教學課程：使用零信任準則監視您的 OT 網路

零信任是設計及實作下列安全準則的安全性策略：

明確驗證	使用最低權限存取權	假設缺口
一律根據所有可用的資料點進行驗證及授權。	使用 Just-In-Time 和 Just-Enough-Access (JIT/JEA)、風險型調適型原則以及資料保護來限制使用者存取權。	將爆炸半徑和區段存取權降至最低。 確認端對端加密，運用分析來提升資訊透明度與威脅偵測，並改善防禦。

適用於 IoT 的 Defender 會在您的 OT 網路上使用網站和區域定義，以確保您維護網路衛生，並讓每個子系統保持獨立和安全。

本教學課程說明如何使用適用於 IoT 的 Defender 和零信任準則監視您的 OT 網路。

在本教學課程中，您會了解如何：

• 尋找未知裝置的警示
• 尋找易受攻擊的系統
• 尋找跨子網路流量的警示
• 模擬惡意流量以測試您的網路

重要

Azure 入口網站中的 [建議] 頁面目前為預覽版。 請參閱 Microsoft Azure Preview 補充使用規定，了解適用於搶鮮版 (Beta)、預覽版或尚未正式發行 Azure 功能的其他法律條款。

必要條件

若要執行本教學課程中的工作，您需要下列項目：

• Azure 訂用帳戶上適用於 IoT 的 Defender OT 方案

• 多個雲端連線的已部署 OT 感應器，將流量資料串流至適用於 IoT 的 Defender。 每個感應器都應該指派給不同的網站和區域，讓每個網路區段保持獨立和安全。 如需詳細資訊，請參閱將 OT 感應器上線至適用於 IoT 的 Defender。

• 下列權限：

  • 以安全性管理員、參與者或擁有者使用者身分存取 Azure 入口網站的存取權。 如需詳細資訊，請參閱適用於 IoT 的 Defender 的 Azure 使用者角色和權限。

  • 以管理員或安全性分析人員使用者身分存取感應器。 如需詳細資訊，請參閱使用適用於 IoT 的 Defender 進行 OT 監視的內部部署使用者和角色。

尋找跨子網路流量的警示

跨子網路流量是指在網站和區域之間移動的流量。

跨子網路流量可能是合法流量，例如內部系統將通知訊息傳送至其他系統。 不過，如果內部系統正在將通訊傳送至外部伺服器，您可能想確認通訊是合法流量。 傳出的訊息是否包含可共用的資訊？ 傳入的流量是否來自安全來源？

您已將網路區隔為網站和區域，讓每個子系統保持獨立和安全，且可能預期特定網站或區域中的大部分流量都會保留在該網站或區域的內部。 如果您看到跨子網路流量，則可能表示您的網路有風險。

若要搜尋跨子網路流量：

1. 登入您想要調查的 OT 網路感應器，然後選取左側的 [裝置對應]。

2. 展開地圖左側的 [群組] 窗格，然後選取 [篩選]>[跨子網路連線]。

3. 在對應上，放大直到足以檢視裝置之間的連線。 選取特定裝置，即可在右側顯示的 [裝置詳細資料] 窗格中進一步調查裝置。

   例如，在裝置詳細資料窗格中選取 [活動報告] 以建立活動報告，並深入了解特定的流量模式。

尋找未知裝置的警示

您是否知道自己的網路上有哪些裝置，以及其通訊的對象為何？ 適用於 IoT 的 Defender 會針對 OT 子網路中偵測到的任何新未知裝置觸發警示，協助您識別該裝置，並確保裝置安全性和網路安全性。

未知的裝置可能包含在網路之間移動的暫時性裝置。 例如，暫時性裝置可能包含技術人員的筆記型電腦，該裝置會在維護伺服器時連線至網路，或者是訪客的智慧型手機，該裝置會連線到辦公室的訪客網路。

