你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

教程:调查和检测 IoT 设备的威胁

Microsoft Defender for IoT 和 Microsoft Sentinel 之间的集成使 SOC 团队能够高效地检测和响应跨网络的安全威胁。 使用 Microsoft Defender for IoT 解决方案增强安全功能,该解决方案是一组专为 Defender for IoT 数据配置的捆绑内容,其中包括分析规则、工作簿和 playbook。

在本教程中,你将了解:

  • 在 Microsoft Sentinel 工作区中安装 Microsoft Defender for IoT 解决方案
  • 了解如何调查 Microsoft Sentinel 事件中的 Defender for IoT 警报
  • 了解部署到采用了 Microsoft Defender for IoT 解决方案的 Microsoft Sentinel 工作区的分析规则、工作簿和 playbook

重要

Microsoft Sentinel 内容中心体验目前处于预览阶段,Microsoft Defender for IoT 解决方案也是如此。 请参阅 Microsoft Azure 预览版的补充使用条款,了解适用于 beta 版、预览版或其他尚未正式发布的 Azure 功能的其他法律条款。

先决条件

在开始之前,请确保已做好以下准备:

安装 Defender for IoT 解决方案

Microsoft Sentinel 解决方案可以帮助你在单个过程中为特定数据连接器加入 Microsoft Sentinel 安全内容。

Microsoft Defender for IoT 解决方案将 Defender for IoT 数据与 Microsoft Sentinel 的安全业务流程、自动化和响应 (SOAR) 功能集成,通过现成的和优化的 playbook 来实现自动化响应和防护功能。

若要安装解决方案:

  1. 请在 Microsoft Sentinel 的“内容管理”下选择“内容中心”,然后找到“Microsoft Defender for IoT”解决方案。

  2. 在右下方,选择“查看详细信息”,然后选择“创建”。 选择要安装解决方案的订阅、资源组和工作区,然后查看将要部署的相关安全内容。

  3. 完成后,选择“查看 + 创建”来安装解决方案。

有关更多信息,请参阅关于 Azure Sentinel 内容和解决方案集中发现和部署现成可用的内容和解决方案

借助 Defender for IoT 直接检测威胁,无需任何繁琐配置

Microsoft Defender for IoT 数据连接器包含名为“基于 Azure Defender for IOT 警报创建事件”的默认 Microsoft 安全规则,该规则会自动为检测到的任何新 Defender for IoT 警报创建新事件。

Microsoft Defender for IoT 解决方案包括一组更详细的现成分析规则,这些规则专为 Defender for IoT 数据建立,并针对相关警报微调 Microsoft Sentinel 中创建的事件。

若要使用现成的 Defender for IoT 警报,请执行以下操作:

  1. 请在 Microsoft Sentinel“分析”页上搜索并禁用“基于 Azure Defender for IOT 警报创建事件”规则。 此步骤可防止在 Microsoft Sentinel 中为相同警报创建重复事件。

  2. 搜索并启用以下任何现成分析规则,这些规则是随 Microsoft Defender for IoT 解决方案一起安装的:

    规则名称 说明
    ICS/SCADA 通信量的函数代码是非法的 监督控制和数据收集(SCADA)设备中的非法功能代码可能指示以下其中一项:

    - 不正确的应用程序配置,例如由于固件更新或重新安装。
    - 恶意活动。 例如,网络威胁试图使用协议中的非法值来利用可编程逻辑控制器中 (PLC) 的漏洞,例如缓冲区溢出。
    固件更新 未经授权的固件更新可能表明网络上存在恶意活动,例如网络威胁试图操纵 PLC 固件以破坏 PLC 功能。
    未经授权的 PLC 更改 对 PLC 阶梯逻辑代码的未经授权的更改可能是以下项之一:

