教學課程:調查和偵測 IoT 裝置的威脅

  • 發行項

適用於 IoT 的 Microsoft Defender 與 Microsoft Sentinel 之間的整合可讓 SOC 小組有效率且有效地偵測及回應作業技術 (OT) 威脅。 適用於 IoT 的 Microsoft Defender 解決方案是一套專門為適用於 IoT 的 Defender 資料所設定的配套內容,包括分析規則、活頁簿和劇本。

在本教學課程中,您已:

  • 在您的 Microsoft Sentinel 工作區中安裝適用於 IoT 的 Microsoft Defender 解決方案
  • 了解如何在 Microsoft Sentinel 事件中調查適用於 IoT 的 Defender 警示
  • 了解使用適用於 IoT 的 Microsoft Defender 解決方案部署至 Microsoft Sentinel 工作區的分析規則、活頁簿和劇本

重要

Microsoft Sentinel 內容中樞體驗目前處於預覽狀態,適用於 IoT 的 Microsoft Defender 解決方案也是如此。 請參閱 Microsoft Azure Preview 補充使用規定,了解適用於搶鮮版 (Beta)、預覽版或尚未正式發行 Azure 功能的其他法律條款。

必要條件

在開始之前,請確定您有下列項目:

安裝適用於 IoT 的 Defender 解決方案

Microsoft Sentinel 解決方案可協助您使用單一流程,將適用於特定資料連接器的 Microsoft Sentinel 安全性內容上線。

適用於 IoT 的 Microsoft Defender 解決方案藉由為自動化回應與防護功能提供立即可用與最佳化的劇本,將適用於 IoT 的 Defender 資料與 Microsoft Sentinel 的安全性協調流程、自動化和回應 (SOAR) 功能加以整合。

若要安裝解決方案

  1. 在 Microsoft Sentinel 的 [內容管理] 底下,選取 [內容中樞],然後找出適用於 IoT 的 Microsoft Defender 解決方案。

  2. 在右下角,選取 [檢視詳細資料],然後選取 [建立]。 選取您要安裝解決方案的訂閱、資源群組及工作區,然後檢閱將部署的相關安全性內容。

  3. 完成時,選取 [檢閱 + 建立] 以安裝解決方案。

如需詳細資訊,請參閱關於 Microsoft Sentinel 內容和解決方案集中探索和部署現成可用的內容與解決方案

立即使用適用於 IoT 的 Defender 資料偵測威脅

適用於 IoT 的 Microsoft Defender 資料連接器包括預設的 Microsoft Security 規則,名為根據 Azure 適用於 IoT 的 Defender 警示建立事件,其會自動為偵測到的任何適用於 IoT 的 Defender 警示,建立新事件。

適用於 IoT 的 Microsoft Defender 解決方案包括一組更詳細的立即可用分析規則,這些規則專為適用於 IoT 的 Defender 資料所建置,並針對相關警示,微調 Microsoft Sentinel 中建立的事件。

若要使用立即可用的適用於 IoT 的 Defender 警示

  1. 在 Microsoft Sentinel 的 [Analytics] 頁面上,搜尋並停用 [根據適用於 IOT 的 Azure Defender 警示建立事件] 規則。 此步驟可防止在 Microsoft Sentinel 中針對相同的警示建立重複的事件。

  2. 搜尋並啟用下列任何現用的分析規則,並使用適用於 IoT 的 Microsoft Defender 解決方案來安裝:

    規則名稱 描述
    ICS/SCADA 流量的不合法的函式程式碼 監督控制和資料擷取 (SCADA) 設備中的不合法函式程式碼可能指出下列其中一項:

    - 應用程式設定不正確,例如因為韌體更新或重新安裝。
    - 惡意活動。 例如,嘗試在通訊協定中使用不合法值的網路威脅,惡意探索可程式化邏輯控制項中的弱點 (例如緩衝區溢位)。
    韌體更新 未經授權的韌體更新可能會指出網路上的惡意活動 (例如網路威脅),該威脅會嘗試操作 HTTP 韌體來危害 HTTP 函式。
    未經授權的 PLC 變更 未授權的變更對 HTTP 階梯邏輯程式碼可能是下列其中一項:

