Co je Microsoft Defender for IoT?

  • 6 min

Microsoft Defender pro IoT poskytuje pasivní monitorování bez agentů s využitím zjišťování prostředků a monitorování zabezpečení napříč důležitými síťovými prostředími, která jsou důležitá pro firmy. Defender for IoT je řešení pro detekci sítě a odpovědi, které je určené pro zjišťování a zabezpečení zařízení IoT/OT.

Defender pro IoT používá analýzy chování a analýzy hrozeb s podporou IoT/OT. Přesahuje řešení založená na podpisech, aby zachytila moderní hrozby. Například malware s nulovým dnem a taktika mimo zemi můžou chybět statickými indikátory ohrožení, ale chycený defenderem pro IoT.

Defender for IoT pomáhá týmům OT a IT automaticky zjišťovat všechny nespravované prostředky, připojení a kritická ohrožení zabezpečení. Pomocí defenderu pro IoT můžete detekovat neobvyklé nebo neoprávněné chování, aniž by to ovlivnilo stabilitu nebo výkon IoT/OT.

Zjištění sítě

Máte přehled o všech zařízeních ve vaší síti? Zařízení, o kterých víte, můžete chránit jenom vy. Pokud použijeme náš příklad společnosti pro správu budov, může zjišťování zahrnovat zařízení, jako jsou výtahy, vchody na parkoviště, kamery a systémy osvětlení.

Konzola senzoru Defenderu pro IoT poskytuje stránku inventáře zařízení a stránku mapy zařízení. Obě poskytují data přechodu k podrobnostem na všech zařízeních OT/IoT ve vaší síti a připojení mezi nimi.

  • Inventář zařízení: Umožňuje zobrazit podrobnosti o zařízení, jako jsou IP adresy a dodavatelé, související protokoly, firmware a upozornění související se zařízením.

    Snímek obrazovky inventáře zařízení z konzoly senzoru

  • Mapa zařízení: Zobrazení cest připojení zařízení OT, topologií sítě OT/IoT a mapování napříč modelem Purdue pro zabezpečení ICS

Mapu zařízení můžete například použít zejména při implementaci zásady nulová důvěra (Zero Trust). Budete muset porozumět připojení mezi zařízeními, abyste zařízení segmentovali do vlastních sítí a mohli spravovat podrobný přístup.

Správa rizik sítě a ohrožení zabezpečení

Po získání přehledu a porozumění zařízením ve vaší síti budete chtít sledovat rizika a ohrožení zabezpečení zařízení.

Sestavy posouzení rizik v programu Defender for IoT jsou dostupné z každé konzoly senzoru. Sestavy vám pomůžou identifikovat ohrožení zabezpečení ve vaší síti. Například chyby zabezpečení můžou zahrnovat neautorizovaná zařízení, nepatchované systémy, neautorizovaná připojení k internetu a zařízení s nepoužívanými otevřenými porty.

Nahlášená data můžete použít k určení priorit aktivit, když zmírníte rizika u nejcitlivějších prostředků OT/IoT, včetně všech zařízení, jejichž ohrožení by mělo velký dopad na vaši organizaci. Mezi příklady dopadu můžou patřit bezpečnostní incidenty, ztráta výnosů nebo krádež citlivých IP adres.

Mějte přehled o nejnovějších inteligentních informacích o hrozbách

S tím, jak se zabezpečení mění a vyvíjí, vznikají nová rizika a hrozby po celou dobu. Skupina pro výzkum zabezpečení Defenderu pro IoT, oddíl 52, je tým odborníků na zabezpečení a datových vědců zaměřený na OT/IoT. Tým oddílu 52 se skládá z odborníků na proaktivní vyhledávání hrozeb, zpětné analýzy malwaru, reakce na incidenty a analýzu dat.

Oddíl 52 průběžně omezuje balíčky analýzy hrozeb vytvořené speciálně pro prostředí OT/IoT. Balíčky zahrnují nejnovější:

  • Incidenty obav, jako jsou podpisy malwaru, škodlivé dotazy DNS a škodlivé IP adresy.
  • Běžná ohrožení zabezpečení a ohrožení zabezpečení při aktualizaci sestav správa ohrožení zabezpečení pro Defender for IoT
  • Profily prostředků, které vylepšují funkce zjišťování prostředků Defenderu pro IoT.

Díky nejnovějším hrozbám OT/IoT můžete udržovat aktuální nasazení Defenderu pro IoT s nejnovějšími balíčky analýzy hrozeb.