    - PLC 中增加了新功能。
    - 应用程序配置不正确,例如由于固件更新或重新安装。
    - 网络上存在恶意活动,例如,尝试操作 PLC 编程以破坏 PLC 功能的网络威胁。
    PLC 的密钥状态不安全 新模式可能表明 PLC 并不安全。 使 PLC 处于不安全的运行模式可能让对手有机会对其执行恶意活动,例如程序下载。

    如果 PLC 被破坏,则与之交互的设备和进程可能会受到影响。 这可能会影响系统的整体安全性和安全性。
    PLC 停止 PLC 停止命令可能表示应用程序的不正确配置导致了 PLC 停止运行,或表示网络上存在恶意活动。 例如,一种网络威胁尝试操作 PLC 编程来影响网络的功能。
    在网络中发现可疑恶意软件 在网络上发现的可疑恶意软件表明,可疑的恶意软件正试图破坏生产。
    网络中的多个扫描 网络上的多次扫描可能指示以下项之一:

    - 网络上的新设备
    - 现有设备的新功能
    - 应用程序配置错误,例如固件更新或重新安装
    - 网络上用于侦察的恶意活动
    Internet 连接 与 Internet 地址通信的 OT 设备可能表示应用程序配置不正确,例如试图从外部服务器下载更新的杀毒软件,或网络上的恶意活动。
    SCADA 网络中未经授权的设备 网络上的未经授权设备可能是合法的,最近网络上安装的新设备,也可能表示网络上存在未经授权甚至是恶意的活动,例如试图操纵 SCADA 网络的网络威胁。
    SCADA 网络中存在未经授权的 DHCP 配置 网络上未经授权的 DHCP 配置可能指示在网络上运行的新的、未经授权的设备。

    该设备可能是最近在网络上部署的合法新设备,也可能表示网络上存在未经授权甚至是恶意的活动,例如试图操纵 SCADA 网络的网络威胁。
    登录尝试次数过多 登录尝试次数过多可能表明网络上的服务配置不正确、人为错误或恶意活动,例如企图操控 SCADA 网络的网络威胁。
    网络中的高带宽 特别高的带宽可能表明网络上有新的服务/进程(例如备份),或表明网络上有恶意活动,比如尝试操作 SCADA 网络的网络威胁。
    拒绝服务 此警报检测会阻止使用或正确操作 DCS 系统的攻击。
    对网络的未经授权的远程访问 对网络进行未经授权的远程访问可能会损害目标设备。

    这意味着,如果网络上的另一台设备被破坏,则可以远程访问目标设备,从而增大攻击面。
    传感器上未检测到流量 传感器不再检测到网络流量,表明系统可能不安全。

调查 Defender for IoT 事件

将 Defender for IoT 数据配置为在 Microsoft Sentinel 中触发新事件后,开始调查 Microsoft Sentinel 中的这些事件,就像调查其他事件一样

若要调查 Microsoft Defender for IoT 事件:

  1. 请在 Microsoft Sentinel 中转到“事件”页。

  2. 请在事件网格上方选择“产品名称”筛选器,并清除“全选”选项。 然后选择“Microsoft Defender for IoT”,以便仅查看由 Defender for IoT 警报触发的事件。 例如:

    Screenshot of filtering incidents by product name for Defender for IoT devices.

  3. 若要开始调查,请选择一个特定的事件。

    在右侧的事件详细信息窗格中,查看事件严重性、所涉及的实体摘要、任何映射的 MITRE ATT&CK 策略或技术等详细信息。 例如:

    Screenshot of a Microsoft Defender for IoT incident in Microsoft Sentinel.

