Jak Funguje Microsoft Defender for IoT

  • 3 min

V této lekci popíšeme, jak Microsoft Defender for IoT funguje na pozadí.

Flexibilní nasazení

Defender pro IoT podporuje několik a flexibilních řešení nasazení:

  • Cloudová nasazení: Senzory OT, nasazené na fyzických nebo virtuálních zařízeních, se připojují k Defenderu for IoT na webu Azure Portal. Pomocí webu Azure Portal můžete spravovat senzory a data senzorů a integrovat je s dalšími služby Microsoft, jako je Microsoft Sentinel.
  • Sítě s mezerami ve vzduchu: Nasaďte Defender pro IoT plně místně a připojte se k místnímu systému zabezpečení a správy událostí (SIEM). S Microsoft Sentinelem můžete integrovat přímo nebo s řadou partnerských nástrojů SOC, jako jsou Splunk, IBM QRadar a ServiceNow.
  • Hybridní nasazení: Pokud chcete pracovat v hybridním prostředí, můžete místní senzory spravovat místně a stále se připojovat ke cloudovému systému SIEM, jako je Microsoft Sentinel.

Defender pro senzory IoT

Senzory Defenderu pro IoT se nasazují místně jako virtuální nebo fyzické zařízení. Vyhledávají a nepřetržitě monitorují síťová zařízení a shromažďují síťový provoz průmyslového řídicího systému (ICS).

Senzory používají pasivní monitorování zařízení IoT/OT nebo bez agentů. Senzory se připojují k portu SPAN nebo síťovému TAP a spouštějí hloubkovou kontrolu paketů v síťovém provozu IoT/OT.

K veškerému shromažďování, zpracování, analýze a upozorňování dochází přímo na senzorovém počítači, což je ideální pro umístění s nízkou šířkou pásma nebo připojením s vysokou latencí. Ke správě se přenesou jenom metadata na web Azure Portal.

Následující obrázek ukazuje ukázkový snímek obrazovky ze stránky Výstrahy na konzole senzoru. Zobrazuje výstrahy aktivované zařízeními připojenými k tomuto senzoru.

Snímek obrazovky znázorňující stránku Upozornění konzoly senzoru

Moduly pro strojové učení Defender for IoT

Analytické moduly pro samou učení nebo strojové učení v Defenderu pro IoT eliminují potřebu aktualizace podpisů nebo definování pravidel. Moduly Defenderu pro IoT používají analýzy chování specifické pro ICS a datové vědy k nepřetržité analýze síťového provozu OT pro:

  • Anomálie.
  • Malware.
  • Provozní problémy.
  • Porušení protokolu.
  • Odchylky síťové aktivity podle směrného plánu

Mezi senzory Defenderu pro IoT patří také pět modulů pro detekci analýz, které aktivují výstrahy na základě analýzy provozu v reálném čase i předem zaznamenaného provozu:

  • Modul pro zjišťování porušení zásad: Používá strojové učení k upozorňování na odchylky chování podle směrného plánu, jako je neoprávněné použití konkrétních kódů funkcí, přístup k určitým objektům nebo změny konfigurace zařízení. Mezi příklady patří změněná verze softwaru DeltaV, změny firmwaru a neautorizované programovací výstrahy PLC.
  • Modul pro detekci porušení protokolu: Identifikuje použití struktur paketů a hodnot polí, které porušují specifikace protokolu ICS. Mezi příklady patří výjimky Modbus a inicializace upozornění na zastaralý kód funkce.
  • Modul pro detekci malwaru: Identifikuje chování, které indikuje přítomnost známého průmyslového malwaru. Mezi příklady patří Conficker, Black Energy, Havex, WannaCry, NotPetya a Triton.
  • Modul detekce anomálií: Detekuje neobvyklou komunikaci mezi počítači a chováním. Mezi příklady patří nadměrné pokusy o přihlášení smb nebo kontroly PLC.
  • Modul pro detekci provozních incidentů: Detekuje provozní problémy, jako je přerušované připojení, což může značit počáteční známky selhání zařízení. Například když zařízení nereaguje a může být odpojeno, mohou být výstrahy odeslány příkazem Siemens S7 stop PLC .