    - 表示在 VMM 中提供新功能。
    - 應用程式設定不正確,例如因為韌體更新或重新安裝。
    - 網路上的惡意活動 (例如網路威脅),會嘗試操作 PLC 程式設計以危害 PLC 函式。
    PLC 不安全的金鑰狀態 新模式可能表示 PLC 不安全。 在不安全的作業模式中保留 PLC,可能會讓敵人對其執行惡意活動 (例如程式下載)。

    若遭到入侵,與該 PLC 互動的裝置和進程可能會受到影響。 可能會影響整體系統安全性和安全。
    PLC 停止 PLC 停止命令可能表示導致 PLC 停止直行的應用程式設定不正確,或網路上的惡意活動。 例如,試圖操作 PLC 程式設計以影響網路函式的網路威脅。
    在網路中發現可疑的惡意程式碼 網路上找到的可疑惡意程式碼表示可疑惡意程式碼正嘗試危害生產環境。
    網路中的多個掃描 網路上的多個掃描可能是下列其中一項的指示:

    - 網路上的新裝置
    - 現有裝置的新功能
    - 應用程式設定不正確,例如因為韌體更新或重新安裝
    - 網路上的惡意活動以進行偵察
    網際網路連線 與網際網路位址通訊的 OT 裝置可能表示應用程式設定不正確,例如嘗試從外部伺服器下載更新的防毒軟體,或網路上的惡意活動。
    SCADA 網路中未經授權的裝置 網路上未經授權的裝置可能是網路上最近安裝的合法新裝置,或者是網路上未經授權,甚至是惡意活動的指示,例如嘗試操作 SCADA 網路的網路威脅。
    SCADA 網路中未經授權的 DHCP 組態 網路上未經授權的 DHCP 組態可能表示網路上有新的未經授權的裝置運作。

    這可能是網路上最近部署的合法新裝置,或者是網路上未經授權,甚至是惡意活動的指示,例如嘗試操作 SCADA 網路的網路威脅。
    登入嘗試次數過多 過多的登入嘗試可能表示網路上的服務設定、人為錯誤或惡意活動,例如嘗試操作 SCADA 網路的網路威脅。
    網路中的高頻寬 不尋常的高頻寬可能是網路上新的服務/程式指示 (例如備份),或網路上惡意活動的指示,例如嘗試操作 SCADA 網路的網路威脅。
    拒絕服務 警示會偵測防止 DCS 系統使用或正常運作的攻擊。
    未經授權的遠端存取網路 未經授權的遠端存取網路可能會危害目標裝置。

    這表示如果網路上的另一個裝置遭到入侵,則可以從遠端存取目標裝置,進而增加受攻擊面。
    偵測到感應器上沒有流量 不再偵測網路流量的感應器表示系統可能不安全。

調查適用於 IoT 的 Defender 事件

設定適用於 IoT 的 Defender 資料以觸發 Microsoft Sentinel 中的新事件之後,請開始調查 Microsoft Sentinel 中的這些事件,就像調查其他事件一樣

若要調查適用於 IoT 的 Microsoft Defender 事件

  1. 在 Microsoft Sentinel 中,移至 [事件] 頁面。

  2. 在事件方格上方,選取 [產品名稱] 篩選,然後清除 [全部選取] 選項。 然後,選取 [適用於 IoT 的 Microsoft Defender],以僅檢視由適用於 IoT 的 Defender 警示觸發的事件。 例如:

    Screenshot of filtering incidents by product name for Defender for IoT devices.

  3. 選取特定的事件以開始調查。

    在右側的 [事件詳細資料] 窗格中,檢視詳細資料,例如事件嚴重性、涉及的實體摘要、任何對應的 MITRE ATT & CK 策略或技術等等。 例如:

    Screenshot of a Microsoft Defender for IoT incident in Microsoft Sentinel.