  4. 选择“查看完整详细信息”以打开事件详细信息页面,你可以在其中进行更深入的了解。 例如:

    • 通过 IoT 设备的站点、区域、传感器名称和设备重要性等详细信息了解事件的业务影响和物理位置。

    • 通过在事件时间线中选择警报并查看“修正步骤”区域,了解建议的修正步骤。

    • 从“实体”列表中选择 IoT 设备实体,以打开其设备实体页面。 有关详细信息,请参阅进一步调查 IoT 设备实体

有关详细信息,请参阅通过 Microsoft Sentinel 调查事件

提示

若要调查 Defender for IoT 中的事件,请选择“事件”页面的“事件详细信息”窗格顶部的“调查 Microsoft Defender for IoT”链接。

进一步调查 IoT 设备实体

在 Microsoft Sentinel 中调查事件并在右侧打开“事件详细信息”窗格时,从“实体”列表中选择 IoT 设备实体,以查看有关所选实体的更多详细信息。 通过 IoT 设备图标确定 IoT 设备:

如果未立即显示 IoT 设备实体,请选择“查看完整详细信息”以打开完整的事件页面,然后勾选“实体”选项卡。选择 IoT 设备实体以查看更多实体数据,例如基本设备详细信息、所有者联系人信息,以及设备上发生的事件的时间线。

若要进一步深入了解,请选择 IoT 设备实体链接并打开“设备实体详细信息”页面,或在 Microsoft Sentinel“实体行为”页面中查找易受攻击的设备。 例如,查看警报数量最多的前五个 IoT 设备,或按 IP 地址或设备名称搜索设备:

Screenshot of IoT devices by number of alerts on entity behavior page.

有关详细信息,请参阅通过 Microsoft Sentinel 中的实体页面调查实体通过 Microsoft Sentinel 调查事件

在 Defender for IoT 中调查警报

要在 Defender for IoT 中打开警报以进行进一步调查(包括访问警报 PCAP 数据的功能),请转到事件详细信息页,然后选择“在 Microsoft Defender for IoT 中调查”。 例如:

Screenshot of the Investigate in Microsoft Defender for IoT option.

此时会打开相关警报的 Defender for IoT 警报详细信息页。 有关详细信息,请参阅调查和响应 OT 网络警报

可视化和监视 Defender for IoT 数据

若要可视化和监视 Defender for IoT 数据,请将部署到 Microsoft Sentinel 工作区的工作簿用作 Microsoft Defender for IoT 解决方案的一部分。

Defender for IoT 工作簿根据公开事件、警报通知和 OT 资产的活动为 OT 实体提供有指导意义的调查。 他们还为 ICS 的 MITRE ATT&CK® 框架提供了搜寻体验,旨在使分析师、安全工程师和 MSSP 能够了解 OT 安全状况。

在 Microsoft Sentinel 中的“威胁管理”>“工作簿”>“我的工作簿”选项卡中查看工作簿。有关详细信息,请参阅可视化收集的数据

下表介绍了 Microsoft Defender for IoT 解决方案中包含的工作簿:

工作簿 说明 日志
概述 仪表板显示设备清单、威胁检测和漏洞的关键指标摘要。 使用 Azure Resource Graph (ARG) 中的数据
设备清单 显示数据,例如:OT 设备名、类型、IP 地址、Mac 地址、模型、OS、序列号、供应商、协议、公开警报以及 CVE 和每个设备的建议。 可以按站点、区域和传感器进行筛选。 使用 Azure Resource Graph (ARG) 中的数据
事件 显示如下数据:

- 事件指标、最高事件、随时间发生的事件、按协议划分的事件、按设备类型划分的事件、按供应商划分的事件以及按 IP 地址划分的事件。

- 按严重性划分的事件,事件平均响应时间,事件平均解决时间和事件关闭原因。
使用以下日志中的数据:SecurityAlert
警报 显示数据,例如:警报指标、最高警报、随时间发出的警报、按严重程度划分的警报、按引擎划分的警报、按设备类型划分的警报、按供应商划分的警报和按 IP 地址划分的警报。 使用 Azure Resource Graph (ARG) 中的数据
适用于 ICS 的 MITRE ATT&CK® 显示数据,如:策略计数、策略细节、策略随时间的变化、技术计数。 使用以下日志中的数据:SecurityAlert
漏洞 显示易受攻击设备的漏洞和 CVE。 可以按设备站点和 CVE 严重性进行筛选。 使用 Azure Resource Graph (ARG) 中的数据

