共用方式為


教學課程:調查和偵測IoT裝置的威脅

適用於IoT的 Microsoft Defender 與 Microsoft Sentinel 之間的整合可讓SOC小組有效率且有效地偵測及回應整個網路的安全性威脅。 使用 適用於IoT的 Microsoft Defender 解決方案來增強安全性功能,這是針對適用於IoT的Defender資料特別設定的一組配套內容,其中包含分析規則、活頁簿和劇本。

在本教學課程中,您會:

  • 在 Microsoft Sentinel 工作區中安裝 適用於IoT的 Microsoft Defender 解決方案
  • 在 Microsoft Sentinel 事件中調查適用於 IoT 的 Defender 警示的方法
  • 使用 Microsoft Defender for IoT 解決方案,深入瞭解部署至您 Microsoft Sentinel 工作區的分析規則、活頁簿和自動化腳本。

這很重要

Microsoft Sentinel 內容中樞體驗目前處於 預覽狀態,Microsoft Defender 適用於 IoT 的解決方案也是如此。 有關適用於 Beta、預覽版或尚未普遍發佈的 Azure 功能的其他法律條款,請參閱 Microsoft Azure 預覽版的補充使用規定

先決條件

在開始之前,請確定您有下列項目:

安裝適用於IoT的Defender解決方案

Microsoft Sentinel 解決方案可協助您使用單一流程,將適用於特定資料連接器的 Microsoft Sentinel 安全性內容上線。

Microsoft Defender 適用於 IoT 的解決方案將 Microsoft Defender for IoT 的資料與 Microsoft Sentinel 的安全性協調、自動化和回應(SOAR)功能整合在一起,提供即用且經過優化的劇本,以實現自動化回應和預防能力。

若要安裝解決方案

  1. 在 [Microsoft Sentinel] 的 [內容管理] 底下,選取 [內容中樞],然後找出 Microsoft Defender for IoT 解決方案。

  2. 在右下角,選取 [檢視詳細資料],然後選取 [建立]。 選取您要安裝解決方案的訂閱、資源群組及工作區,然後檢閱將部署的相關安全性內容。

  3. 完成時,選取 [檢閱 + 建立] 以安裝解決方案。

如需詳細資訊,請參閱關於 Microsoft Sentinel 內容和解決方案集中探索和部署現成可用的內容與解決方案

使用內建於IoT版Defender的資料來偵測威脅

Microsoft Defender for IoT 數據連接器包含一個預設的 Microsoft Security 規則,名為 根據 Microsoft Defender for IoT 警示建立事件,它會自動為偵測到的任何新的 Defender for IoT 警示建立新的事件。

Microsoft 的 IoT Defender 解決方案包含一組更詳細的現成分析規則,這些規則是專門為 Microsoft 的 IoT Defender 數據建立的,並微調在 Microsoft Sentinel 中根據相關警示建立的事件。

若要使用預設適用於IoT的Defender警示

  1. 在 Microsoft Sentinel Analytics 頁面上,搜尋並停用 根據 Microsoft 適用於 IoT 的 Defender 警示建立事件的規則。 此步驟可防止針對相同警示在 sentinel Microsoft 中建立重複的事件。

  2. 搜尋並啟用隨 Microsoft Defender for IoT 解決方案 一起安裝的下列任何即用型分析規則:

    規則名稱 說明
    ICS/SCADA 流量的非法函式代碼 監督控制和數據擷取(SCADA)設備中的非法功能代碼可能表示下列其中一項:

    - 應用程式設定不正確,例如韌體更新或重新安裝。
    - 惡意活動。 例如,嘗試在通訊協定中使用非法值的網路威脅,以利用可程式化邏輯控制器 (PLC) 中的弱點,例如緩衝區溢位。
    韌體更新 未經授權的韌體更新可能表示網路上的惡意活動,例如試圖修改或操控可程式邏輯控制器(PLC)韌體,以危害PLC功能的網路威脅。
    未經授權的PLC變更 未經授權變更 PLC 階梯邏輯程式代碼可能是下列其中一項:

    - PLC中新增功能的指示。
    - 應用程式設定不正確,例如因為韌體更新或重新安裝。
    - 網路上的惡意活動,例如嘗試縱PLC程式設計以危害PLC功能的網路威脅。
    PLC 不安全的金鑰狀態 新的模式可能表示PLC不安全。 讓PLC處於不安全的作業模式,可能會讓敵人對它執行惡意活動,例如程序下載。

    如果可編程邏輯控制器遭到入侵,與它互動的裝置和流程可能會受到影響。 可能會影響整體系統的安全性和穩定性。
    PLC 停止 [PLC 停止] 命令可能表示應用程式設定不正確,導致 PLC 停止運作,或網路上的惡意活動。 例如,試圖操縱 PLC 程式碼以影響網路功能的網路安全威脅。
    在網路中發現可疑的惡意代碼 網路上找到的可疑惡意代碼表示可疑惡意代碼正嘗試入侵生產環境。
    多個網路掃描 網路上的多個掃描可能表示下列其中一項:

    - 網路上的新裝置
    - 現有裝置的新功能
    - 應用程式設定錯誤,例如韌體更新或重新安裝
    - 在網路上進行偵察的惡意活動
    網際網路連線 與因特網位址通訊的 OT 裝置可能表示應用程式設定不正確,例如嘗試從外部伺服器下載更新的防病毒軟體,或網路上的惡意活動。
    SCADA 網路中未經授權的裝置 網路上的未經授權裝置可能是最近安裝的合法新裝置,或者表示網路上存在未經授權甚至惡意活動,例如試圖操控 SCADA 網路的網路威脅。
    SCADA 網路中未經授權的 DHCP 設定 網路上未經授權的 DHCP 組態可能表示網路上有新的未經授權的裝置運作。

    這可能是最近部署在網路上的合法新裝置,或者指出網路上未經授權甚至惡意活動,例如企圖干擾 SCADA 網路的網絡威脅。
    過多的登入嘗試 過多的登入嘗試可能表示服務配置不正確、人為錯誤或網路上的惡意威脅活動,例如嘗試操縱 SCADA 網路的網路威脅。
    網路中的高頻寬 異常高的頻寬使用量可能表示網路上有新的服務/程序,例如備份,或是網路上惡意活動的跡象,例如嘗試入侵SCADA網路的網路威脅。
    拒絕服務 此警示會偵測可能會阻止或影響DCS系統正常運行的攻擊。
    未經授權的遠端訪問網路 未經授權的網路遠端訪問可能會危害目標裝置。

    這表示如果網路上的另一個裝置遭到入侵,則可以從遠端訪問目標裝置,增加受攻擊面。
    偵測到感測器上沒有流量 不再偵測網路流量的感測器表示系統可能不安全。

調查IoT事件中的Defender

在您設定 IoT 的 Microsoft Defender 資料以在 Microsoft Sentinel 中觸發新事件之後,請開始在 Microsoft Sentinel 中調查這些事件,就像您調查其他事件一樣。

調查 Microsoft Defender 對於 IoT 事件的反應

  1. 在 Microsoft Sentinel 中,移至 [ 事件] 頁面。

  2. 在事件方格上方,選取 [產品名稱 ] 篩選,然後清除 [ 全選] 選項。 然後,選取 Microsoft IoT 防護程式,只檢視由 IoT 防護程式警示所觸發的事件。 例如:

    依適用於IoT裝置的Defender產品名稱篩選事件的螢幕快照。

  3. 選取特定事件以開始調查。

    在右側的事件詳細數據窗格中,檢視事件嚴重性、相關實體的摘要、任何對應的 MITRE ATT&CK 策略或技術等詳細數據。 例如:

    Microsoft Sentinel 中適用於 IoT 事件的 Microsoft Defender 螢幕快照。

  4. 選取 [檢視完整詳細數據 ] 以開啟事件詳細數據頁面,您可以在其中進一步向下切入。 例如:

    • 使用詳細數據瞭解事件的商務影響和實體位置,例如IoT裝置的網站、區域、感測器名稱和裝置重要性。

    • 選取事件時間軸中的警示並檢視 [補救步驟 ] 區域,以了解建議的補救步驟。

    • 從 [ 實體 ] 清單中選取IoT裝置實體,以開啟其 裝置實體頁面。 如需更多資訊,請參閱 針對 IoT 裝置實體進一步調查

如需詳細資訊,請參閱 使用 Microsoft Sentinel 調查事件

小提示

若要在 Microsoft Defender for IoT 中調查事件,請在 [事件] 頁面上的 [事件詳細資料] 窗格頂端,選取 Investigate in Microsoft Defender for IoT 連結。

使用物聯網裝置實體進行深入調查

當您在 Microsoft Sentinel 中調查事件,並在右側開啟事件詳細數據窗格時,請從 [ 實體 ] 清單中選取 IoT 裝置實體,以檢視所選實體的更多詳細數據。 依 IoT裝置圖示識別IoT裝置

如果您沒有立即看到IoT裝置實體,請選取 [ 檢視完整詳細數據 ] 以開啟完整的事件頁面,然後核取 [ 實體 ] 索引標籤。選取IoT裝置實體以檢視更多實體數據,例如基本裝置詳細數據、擁有者連絡資訊,以及裝置上發生的事件時程表。

若要進一步向下切入,請選取 [IoT 裝置實體] 連結並開啟裝置實體詳細數據頁面,或在 [Microsoft Sentinel 實體行為 ] 頁面上搜尋易受攻擊的裝置。 例如,檢視警示數目最多的前五個 IoT 裝置,或依 IP 位址或裝置名稱搜尋裝置:

實體行為頁面上依警示數目排列的IoT裝置螢幕截圖。

如需詳細資訊,請參閱 使用 Microsoft Sentinel 中的實體專頁來調查實體 ,以及 使用 Microsoft Sentinel 調查事件

調查適用於IoT的Defender中的警示

若要在適用於 IoT 的 Defender 中開啟警示以進行進一步調查,包括存取警示 PCAP 數據的能力,請移至您的事件詳細資料頁面,然後選取 [在適用於 IoT 的 Microsoft Defender 中調查]。 例如:

Microsoft Defender for IoT 中「調查」選項的螢幕截圖。

「Defender for IoT」的警示詳細資料頁面已開啟,以查看相關警示。 如需詳細資訊,請參閱 調查和回應 OT 網路警示

可視化和監視適用於IoT的Defender資料

若要將您的 IoT Defender 資料進行可視化和監控,請使用部署至 Microsoft Sentinel 工作區的活頁簿,這些活頁簿是 Microsoft Defender for IoT 解決方案的一部分。

Defenders for IoT工作簿根據OT資產的開放式事件、警示通知及活動,提供針對OT實體的引導式調查。 它們也以 MITRE ATT&CK® 架構為基礎提供針對 ICS 的狩獵體驗,其設計目的是讓分析師、安全工程師和 MSSP 能夠全面掌握 OT 安全狀態。

[威脅管理>>活頁簿我的活頁簿] 索引標籤上,檢視Microsoft Sentinel 中的活頁簿。如需詳細資訊,請參閱將收集的數據可視化

Microsoft Defender for IoT 解決方案中包含的活頁簿如下表所示:

工作簿 說明 日誌
概觀 儀錶板,顯示裝置清查、威脅偵測和弱點的重要計量摘要。 使用來自 Azure Resource Graph 的資料 (ARG)
裝置清查 顯示數據,例如:OT 裝置名稱、類型、IP 位址、Mac 位址、型號、作業系統、序號、廠商、通訊協定、已產生警示,以及每個裝置的 CVE 漏洞與建議。 可以依站點、區域和感測器進行篩選。 使用來自 Azure Resource Graph 的資料 (ARG)
事件 顯示資料,例如:

- 事件指標、最高事件、隨時間變化的事件、按通訊協定的事件、按裝置類型的事件、按廠商的事件,以及按IP位址的事件。

- 依嚴重性、事件平均回應時間、事件平均解決時間和事件關閉原因。
使用下列記錄檔中的資料: SecurityAlert
警示 顯示數據,例如:警報指標、最重要警報、警報隨時間變化、按嚴重性分類的警報、按引擎分類的警報、按設備類型分類的警報、按供應商分類的警報和按 IP 位址分類的警報。 使用來自 Azure Resource Graph 的資料 (ARG)
適用於ICS的MITRE ATT&CK® 顯示數據,例如:策略計數、戰術詳細數據、策略隨時間推移、技術計數。 使用下列記錄檔中的資料: SecurityAlert
弱點 顯示易受攻擊裝置的弱點和 CVE。 可以依裝置站點和 CVE 嚴重性進行篩選。 使用來自 Azure Resource Graph 的資料 (ARG)