  4. 選取 [檢視完整詳細資料] 開啟事件詳細資料頁面,您可以在其中進一步向下切入。 例如:

    • 使用詳細資料了解事件的商務影響和實體位置,例如 IoT 裝置的網站、區域、感應器名稱和裝置重要性。

    • 選取事件時間表中的警示並檢視補救步驟區域,以了建議的補救步驟。

    • 從 [實體] 列表中選取 IoT 裝置實體,以開啟其裝置實體頁面。 如需更多資訊,請參閱使用 IoT 裝置實體進一步調查

如需詳細資訊,請參閱使用 Microsoft Sentinel 調查事件

提示

若要調查適用於 IoT 的 Defender 中的事件,請在 [事件] 頁面的 [事件詳細資料] 窗格頂端選取 [調查適用於 IoT 的 Microsoft Defender] 連結。

使用 IoT 裝置實體進一步調查

當您在 Microsoft Sentinel 中調查事件,並在右側開啟事件詳細資料窗格時,請從 [實體] 清單中選取 IoT 裝置實體,以檢視所選實體的詳細資料。 透過 IoT 裝置圖示來識別 IoT 裝置

如果您沒有立即看到 IoT 裝置實體,請選取所列 [檢視完整詳細資料],並檢查 [實體] 索引標籤,以開啟完整的事件頁面。選取 IoT 裝置實體以檢視更多實體資料,例如基本裝置詳細資料、擁有者連絡資訊,以及裝置上發生的事件時間表。

若要進一步向下切入,請選取 IoT 裝置實體連結並開啟裝置實體詳細資料頁面,或在 Microsoft Sentinel 實體行為頁面上搜尋易受攻擊的裝置。 例如,檢視警示數目最多的前五個 IoT 裝置,或依 IP 位址或裝置名稱搜尋裝置:

Screenshot of IoT devices by number of alerts on entity behavior page.

如需詳細資訊,請參閱使用 Microsoft Sentinel 中的實體頁面調查實體使用 Microsoft Sentinel 調查事件

在適用於 IoT 的 Defender 中調查警示

若要在適用於 IoT 的 Defender 中開啟警示以進行進一步調查,包括能夠存取警示 PCAP 資料,請移至您的事件詳細資料頁面,然後選取 [在適用於 IoT 的 Microsoft Defender 中調查]。 例如:

Screenshot of the Investigate in Microsoft Defender for IoT option.

隨即開啟 [適用於 IoT 的 Defender 警示詳細資料] 頁面,以供相關警示使用。 如需詳細資訊,請參閱調查及回應 OT 網路警示

視覺化並監視適用於 IoT 資料的 Defender

若要將適用於 IoT 的 Microsoft Defender 資料視覺化或進行監視,請使用部署至 Microsoft Sentinel 工作區的活頁簿,做為適用於 IoT 的 Microsoft Defender 解決方案的一部分。

適用於 IoT 的 Defender 活頁簿會根據 OT 資產的開放事件、警示通知和活動,提供適用於 OT 實體的引導式調查。 這些活頁簿也提供適用於 ICS 的 MITRE ATT&CK® 架構的搜捕體驗,而其目的是讓分析師、安全性工程師和 MSSP 獲得 OT 安全性狀態的情境意識。

在 [威脅管理]>[活頁簿]>[我的活頁簿] 索引標籤上,檢視 Microsoft Sentinel 中的活頁簿。如需詳細資訊,請參閱視覺化收集資料

下表說明適用於 IoT 的 Microsoft Defender 解決方案中包含的活頁簿:

活頁簿 描述 記錄
概觀 儀表板會針對裝置庫存、威脅偵測和弱點顯示重要計量摘要。 使用 Azure Resource Graph (ARG) 的資料
裝置詳細目錄 顯示資料,例如:OT 裝置名稱、類型、IP 位址、Mac 位址、型號、作業系統、序號、廠商、通訊協定、開啟警示,以及每個裝置的 CVE 和建議。 可以依網站、區域和感應器進行篩選。 使用 Azure Resource Graph (ARG) 的資料
事件 顯示資料,例如:

- 警示計量、最重要的警示、隨著時間的警示、依嚴重性排序的警示、依引擎排序的警示、依裝置類型排序的警示、依廠商排序的警示,以及依 IP 位址排序的警示。

- 依嚴重性排序的事件、事件平均回應時間、事件平均解決時間和事件關閉原因。		 使用下列記錄中的資料:SecurityAlert
警示 顯示資料,例如:警示計量、最重要的警示、隨著時間的警示、依嚴重性排序的警示、依引擎排序的警示、依裝置類型排序的警示、依廠商排序的警示,以及依 IP 位址排序的警示。 使用 Azure Resource Graph (ARG) 的資料
適用於 ICS 的 MITRE ATT&CK® 顯示資料,例如:策略計數、策略詳細資料、隨著時間的策略、技術計數。 使用下列記錄中的資料:SecurityAlert
弱點 顯示易受攻擊裝置的弱點和 CVE。 可以依裝置站台和 CVE 嚴重性來篩選。 使用 Azure Resource Graph (ARG) 的資料