自动响应 Defender for IoT 警报

Playbook 是可以作为例程从 Microsoft Sentinel 运行的自动修正操作集合。 playbook 可以帮助自动执行和协调威胁响应;可以手动运行或设置为自动运行以响应特定警报或事件(当由分析规则或自动化规则触发时)。

Microsoft Defender for IoT 解决方案包括现成的 playbook,这些 playbook 可提供以下功能:

在使用现成 playbook 之前,请确保执行以下列出的的先决条件步骤。

有关详细信息,请参阅:

Playbook 先决条件

在使用现成 playbook 之前,请务必根据每个 playbook 的需要执行以下先决条件:

确保有效的 playbook 连接

此过程有助于确保 playbook 中的每个连接步骤都具有有效连接,并且对于所有解决方案 playbook 都是必需的。

若要确保有效的连接:

  1. 请在 Microsoft Sentinel 中,从“自动化”>“可用 playbook”中打开 playbook。

  2. 选择 playbook,将其作为逻辑应用打开。

  3. 将 playbook 作为逻辑应用打开后,选择“逻辑应用设计器”。 展开逻辑应用中的每个步骤来检查无效连接,这些连接由橙色三角形警告予以指示。 例如:

    Screenshot of the default AD4IOT AutoAlertStatusSync playbook.

    重要

    请确保在逻辑应用中展开每个步骤。 无效连接可能隐藏在其他步骤中。

  4. 选择“保存”。

将所需角色添加到订阅

此过程介绍如何将所需角色添加到安装了 playbook 的 Azure 订阅,并且仅以下 playbook 需要:

每个 playbook 所需的角色不同,但步骤保持不变。

若要将所需角色添加到订阅:

  1. 请在 Microsoft Sentinel 中,从“自动化”>“可用 playbook”中打开 playbook。

  2. 选择 playbook,将其作为逻辑应用打开。

  3. 将 playbook 作为逻辑应用打开后,选择“标识”>“系统分配”,然后在“权限”区域中,选择“Azure 角色分配”按钮。

  4. 在“Azure 角色分配”页中,选择“添加角色分配”。

  5. 在“添加角色分配”窗格中:

    1. 请将“范围”定义为“订阅”。

    2. 请从下拉列表中,选择安装了 playbook 的“订阅”。

    3. 请从“角色”下拉列表中选择以下角色之一,具体取决于你使用的 playbook:

      Playbook 名称 角色
      AD4IoT-AutoAlertStatusSync 安全管理员
      AD4IoT-CVEAutoWorkflow 读者
      AD4IoT-SendEmailtoIoTOwner 读者
      AD4IoT-AutoTriageIncident 读者
  6. 完成后,选择“保存”。

连接事件、相关分析规则和 playbook

此过程介绍如何配置 Microsoft Sentinel 分析规则,以便根据事件触发器自动运行 playbook,且该规则是所有解决方案 playbook 都需要的。

若要添加分析规则:

  1. 请在 Microsoft Sentinel 中,转到“自动化”>“自动化规则”。

  2. 若要创建新的自动化规则,请选择“创建”>“自动化”规则。

  3. 请在“触发器”字段中选择以下触发器之一,具体取决于你使用的 playbook:

    • AD4IoT-AutoAlertStatusSync playbook:选择“更新事件时”触发器
    • 所有其他解决方案 playbook:选择“创建事件时”触发器
  4. 在“条件”区域中,选择“如果 > 分析规则名称 > 包含”,然后选择与组织中 Defender for IoT 相关的特定分析规则。

    例如:

    Screenshot of a Defender for IoT alert status sync automation rule.

