сети. Например угроза кибератаки, при которой выполняется попытка управлять программированием ПЛК, чтобы нарушить работу сети.
   В сети обнаружена подозрительная вредоносная программа	Наличие в сети подозрительных вредоносных программ указывает на то, что выполняется попытка взломать рабочую среду.
   Несколько проверок в сети	Наличие нескольких проверок в сети может указывать на одну из следующих проблем: – в сеть добавлено новое устройство; – у существующего устройства появилась новая функция; – неправильная конфигурация приложения, например из-за обновления встроенного ПО или переустановки; – вредоносное действие в сети выполняется для рекогносцировки.
   Подключение к Интернету	Обмен данными ОТ-устройства с адресами в Интернете может указывать на неправильную конфигурацию приложения, например, когда антивирусное программное обеспечение пытается загрузить обновления с внешнего сервера, или на вредоносную активность в сети.
   Неавторизованное устройство в сети SCADA	Как неавторизованное устройство в сети может обозначаться авторизованное, новое устройство, недавно установленное в сети, или же это может указывать на несанкционированную или даже вредоносную активность в сети, например, угрозы кибератаки, при которых выполняется попытка управлять сетью SCADA.
   Неавторизованная конфигурация DHCP в сети SCADA	Неавторизованная конфигурация DHCP в сети может указывать на то, что в сети работает новое, неавторизованное устройство. Это может быть законное, новое устройство, недавно развернутое в сети, или признак несанкционированной или даже вредоносной активности в сети, например киберугрыш, пытающийся манипулировать сетью SCADA.
   Чрезмерное количество попыток входа	Чрезмерное количество попыток входа может указывать на неправильную конфигурацию службы, человеческую ошибку или вредоносную активность в сети, например, угрозы кибератаки, при которых выполняется попытка управлять сетью SCADA.
   Высокая пропускная способность в сети	Необычно высокая пропускная способность может быть признаком наличия в сети новой службы/процесса, например, резервного копирования, или признаком вредоносной активности в сети, например, угрозы кибератаки, при которых выполняется попытка управлять сетью SCADA.
   Отказ в обслуживании	Это предупреждение фиксирует атаки, которые могут помешать использованию или надлежащей работе системы DCS.
   Несанкционированный удаленный доступ к сети	Несанкционированный удаленный доступ к сети может привести к нарушению безопасности целевого устройства. Это означает, что если другое устройство в сети будет взломано, к целевым устройствам можно будет получить удаленный доступ, что увеличит площадь атаки.
   Трафик на датчике не обнаружен	Датчик, который больше не обнаруживает сетевой трафик, указывает на то, что система может быть небезопасной.

Изучение инцидентов Defender для Интернета вещей

Настроив данные Defender для Интернета вещей для активации новых инцидентов в Microsoft Sentinel, начните исследовать эти инциденты в Microsoft Sentinel , как и другие инциденты.

Чтобы изучить Microsoft Defender инцидентов Интернета вещей, выполните приведенные далее действия.

1. В Microsoft Sentinel перейдите на страницу Инциденты .

2. Над сеткой инцидентов выберите фильтр Название продукта и снимите флажок Выбрать все . Затем выберите Microsoft Defender для Интернета вещей, чтобы просмотреть только инциденты, активированные оповещениями Defender для Интернета вещей. Пример:

   

3. Выберите конкретный инцидент, чтобы начать исследование.

   В области сведений об инциденте справа просмотрите такие сведения, как серьезность инцидента, сводка задействованных сущностей, все сопоставленные тактики и методы MITRE ATT&CK и многое другое. Пример:

   

4. Выберите Просмотр полных сведений , чтобы открыть страницу сведений об инциденте, где можно детализировать дополнительные сведения. Пример:

   • Изучите влияние инцидента на бизнес и физическое расположение, используя такие сведения, как сайт, зона, имя датчика и важность устройства Интернета вещей.

   • Узнайте о рекомендуемых шагах по исправлению, выбрав оповещение в временная шкала инцидента и просмотрев раздел Действия по исправлению.

   • Выберите сущность устройства Интернета вещей из списка Сущности , чтобы открыть страницу сущности устройства. Дополнительные сведения см. в разделе Дальнейшее изучение сущностей устройств Интернета вещей.

Дополнительные сведения см. в разделе Исследование инцидентов с помощью Microsoft Sentinel.

Совет

Чтобы исследовать инцидент в Defender для Интернета вещей, щелкните ссылку Исследовать в Microsoft Defender для Интернета вещей в верхней части области сведений об инциденте на странице Инциденты.