自動回應適用於IoT的Defender警示

劇本 是自動化補救動作的集合,可從 Microsoft Sentinel 執行為例程。 劇本可協助自動化及協調您的威脅回應;當分析規則或自動化規則觸發時,它可以手動執行或設定為自動執行,以回應特定警示或事件。

Microsoft Defender 適用於 IoT 的 解決方案包含內建劇本,可提供下列功能:

使用現成的劇本之前,請務必執行 下列必要條件步驟。

如需詳細資訊,請參閱:

劇本必要條件

在使用開箱即用的劇本之前,請確定您已針對每個劇本完成下列依需求而定的必要條件:

確保工作手冊的有效連接

此程序可協助確保您的操作手冊中的每個連線步驟都有有效的連線,且是所有解決方案相關操作手冊的必須步驟。

若要確保您的有效連線

  1. 在 Microsoft Sentinel 中,從 自動化>使用中劇本開啟劇本

  2. 選擇腳本以將它開啟為邏輯應用。

  3. 在將 playbook 開啟為邏輯應用程式後,點選 邏輯應用程式設計工具。 展開邏輯應用程式中的每個步驟,以檢查是否有無效的連接,以橙色警告三角形表示。 例如:

    默認AD4IOT AutoAlertStatusSync操作手冊的螢幕快照。

    這很重要

    請務必在邏輯應用程式中詳細檢視每個步驟。 無效的連接可能會隱藏在其他步驟內。

  4. 選取 [儲存]。

將必要的角色新增至您的訂用帳戶

此程序說明如何將必要的角色新增至安裝劇本的 Azure 訂用帳戶,而且僅適用於下列劇本:

每個劇本的必要角色不同,但步驟保持不變。

若要將必要角色新增至您的訂用帳戶

  1. 在 Microsoft Sentinel 中,從 自動化>使用中劇本開啟劇本

  2. 選擇腳本以將它開啟為邏輯應用。

  3. 以邏輯應用程式開啟劇本後,選取 [ 指派身分 > 識別系統],然後在 [ 許可權 ] 區域中,選取 [Azure 角色指派 ] 按鈕。

  4. [Azure 角色指派 ] 頁面中,選取 [新增角色指派]。

  5. 在 [ 新增角色指派 ] 窗格中:

    1. 範圍 定義為 訂用帳戶

    2. 從下拉式清單中,選取您的劇本安裝所在的 訂閱

    3. 從 [ 角色] 下拉式清單中,根據您正在使用的劇本,選取下列其中一個角色:

      劇本名稱 角色
      AD4IoT-AutoAlertStatusSync 安全性系統管理員
      AD4IoT-CVEAutoWorkflow 讀者
      AD4IoT-SendEmailtoIoTOwner 讀者
      AD4IoT-AutoTriageIncident 讀者
  6. 完成時,選取 [儲存]

連結您的事件、相關的分析規則與劇本

程序描述如何設定 Microsoft Sentinel 分析規則,以根據事件觸發器自動執行您的劇本,這是所有解決方案劇本所必需的。

若要新增分析規則

  1. 在 Microsoft Sentinel 中,移至 自動化>自動化規則

  2. 若要建立新的自動化規則,請選取 [ 建立>自動化規則]。

  3. 觸發器 欄位中,根據所使用的劇本,選取下列其中一個觸發器:

    • AD4IoT-AutoAlertStatusSync 劇本:選擇當事件更新時的觸發條件
    • 所有其他解決方案劇本:選取建立事件時觸發程式
  4. 在 [ 條件] 區域中,選取 [如果 > 分析規則名稱 > 包含],然後選取與組織中適用於IoT的Defender相關的特定分析規則。