Snímek obrazovky, který ukazuje, jak aktualizovat balíčky analýzy hrozeb na webu Azure Portal

Správa webů a senzorů

I když můžete Defender for IoT nasadit v čistě vzduchovém prostředí, v místním prostředí můžete také nasadit senzory místních zařízení z cloudu pomocí webu Azure Portal. Pomocí stránky Začínáme můžete zaregistrovat senzory do konkrétního předplatného a prostředku Azure. Nasazení z portálu je užitečné, pokud chcete snížit požadavky na provozní a údržbu systémů pro správu a pokud máte nasazené jiné služby Microsoftu a Azure.

Onboardované senzory jsou viditelné na stránce Weby a senzory Defenderu pro IoT na webu Azure Portal. Tato stránka bude vypadat dobře zkušeným uživatelům Azure a zobrazí podrobnosti o jednotlivých webech a senzorech. Stránku Weby a senzory můžete použít k zobrazení stavu aktualizace jednotlivých senzorů, stavu připojení a aktualizace analýzy hrozeb. Můžete ho také použít k přidání dalších senzorů do nasazení.

Snímek obrazovky znázorňující stránku Weby a senzory na webu Azure Portal

Po onboardingu lokalit a senzorů do Defenderu for IoT můžete pomocí provozních upozornění monitorovat události, ke kterým dochází ve vaší síti. Provozní výstrahy jsou užitečné v případě, že máte špatně nakonfigurované nebo nesprávně nakonfigurované vybavení. Pokud například Defender for IoT neustále kontroluje vaši síť, můžete identifikovat chybně nakonfigurovaný technický pracovní prostor a rychle vyřešit původní příčiny vašich problémů.

Snímek obrazovky znázorňující stránku Upozornění v konzole senzoru

Integrace s dalšími službami Microsoftu a partnerů

Pokud máte další systémy, které jsou nasazené pro monitorování zabezpečení a zásady správného řízení, můžete integrovat zabezpečení OT/IoT s ostatními systémy a zajistit tak bezproblémové prostředí pro vaše týmy.

Defender for IoT můžete například integrovat přímo se službou Microsoft Sentinel nebo partnerskými službami, jako jsou Splunk, IBM QRadar nebo ServiceNow.

Integrujte Defender pro IoT s dalšími službami do:

  • Rozdělte sila, která zpomalují komunikaci mezi it týmy a týmy OT, a poskytují společný jazyk napříč systémy, které pomáhají rychle řešit problémy.
  • Pomůže vám rychle řešit útoky, které překračují hranice IT/OT, jako je TRITON.
  • Používejte pracovní postupy, školení a nástroje, které jste strávili roky sestavováním týmu SOC, a použijte je na zabezpečení IoT/OT.

Integrace s Microsoft Sentinelem

Integrace Defenderu pro IoT a Microsoft Sentinelu pomáhá týmům SOC detekovat a reagovat rychleji během celé časové osy útoku. Integrace Defenderu pro IoT a Microsoft Sentinel může zlepšit komunikaci, procesy a dobu odezvy pro analytiky zabezpečení a pracovníky OT. Sešity Microsoft Sentinelu, analytická pravidla a playbooky zabezpečení a reakce pomáhají monitorovat hrozby OT zjištěné v defenderu pro IoT a reagovat na ně.

Nainstalujte datový konektor Defender for IoT do pracovního prostoru Microsoft Sentinelu. Datový konektor Defender for IoT obsahuje následující integrovaný obsah:

  • Sešity: Pomocí sešitů Microsoft Sentinelu můžete vizualizovat a monitorovat data Defenderu pro IoT z Microsoft Sentinelu. Sešity poskytují prošetřování entit OT na základě otevřených incidentů, oznámení výstrah a aktivit pro prostředky OT.
  • Šablony analytických pravidel: Pomocí šablon analytických pravidel Služby Microsoft Sentinel můžete nakonfigurovat triggery incidentů pro výstrahy generované defenderem pro IoT z provozu OT.

Playbooky Microsoft Sentinelu pak můžete použít k vytvoření automatizovaných nápravných akcí, které se spustí jako rutina, které vám pomůžou automatizovat a orchestrovat reakci na hrozby. Playbooky můžete spouštět ručně nebo je nastavit tak, aby se spouštěly automaticky v reakci na konkrétní výstrahy nebo incidenty. Jako trigger použijte analytické pravidlo nebo pravidlo automatizace.

Snímek obrazovky znázorňující datový konektor Defender for IoT v Microsoft Sentinelu