Дополнительные сведения о сущностях устройств Интернета вещей

При расследовании инцидента в Microsoft Sentinel и открытии области сведений об инциденте справа выберите сущность устройства Интернета вещей из списка Сущности , чтобы просмотреть дополнительные сведения о выбранной сущности. Определите устройство Интернета вещей с помощью значка устройства Интернета вещей:

Если сущность устройства Интернета вещей не отображается сразу, выберите Просмотреть все сведения, чтобы открыть полную страницу инцидента, а затем проверка вкладке Сущности. Выберите сущность устройства Интернета вещей, чтобы просмотреть дополнительные данные сущности, такие как основные сведения об устройстве, контактные данные владельца и временная шкала событий, произошедших на устройстве.

Чтобы еще больше детализировать данные, щелкните ссылку на сущность устройства Интернета вещей и откройте страницу сведений об сущности устройства или найдите уязвимые устройства на странице поведение сущности Microsoft Sentinel. Например, просмотрите пять основных устройств Интернета вещей с наибольшим количеством оповещений или выполните поиск устройства по IP-адресу или имени устройства:

Дополнительные сведения см. в разделах Исследование сущностей с помощью страниц сущностей в Microsoft Sentinel и Исследование инцидентов с помощью Microsoft Sentinel.

Изучение оповещения в Defender для Интернета вещей

Чтобы открыть оповещение в Defender для Интернета вещей для дальнейшего изучения, включая возможность доступа к данным PCAP оповещений, перейдите на страницу сведений об инциденте и выберите Исследовать в Microsoft Defender для Интернета вещей. Пример:

Откроется страница сведений об оповещении Defender для Интернета вещей для соответствующего оповещения. Дополнительные сведения см. в статье Анализ сетевых оповещений OT и реагирование на них.

Визуализация и отслеживание данных Defender для Интернета вещей

Чтобы визуализировать и отслеживать данные Defender для Интернета вещей, используйте книги, развернутые в рабочей области Microsoft Sentinel, в составе решения Microsoft Defender для Интернета вещей.

Книги Defenders для Интернета вещей предоставляют интерактивные исследования сущностей OT на основе открытых инцидентов, уведомлений об оповещениях и действий для ресурсов OT. Кроме того, с их помощью можно выполнять охоту с использованием платформы MITRE ATT&CK® для ICS. Они помогают аналитикам, инженерам систем безопасности и поставщикам управляемых услуг по обеспечению безопасности изучать состояние безопасности ОТ-сред.

Просмотрите книги в Microsoft Sentinel на вкладке Управление угрозами > Книги > Мои книги. Дополнительные сведения см. в статье Визуализация собранных данных.

В следующей таблице описаны книги, включенные в Microsoft Defender для решения Интернета вещей:

Книга	Описание	Журналы
Обзор	Панель мониторинга, отображающая сводку ключевых метрик для инвентаризации устройств, обнаружения угроз и уязвимостей.	Использует данные из azure Resource Graph (ARG)
Инвентаризация устройств	Отображает такие данные, как имя устройства OT, тип, IP-адрес, mac-адрес, модель, ОС, серийный номер, поставщик, протоколы, открытые оповещения, cvEs и рекомендации для каждого устройства. Можно отфильтровать по сайту, зоне и датчику.	Использует данные из azure Resource Graph (ARG)
Инциденты	Здесь отображаются такие данные: – метрики инцидентов, самые частые инциденты, инциденты с течением времени, инциденты по протоколам, инциденты по типам устройств, инциденты по поставщикам и инциденты по IP-адресам; – списки инцидентов по степени серьезности, среднему времени реагирования на инцидент, среднему времени устранения инцидента и причинах закрытия инцидента.	Использует данные из следующего журнала: SecurityAlert
Оповещения	Отображает такие данные, как Метрики оповещений, Основные оповещения, Оповещение с течением времени, Оповещение по серьезности, Оповещение по подсистеме, Оповещение по типу устройства, Оповещение по поставщику и Оповещение по IP-адресу.	Использует данные из azure Resource Graph (ARG)
MITRE ATT&CK® для ICS	Отображает такие данные, как: количество тактик, подробные сведения о тактике, количество тактик за определенное время, количество техник.	Использует данные из следующего журнала: SecurityAlert
уязвимости.	Отображает уязвимости и CVE для уязвимых устройств. Может быть отфильтрован по сайту устройства и серьезности CVE.	Использует данные из azure Resource Graph (ARG)

Автоматизация реагирования на оповещения Defender для Интернета вещей

Сборники схем — это коллекции автоматических действий по исправлению, которые можно выполнять из Microsoft Sentinel в качестве подпрограммы. Сборник схем может помочь автоматизировать и оркестрировать реагирование на угрозы. При активации правилом аналитики или правилом автоматизации он может вручную или автоматически запускаться в ответ на конкретные оповещения или инциденты соответственно.