    例如:

    IoT Defender 警示狀態同步自動化規則的螢幕快照。

    您可能使用現成的分析規則,或者您可能已修改現成的內容,或建立您自己的內容。 如需詳細資訊,請參閱 使用預設配置的適用於 IoT 的 Defender 資料來偵測威脅

  5. 動作 區域中,選取 執行劇本>劇本名稱

  6. 選擇 執行

小提示

您也可以視需要手動執行劇本。 在您想要更充分掌控協調流程和響應程序的情況下,這非常有用。 如需詳細資訊,請參閱 按需執行劇本

自動關閉事件

劇本名稱:AD4IoT-AutoCloseIncidents

在某些情況下,維護活動會在 Microsoft Sentinel 產生警示,可能會讓 SOC 小組分心,無法處理真正的問題。 此操作手冊會在指定的維護期間自動關閉從這類警示建立的事件,明確剖析 IoT 裝置實體欄位。

若要使用此劇本:

  • 輸入預期發生維護的相關時段,以及任何相關資產的IP位址,例如列在Excel檔案中。
  • 建立監視清單,其中包含應該自動處理警示的所有資產IP位址。

依生產線傳送電子郵件通知

劇本名稱:AD4IoT-MailByProductionLine

此作業手冊會傳送郵件,通知相關人員有關您環境中發生的警示和事件。

例如,當您將特定安全性小組指派給特定產品線或地理位置時,您希望該小組收到與其責任相關的警示通知。

若要使用這個劇本,請建立一個監視清單,以映射感測器名稱和您想要警示之每位利害關係人的郵件地址。

建立新的 ServiceNow 票證

劇本名稱:AD4IoT-NewAssetServiceNowTicket

一般而言,授權用來設計 PLC 的實體是工程工作站。 因此,攻擊者可能會建立新的工程工作站,以建立惡意的 PLC 程序設計。

每次偵測到新的工程工作站時,此劇本會在 ServiceNow 中開啟工單,明確解析 IoT 裝置實體的字段。

在適用於IoT的Defender中更新警示狀態

劇本名稱:AD4IoT-AutoAlertStatusSync

每當 Microsoft Sentinel 中的相關警示有狀態更新時,此劇本會在適用於 IoT 的 Defender 中更新警示的狀態

同步處理會覆寫適用於 IoT 的 Defender、Azure 入口網站或感應器主控台中定義的任何狀態,讓警示狀態符合相關事件的狀態。

將具有作用中 CVE 的事件工作流程自動化

劇本名稱:AD4IoT-CVEAutoWorkflow

此劇本會將作用中的 CVE 新增至受影響裝置的事件批注。 如果 CVE 為高危或重大,則根據在 Defender for IoT 中網站層級的定義,系統將執行自動分組並將通知電子郵件發送給裝置擁有者。

若要新增裝置擁有者,請在 IoT Defender 的 網站和感測器 頁面上編輯網站擁有者。 如需詳細資訊,請參閱 Azure 入口網站的網站管理選項

傳送電子郵件給IoT/OT裝置擁有者

劇本名稱:AD4IoT-SendEmailtoIoTOwner

此操作手冊會將事件詳情以電子郵件形式傳送給裝置擁有者,符合 Defender for IoT 中所定義的網站層級,以便他們能夠開始調查,甚至可以直接從自動化電子郵件中回應。 回應選項包括:

  • 是,這是預期的。 選取此選項以關閉事件。

  • 不,這不是預期之內的事。 選取此選項可使事件保持活躍,提高嚴重程度,並將確認標籤新增至事件。

事件會根據裝置擁有者所選取的回應自動更新。

若要新增裝置擁有者,請在 IoT Defender 的 網站和感測器 頁面上編輯網站擁有者。 如需詳細資訊,請參閱 Azure 入口網站的網站管理選項

涉及高度重要裝置的分級事件

劇本名稱:AD4IoT-AutoTriageIncident

此劇本會根據相關裝置的重要性層級來更新事件嚴重性。

後續步驟

如需更多資訊,請參閱我們的部落格:使用 Microsoft Sentinel 保護重要基礎結構:IT/OT 威脅監視解決方案