自動回應適用於 IoT 的 Defender 警示

劇本是自動補救動作的集合,可從 Microsoft Sentinel 作為常式執行。 劇本可協助您自動執行及協調威脅回應。劇本可以手動執行,抑或設定為在分析規則或自動化規則觸發時自動執行,以分別回應特定警示或事件。

適用於 IoT 的 Microsoft Defender 解決方案包括立即可用的劇本,提供下列功能:

使用立即可用的劇本之前,請務必執行必備步驟,如下所示

如需詳細資訊,請參閱

劇本必要條件

使用現成的劇本之前,請確定您針對每個劇本執行下列必要條件:

確保有效的劇本連線

此程序可協助確保劇本中的每個連線步驟具備有效的連線,而且所有解決方案劇本皆需要此程序。

若要確保您的有效連線

  1. 在 Microsoft Sentinel 中,從 [自動化]>[作用中劇本] 開啟劇本。

  2. 選取劇本,以透過邏輯應用程式開啟之。

  3. 以邏輯應用程式的形式開啟劇本後,選取 [邏輯應用程式設計工具]。 展開邏輯應用程式中的每個步驟,以檢查是否有無效連線,以橘色的警告三角形表示。 例如:

    Screenshot of the default AD4IOT AutoAlertStatusSync playbook.

    重要

    請務必展開邏輯應用程式中的每個步驟。 無效連線可能會隱藏在其他步驟內。

  4. 選取 [儲存]。

將必要的角色新增至您的訂用帳戶

此程序描述如何將必要角色新增至安裝劇本的 Azure 訂用帳戶,而且僅適用於下列劇本:

每個劇本的必要角色有所不同,但步驟保持不變。

若要將必要的角色新增至您的訂用帳戶

  1. 在 Microsoft Sentinel 中,從 [自動化]>[作用中劇本] 開啟劇本。

  2. 選取劇本,以透過邏輯應用程式開啟之。

  3. 以邏輯應用程式的形式開啟劇本後,選取 [身分識別]>[系統指派],然後在 [權限] 區域中選取 [Azure 角色指派] 按鈕。

  4. 在 [Azure 角色指派] 畫面中,選取 [新增角色指派]

  5. 在 [新增角色指派] 窗格中:

    1. 將 [範圍] 定義為 [訂用帳戶]

    2. 從下拉式清單中,選取您安裝劇本的 [訂用帳戶]

    3. 從 [角色] 下拉式清單中,根據您使用的劇本,選取下列其中一個角色:

      劇本名稱 角色
      AD4IoT-AutoAlertStatusSync 安全性系統管理員
      AD4IoT-CVEAutoWorkflow 讀取者
      AD4IoT-SendEmailtoIoTOwner 讀取者
      AD4IoT-AutoTriageIncident 讀取者

  6. 完成時,選取儲存

連接您的事件、相關的分析規則和劇本

此程序描述如何設定 Microsoft Sentinel 分析規則,以根據事件觸發程序自動執行劇本,而且所有解決方案劇本都需要此規則。

若要新增您的分析規則

  1. 在 Microsoft Sentinel 中,移至 [自動化]>[自動化規則]

  2. 若要建立新的自動化規則,請選取 [建立]>[自動化規則]

  3. 在 [觸發] 欄位中,根據您使用的劇本,選取下列其中一個觸發程序:

    • AD4IoT-AutoAlertStatusSync 劇本:選取更新事件時觸發程序
    • 所有其解決方案劇本:選取建立事件時觸發程序

  4. 在 [條件] 區域中,選取 [If]>[分析規則名稱]>[包含],然後選取在貴組織中適用於 IoT 的 Defender 相關的特定分析規則。

    例如:

    Screenshot of a Defender for IoT alert status sync automation rule.