Microsoft Defender для решения Интернета вещей включает встроенные сборники схем, которые предоставляют следующие функциональные возможности:

• Автоматическое закрытие инцидентов
• Отправка Уведомления по электронной почте по производственной линии
• Создание запроса в ServiceNow
• Обновление состояний оповещений в Defender для Интернета вещей
• Автоматизация рабочих процессов для инцидентов с активными cvEs
• Отправка электронной почты владельцу устройства Интернета вещей или OT
• Рассмотрение инцидентов с участием очень важных устройств

Прежде чем использовать встроенные сборники схем, обязательно выполните необходимые действия, перечисленные ниже.

Дополнительные сведения см. в разделе:

• Учебник. Использование сборников схем с правилами автоматизации в Microsoft Sentinel
• Автоматизация реагирования на угрозы с помощью сборников схем в Microsoft Sentinel

Предварительные требования к сборнику схем

Прежде чем использовать встроенные сборники схем, убедитесь, что вы выполнили следующие предварительные требования для каждого сборника схем.

• Проверка допустимых подключений к сборнику схем
• Добавление необходимой роли в подписку
• Подключение инцидентов, соответствующих правил аналитики и сборника схем

Проверка допустимых подключений к сборнику схем

Эта процедура гарантирует, что каждый шаг подключения в сборнике схем имеет допустимые подключения и является обязательным для всех сборников схем решений.

Чтобы обеспечить допустимые подключения, выполните приведенные далее действия.

1. В Microsoft Sentinel откройте сборник схем из раздела Автоматизация>Активные сборники схем.

2. Выберите сборник схем, чтобы открыть его как приложение логики.

3. В открытом в качестве приложения логики сборнике схем выберите Конструктор приложений логики. Разверните каждый шаг в приложении логики, чтобы проверка недопустимых подключений, которые обозначены оранжевым предупреждающим треугольником. Пример:

   

   Важно!

   Обязательно разверните каждый шаг в приложении логики. Недопустимые подключения могут скрываться в других шагах.

4. Щелкните Сохранить.

Добавление необходимой роли в подписку

Эта процедура описывает, как добавить требуемую роль в подписку Azure, в которой установлен сборник схем, и требуется только для следующих сборников схем:

• AD4IoT-AutoAlertStatusSync
• AD4IoT-CVEAutoWorkflow
• AD4IoT-SendEmailtoIoTOwner
• AD4IoT-AutoTriageIncident

Требуемые роли различаются для каждого сборника схем, но шаги остаются неизменными.

Чтобы добавить требуемую роль в подписку:

1. В Microsoft Sentinel откройте сборник схем из раздела Автоматизация>Активные сборники схем.

2. Выберите сборник схем, чтобы открыть его как приложение логики.

3. После открытия сборника схем в качестве приложения логики выберите Удостоверение> Назначаемое системой, а затем в области Разрешения нажмите кнопку Назначения ролей Azure.

4. На странице Назначения ролей Azure выберите Добавить назначение ролей.

5. В области Добавление назначения ролей выполните приведенные ниже действия.

   1. Определите область как подписку.

   2. В раскрывающемся списке выберите подписку , в которой установлен сборник схем.

   3. В раскрывающемся списке Роль выберите одну из следующих ролей в зависимости от сборника схем, с которым вы работаете:

      Имя сборника схем	Роль
      AD4IoT-AutoAlertStatusSync	администратор безопасности;
      AD4IoT-CVEAutoWorkflow	Читатель
      AD4IoT-SendEmailtoIoTOwner	Читатель
      AD4IoT-AutoTriageIncident	Читатель

6. Когда все будет готово, нажмите кнопку Сохранить.

Подключение инцидентов, соответствующих правил аналитики и сборника схем

В этой процедуре описывается, как настроить правило аналитики Microsoft Sentinel для автоматического запуска сборников схем на основе триггера инцидента и требуется для всех сборников схем решения.

Чтобы добавить правило аналитики, выполните следующие действия.

1. В Microsoft Sentinel перейдите враздел Правила автоматизации>.

2. Чтобы создать новое правило автоматизации, выберите Создать>правило автоматизации.

3. В поле Триггер выберите один из следующих триггеров в зависимости от сборника схем, с которым вы работаете:

   • Сборник схем AD4IoT-AutoAlertStatusSync: выбор триггера При обновлении инцидента
   • Все остальные сборники схем решений: выберите триггер При создании инцидента .

4. В области Условия выберите Если > Имя правила аналитики > Содержит, а затем выберите конкретные аналитические правила, относящиеся к Defender для Интернета вещей в вашей организации.

   Пример:

   

   Вы можете использовать готовые аналитические правила, изменить готовое содержимое или создать собственное. Дополнительные сведения см. в разделе Встроенные средства обнаружения угроз в Defender для Интернета вещей.

5. В области Действия выберите Run playbook playbookname (Запустить сборник схем>).

6. Выберите Запуск.