    你可能正在使用现成的分析规则、可能已修改现成的内容,或创建了自己的规则。 有关详细信息,请参阅借助 Defender for IoT 数据直接检测威胁

  5. 请在“操作”区域中选择“运行 playbook”>“playbook 名称”。

  6. 选择“运行”。

提示

也可以按需手动运行 playbook。 这在需要对业务流程和响应过程进行更多控制的情况下非常有用。 有关详细信息,请参阅按需运行 playbook

自动关闭事件

剧本名称:AD4IoT-AutoCloseIncidents

在某些情况下,维护活动会在 Microsoft Sentinel 中生成警报,这可能会分散 SoC 团队处理实际问题的注意力。 该剧本会在指定的维护期间自动关闭由此类警报创建的事件,并显式解析 IoT 设备实体字段。

要使用此剧本:

  • 输入预计将发生维护的相关时间段,以及任何相关资产的 IP 地址,例如在 Excel 文件中列出的 IP 地址。
  • 创建一个监视列表,其中包括应该自动处理警报的所有资产 IP 地址。

按生产线发送电子邮件通知

剧本名称:AD4IoT-MailByProductionLine

此剧本将发送邮件,通知特定利益干系人有关环境中发生的警报和事件的信息。

例如,当你将特定的安全团队分配到特定的产品线或地理位置时,你将希望该团队被告知与其职责相关的警报。

要使用这个剧本,请创建一个监视列表,在传感器名称和你要提醒的每个涉众的邮件地址之间进行映射。

创建新的 ServiceNow 票证

Playbook 名称:AD4IoT-NewAssetServiceNowTicket

通常,被授权对 PLC 进行编程的实体是工程工作站。 因此,攻击者可能会创建新的工程工作站,以便创建恶意的 PLC 编程。

每当检测到新的工程工作站时,此剧本都会在 ServiceNow 中开具一个新票证,显式解析 IoT 设备实体字段。

更新 Defender for IoT 中的警报状态

Playbook 名称:AD4IoT-AutoAlertStatusSync

每当 Microsoft Sentinel 中的相关警报发生“状态”更新时,此 playbook 就会更新 Defender for IoT 中的警报状态。

这种同步会替代 Defender for IoT、Azure 门户或传感器控制台中定义的任何状态,使警报状态与相关事件的状态匹配。

使用活动 CVE 自动处理事件的工作流

Playbook 名称:AD4IoT-CVEAutoWorkflow

此 playbook 将活动 CVE 添加到受影响设备的事件注释中。 如果 CVE 严重级别很高,会执行自动会审,并向设备所有者发送电子邮件通知,正如在 Defender for IoT 的站点级别上所定义的那样。

若要添加设备所有者,请在 Defender for IoT 的“站点和传感器”页上编辑站点所有者。 有关详细信息,请参阅 Azure 门户中的站点管理选项

向 IoT/OT 设备所有者发送电子邮件

Playbook 名称:AD4IoT-SendEmailtoIoTOwner

此 playbook 向设备所有者发送一封包含事件详细信息的电子邮件(如 Defender for IoT 中站点级别上所定义的那样),以便他们可以开始调查,甚至直接从自动化电子邮件中做出响应。 响应选项包括:

  • 是的,这是正常情况。 选择此选项可关闭事件。

  • 不,这不是正常情况。 选择此选项可保持事件处于活动状态、增加严重性并向事件添加确认标记。

事件会根据设备所有者选择的响应自动更新。

若要添加设备所有者,请在 Defender for IoT 的“站点和传感器”页上编辑站点所有者。 有关详细信息,请参阅 Azure 门户中的站点管理选项

涉及高度重要设备的会审事件

Playbook 名称:AD4IoT-AutoTriageIncident

此 playbook 会根据所涉及设备的重要性级别更新事件严重性。

后续步骤

有关详细信息,请参阅博客文章:使用 Microsoft Sentinel 保护关键基础结构:IT/OT 威胁监视解决方案