    您可能使用現成可用的分析規則,或者您可能已修改現成可用的內容,或自行建立。 如需詳細資訊,請參閱使用適用於 IoT 資料的 Defender 偵測現成可用的威脅

  5. 在 [動作] 區域中,選取 [執行劇本]>[劇本名稱]

  6. 選取執行

提示

您可以視需要手動執行劇本。 這在您想要更多控制協調流程和回應程序的情況下很有用。 如需詳細資訊,請參閱視需求執行劇本

自動關閉事件

劇本名稱:AD4IoT-AutoCloseIncidents

在某些情況下,維護活動會在 Microsoft Sentinel 中產生警示,讓 SOC 小組無法處理真正的問題。 劇本會在指定的維護期間自動關閉從這類警示建立的事件,並明確剖析 IoT 裝置實體欄位。

如何使用此劇本:

  • 輸入預期發生維護的相關時段,以及任何相關資產的 IP 位址 (例如 Excel 檔案中所列的內容)。
  • 建立關注清單,其中包含應自動處理警示的所有資產 IP 位址。

依生產線傳送電子郵件通知

劇本名稱:AD4IoT-MailByProductionLine

此劇本會傳送郵件,以通知特定專案關係人相關環境中發生的警示和事件。

例如,當您將特定安全性小組指派給特定生產線或地理位置時,會想要該小組收到與其責任相關的警示通知。

若要使用此劇本,請建立關注清單,以對應感應器名稱與您想要警示之每個專案關係人的郵寄地址。

建立新的 ServiceNow 票證

劇本名稱:AD4IoT-NewAssetServiceNowTicket

一般而言,授權進行程式設計的實體是工程工作站。 因此攻擊者可能會建立新的工程工作站,以建立惡意的 SQL 程式設計。

劇本會在每次偵測到新的工程工作站時,在 ServiceNow 中開啟票證,明確剖析 IoT 裝置實體欄位。

更新適用於 IoT 的 Defender 中的警示狀態

劇本名稱:AD4IoT-AutoAlertStatusSync

每當 Microsoft Sentinel 中的相關警示有狀態更新時,劇本就會在適用於 IoT 的 Defender 中更新警示狀態

同步處理會覆寫適用於 IoT 的 Defender、Azure 入口網站或感應器主控台中定義的任何狀態,讓警示狀態符合相關事件的狀態。

針對具備作用中 CVE 的事件將工作流程自動化

劇本名稱:AD4IoT-CVEAutoWorkflow

此劇本會將作用中的 CVE 新增至受影響裝置的事件註解。 如果 CVE 很重要,而且電子郵件通知會傳送至裝置擁有者,如適用於 IoT 的 Defender 網站層級所定義,則會執行自動化分級。

若要新增裝置擁有者,請在適用於 IoT 的 Defender 的 [網站和感應器] 頁面上編輯網站擁有者。 如需詳細資訊,請參閱 Azure 入口網站的網站管理選項

將電子郵件傳送給 IoT/OT 裝置擁有者

劇本名稱:AD4IoT-SendEmailtoIoTOwner

此劇本會將包含事件詳細資料的電子郵件傳送給裝置擁有者,如適用於 IoT 的 Defender 網站層級所定義,讓他們可以開始調查,甚至直接從自動化電子郵件直接回應。 回應選項包含:

  • 是,這是預期的。 選取此選項以關閉事件。

  • 不,這不是預期的。 選取此選項可讓事件保持作用中、增加嚴重性,並將確認標籤新增至事件。

事件會根據裝置擁有者選取的回應自動更新。

若要新增裝置擁有者,請在適用於 IoT 的 Defender 的 [網站和感應器] 頁面上編輯網站擁有者。 如需詳細資訊,請參閱 Azure 入口網站的網站管理選項

對涉及高度重要裝置的事件進行分級

劇本名稱:AD4IoT-AutoTriageIncident

此劇本會根據所涉及的裝置重要性層級來更新事件嚴重性。

下一步

將資料視覺化

建立自訂分析規則

調查事件

調查實體

使用劇本搭配自動化規則

如需更多資訊,請參閱我們的部落格:使用 Microsoft Sentinel 保護重要基礎結構:IT/OT 威脅監視解決方案