Совет

Вы также можете вручную запустить сборник схем по запросу. Это может быть полезно в ситуациях, когда требуется больший контроль над процессами оркестрации и реагирования. Дополнительные сведения см. в статье Запуск сборника схем по запросу.

Автоматическое закрытие инцидентов

Имя сборника схем: AD4IoT-AutoCloseIncidents

В некоторых случаях действия по обслуживанию генерируют предупреждения в Microsoft Sentinel, которые могут отвлечь команду SOC от решения реальных проблем. Этот сборник схем автоматически закрывает инциденты, созданные на основе таких оповещений в течение указанного периода обслуживания, явно анализируя поля сущности устройства IoT.

Как использовать этот сборник схем:

• Введите соответствующий период времени, когда ожидается проведение технического обслуживания, и IP-адреса любых соответствующих ресурсов, например, перечисленных в файле Excel.
• Создайте список наблюдения, включающий в себя IP-адреса актива, по которым оповещения должны обрабатываться автоматически.

Отправка Уведомления по электронной почте по производственной линии

Имя сборника схем: AD4IoT-MailByProductionLine

Этот сборник схем отправляет почту для уведомления определенных заинтересованных лиц о предупреждениях и событиях, происходящих в вашей среде.

Например, если у вас есть специальные команды по безопасности, отвечающие за конкретные линейки продуктов или географические расположения, вы можете захотеть, чтобы эти команды получали уведомления об оповещениях, относящихся к их обязанностям.

Чтобы воспользоваться этим сборником схем, создайте список наблюдения, в котором будут сопоставлены имена датчиков и почтовые адреса всех заинтересованных лиц, которых вы хотите оповещать.

Создание запроса в ServiceNow

Имя сборника схем: AD4IoT-NewAssetServiceNowTicket

Как правило, сущность, которой разрешено программировать ПЛК, — это рабочая станция проектирования. Следовательно, злоумышленники могут попытаться создать рабочие станции проектирования, чтобы иметь возможность выполнять вредоносное программирование ПЛК.

Этот сборник схем создает запрос в ServiceNow при каждом обнаружении новой рабочей станции проектирования, выполняя явный синтаксический анализ полей сущности устройства IoT.

Обновление состояний оповещений в Defender для Интернета вещей

Имя сборника схем: AD4IoT-AutoAlertStatusSync

Этот сборник схем обновляет состояния оповещений в Defender для Интернета вещей всякий раз, когда обновляется состояние связанного оповещения в Microsoft Sentinel.

Эта синхронизация переопределяет любое состояние, определенное в Defender для Интернета вещей, на портале Azure или консоли датчика, чтобы состояния оповещений соответствовали состоянию связанного инцидента.

Автоматизация рабочих процессов для инцидентов с активными cvEs

Имя сборника схем: AD4IoT-CVEAutoWorkflow

Этот сборник схем добавляет активные cvEs в комментарии к инцидентам затронутых устройств. Автоматическая проверка выполняется, если CVE является критически важным, а владельцу устройства отправляется уведомление по электронной почте, как определено на уровне сайта в Defender для Интернета вещей.

Чтобы добавить владельца устройства, измените владельца сайта на странице Сайты и датчики в Defender для Интернета вещей. Дополнительные сведения см. в разделе Параметры управления сайтом из портал Azure.

Отправка электронной почты владельцу устройства IoT/OT

Имя сборника схем: AD4IoT-SendEmailtoIoTOwner

Этот сборник схем отправляет владельцу устройства сообщение электронной почты с подробными сведениями об инциденте, как определено на уровне сайта в Defender для Интернета вещей, чтобы он смог начать исследование, даже отвечая непосредственно из автоматического сообщения электронной почты. Варианты ответа:

• Да, это ожидаемое. Выберите этот параметр, чтобы закрыть инцидент.

• Нет, это НЕ ожидается. Выберите этот параметр, чтобы сохранить инцидент активным, повысить серьезность и добавить в инцидент тег подтверждения.

Инцидент автоматически обновляется на основе ответа, выбранного владельцем устройства.

Чтобы добавить владельца устройства, измените владельца сайта на странице Сайты и датчики в Defender для Интернета вещей. Дополнительные сведения см. в разделе Параметры управления сайтом из портал Azure.

Рассмотрение инцидентов с участием очень важных устройств

Имя сборника схем: AD4IoT-AutoTriageIncident

Этот сборник схем обновляет серьезность инцидента в соответствии с уровнем важности участвующих устройств.

Дальнейшие действия

Визуализируйте данные

Создание пользовательских правил аналитики

Исследование инцидентов

Анализ сущностей

Использование сборников схем с правилами автоматизации

Дополнительные сведения см. в нашем блоге Защита критической инфраструктуры с помощью Microsoft Sentinel: РЕШЕНИЕ для мониторинга угроз ДЛЯ ИТ/OT