重要

一旦識別出未知的裝置，請務必調查這些裝置後續觸發的任何警示，因為未知裝置上的任何可疑流量都會產生額外風險。

若要檢查未經授權/未知的裝置以及有風險的網站和區域：

1. 在 Azure 入口網站的適用於 IoT 的 Defender 中，選取 [警示] 以檢視您所有雲端連線感應器所觸發的警示。 若要尋找未知裝置的警示，請篩選具有下列名稱的警示：

   • 偵測到新資產
   • 未預期地探索到現場裝置

   請將每個篩選動作分別執行。 針對每個篩選動作，請執行下列動作來識別網路中有風險的網站和區域，這可能需要更新的安全策略：

   1. 依 [網站] 分組您的警示，以查看是否有特定網站針對未知裝置產生許多警示。

   2. 為顯示的警示新增 [區域] 篩選，以將警示縮小至特定區域。

產生許多未知裝置警示的特定網站或區域存在風險。 建議您更新安全策略，以防止這麼大量的未知裝置連線到您的網路。

若要調查未知裝置的特定警示：

1. 在 [警示] 頁面上選取警示，即可在右側窗格以及警示詳細資料頁面中檢視更多詳細資料。

2. 如果您仍不確定裝置是否合法，請進一步調查相關的 OT 網路感應器。

   • 登入觸發警示的 OT 網路感應器、找出您的警示並開啟其警示詳細資料頁面。
   • 使用 [地圖檢視] 和 [事件時間軸] 索引標籤，找出偵測到裝置的網路位置，以及可能相關的任何其他事件。

3. 採取下列其中一個動作來降低風險：

   • 了解裝置是否合法，讓相同裝置不會再次觸發警示。 在 [警示詳細資料] 頁面上，選取 [學習]。
   • 如果裝置不合法，請封鎖裝置。

尋找未經授權的裝置

建議您主動監看網路上偵測到的新未經授權裝置。 定期檢查未經授權的裝置有助於防止惡意或潛在惡意裝置的威脅，這些裝置可能會滲透到您的網路。

例如，使用檢閱未經授權的裝置建議來識別所有未經授權的裝置。

若要檢閱未經授權的裝置：

1. 在 Azure 入口網站的適用於 IoT 的 Defender 中，選取 [建議 (預覽)]，然後搜尋 [檢閱未經授權的裝置] 建議。
2. 檢視 [狀況不良的裝置] 索引標籤中列出的裝置。這些未經授權的裝置可能會對您的網路造成風險。

請遵循補救步驟，例如將您已知的裝置標示為已獲授權，或如果裝置在調查後仍為未知，請中斷其與網路的連線。

如需詳細資訊，請參閱使用安全性建議增強安全性態勢。

提示

在檢閱未經授權的裝置時，您也可以藉由 [授權] 區段篩選裝置詳細目錄，僅顯示標示為 [未經授權] 的裝置。

尋找易受攻擊的系統

如果您的網路上有裝置採用過時的軟體或韌體，可能容易受到攻擊。 生命週期結束且沒有後續安全性更新的裝置特別容易受到攻擊。

若要搜尋易受攻擊的系統：

1. 在 Azure 入口網站的適用於 IoT 的 Defender 中，選取 [活頁簿]>[弱點] 以開啟 [弱點] 活頁簿。

2. 在頁面頂端的 [訂用帳戶] 選取器中，選取您的 OT 感應器上線的 Azure 訂用帳戶。

   活頁簿會填入整個網路中的資料。

3. 向下捲動以檢視 [易受攻擊的裝置] 和 [易受攻擊的元件] 的清單。 您網路中的這些裝置和元件需要注意，例如韌體或軟體更新，或者如果沒有後續可用的更新，請將其更換。

4. 在頁面頂端的 [SiteName] 中，選取一或多個網站來依網站篩選資料。 依網路篩選資料可協助您識別特定網站的疑慮，這些疑慮可能需要進行全網站更新或裝置更換。

