IoT için Microsoft Defender nasıl çalışır?

  • 3 dakika

Bu ünitede IoT için Microsoft Defender'ın arka planda nasıl çalıştığını açıklayacağız.

Esnek dağıtım

IoT için Defender birden çok ve esnek dağıtım çözümünü destekler:

  • Bulut dağıtımları: Fiziksel veya sanal gereçlere dağıtılan OT algılayıcıları, Azure portalında IoT için Defender'a bağlanır. Algılayıcılarınızı ve algılayıcı verilerinizi yönetmek ve Microsoft Sentinel gibi diğer Microsoft hizmetleri tümleştirmek için Azure portalını kullanın.
  • Havayla eşlenen ağlar: IoT için Defender'ı tamamen şirket içinde dağıtın ve bir şirket içi güvenlik bilgileri ve olay yönetimi (SIEM) sistemine bağlanın. Microsoft Sentinel ile doğrudan veya Splunk, IBM QRadar ve ServiceNow gibi çeşitli iş ortağı SOC araçlarıyla tümleştirebilirsiniz.
  • Karma dağıtımlar: Hibrit bir ortamda çalışmak için şirket içi algılayıcılarınızı yerel olarak yönetebilir ve Microsoft Sentinel gibi bulut tabanlı bir SIEM'e bağlanmaya devam edebilirsiniz.

IoT için Defender algılayıcıları

IoT için Defender algılayıcıları şirket içinde sanal veya fiziksel gereç olarak dağıtılır. Ağ cihazlarını keşfedip sürekli izler ve endüstriyel kontrol sistemi (ICS) ağ trafiğini toplar.

Algılayıcılar IoT/OT cihazları için pasif veya aracısız izleme kullanır. Algılayıcılar, IoT/OT ağ trafiğinde derin paket incelemesi çalıştırmak için bir SPAN bağlantı noktasına veya ağ TAP'sine bağlanır.

Tüm veri toplama, işleme, analiz ve uyarı alma işlemleri doğrudan algılayıcı makinesinde gerçekleşir ve bu da süreci düşük bant genişliğine veya yüksek gecikme süreli bağlantıya sahip konumlar için ideal hale getirir. Yalnızca meta veriler yönetim için Azure portalına aktarılır.

Aşağıdaki görüntüde, algılayıcı konsolundaki Uyarılar sayfasından örnek bir ekran görüntüsü gösterilmektedir. Bu algılayıcıya bağlı cihazlar tarafından tetiklenen uyarıları gösterir.

Screenshot that shows a sensor console Alerts page.

IoT için Defender makine öğrenmesi altyapıları

IoT için Defender'daki kendi kendine öğrenme veya makine öğrenmesi altyapıları, imzaları güncelleştirme veya kuralları tanımlama gereksinimini ortadan kaldırır. IoT için Defender altyapıları, OT ağ trafiğini sürekli olarak analiz etmek için ICS'ye özgü davranış analizi ve veri bilimi kullanır:

  • Anomali.
  • Malware.
  • operasyonel sorunlar.
  • Protokol ihlalleri.
  • Temel ağ etkinliği sapmaları.

IoT için Defender algılayıcıları ayrıca hem gerçek zamanlı hem de önceden kaydedilmiş trafiğin analizine göre uyarıları tetikleyen beş analiz algılama altyapısı içerir:

  • İlke ihlali algılama altyapısı: Belirli işlev kodlarının yetkisiz kullanımı, belirli nesnelere erişim veya cihaz yapılandırmasındaki değişiklikler gibi temel davranış sapmaları konusunda uyarı almak için makine öğrenmesini kullanır. Örnek olarak DeltaV yazılım sürümü değiştirildi, üretici yazılımı değişiklikleri ve yetkisiz PLC programlama uyarıları verilebilir.
  • Protokol ihlali algılama altyapısı: ICS protokol belirtimlerini ihlal eden paket yapılarının ve alan değerlerinin kullanımını tanımlar. Örnek olarak Modbus özel durumları ve eski işlev kodu uyarılarının başlatılması verilebilir.
  • Kötü amaçlı yazılım algılama altyapısı: Bilinen endüstriyel kötü amaçlı yazılımların varlığını gösteren davranışları tanımlar. Örnek olarak Conficker, Black Energy, Havex, WannaCry, NotPetya ve Triton verilebilir.
  • Anomali algılama altyapısı: Olağan dışı makineden makineye iletişimleri ve davranışları algılar. Buna örnek olarak aşırı SMB oturum açma denemeleri veya PLC taramaları verilebilir.
  • İşletimsel olay algılama altyapısı: Ekipman arızasının erken belirtilerini gösterebilen aralıklı bağlantı gibi operasyonel sorunları algılar. Örneğin, bir cihaz yanıt vermediğinde ve bağlantısı kesildiğinde, Siemens S7 stop PLC komutuyla uyarılar gönderilebilir.