模擬惡意流量以測試您的網路

若要確認特定裝置的安全性狀態，請執行 [攻擊媒介] 報告來模擬該裝置的流量。 使用模擬流量提前找出並緩解弱點，以免遭到利用。

若要建立攻擊媒介報表：

1. 登入負責偵測待調查裝置的 OT 網路感應器，然後選取左側的 [攻擊媒介]。

2. 選取 [+ 新增模擬]，然後在 [新增攻擊向量模擬] 窗格中輸入下列詳細資料 ：

   欄位/選項	描述
   名稱	為您的模擬輸入有意義的名稱，例如零信任以及日期。
   最大向量	選取 20 以包含裝置之間支援的連線數目上限。
   在裝置對應中顯示	選擇性。 選取即可在感應器的裝置對應中顯示模擬，以便您之後進一步調查。
   顯示所有來源裝置 / 顯示所有目標裝置	選取這兩者可顯示模擬中偵測到的所有裝置，可能包含來源裝置和目標裝置。

   將 [排除裝置] 和 [排除子網路] 保留空白，以在模擬中包含所有偵測到的流量。

3. 選取 [儲存] 並等候模擬完成執行。 所需時間取決於感應器偵測到的流量大小。

4. 展開新的模擬，然後選取偵測到的任意項目即可檢視右側的更多詳細資料。 例如：

   

5. 請特別留意下列任一弱點：

   弱點	描述
   在網際網路中公開的裝置	例如，這些弱點可能會顯示訊息：由於網際網路連線能力而暴露在外部威脅下。
   具有開放連接埠的裝置	開放連接埠可合法地用於遠端存取，但也可能產生風險。 例如，這些弱點可能會顯示類似如下訊息：允許使用 TeamViewer 進行遠端存取 允許使用遠端桌面進行遠端存取
   跨子網路的裝置之間的連線	例如，您可能會看到訊息：裝置之間採用直接連線，此情況本身可接受，但在跨越子網路的情境中可能會有風險。

監視每個網站或區域偵測到的資料

在 Azure 入口網站中，從下列位置依網站和區域檢視適用於 IoT 的 Defender 資料：

• 裝置詳細目錄：依網站或區域分組或篩選裝置詳細目錄。

• 警示：僅依網站分組或篩選警示。 將 [網站] 或 [區域] 資料行新增至您的方格，用以排序群組中的資料。

• 活頁簿：開啟適用於 IoT 的 Defender 弱點活頁簿以檢視每個網站偵測到的弱點。 您也可以為自己的組織建立自訂活頁簿，依網站和區域檢視更多資料。

• 網站和感應器：依網站或區域篩選列出的感應器。

需要監看的範例警示

監視零信任時，適用於 IoT 的 Defender 需要監看的重要警示範例如下所列：

• 未經授權的裝置連線到網路，特別是任何惡意 IP/網域名稱要求
• 偵測到已知的惡意程式碼
• 未經授權的網際網路連線
• 未經授權的遠端存取
• 偵測到網路掃描作業
• 未經授權的 PLC 程式設計
• 韌體版本的變更

• 「PLC Stop」和其他潛在惡意命令
• 懷疑裝置已中斷連線
• 乙太網路/IP CIP 服務要求失敗
• BACNet 作業失敗
• 不合法的 DNP3 作業
• 未經授權的 SMB 登入

下一步

根據監視的結果，或組織中人員與系統隨著時間變更時，您可能需要變更網路分割。

修改網站和區域的結構，並重新指派網站型存取原則，以確保始終符合您目前的網路現況。

除了使用適用於 IoT 的 Defender 內建弱點活頁簿之外，請額外建立更多自訂活頁簿，以最佳化您的持續監視。

如需詳細資訊，請參閱

• 在 Azure 入口網站中管理具有適用於 IoT 的 Defender 的感應器
• 管理網站型存取控制 (公開預覽)
• 使用 Azure 監視器活頁簿將適用於 IoT 的 Microsoft Defender 資料視覺化