Funcionamiento de Microsoft Defender para IoT

  • 3 minutos

En esta unidad, describiremos cómo funciona Microsoft Defender para IoT en segundo plano.

Implementación flexible

Defender para IoT admite varias soluciones de implementación flexibles:

  • Implementaciones en la nube: los sensores de OT, implementados en dispositivos físicos o virtuales, se conectan a Defender para IoT en Azure Portal. Use Azure Portal para administrar los sensores y los datos del sensor, y realizar la integración con otros servicios Microsoft como Microsoft Sentinel.
  • Redes aisladas: implemente Defender para IoT completamente de forma local y conéctese a un sistema de administración de eventos e información de seguridad (SIEM) local. La integración con Microsoft Sentinel se puede realizar directamente o con una gama de herramientas de SOC de asociados, como Splunk, IBM, QRadar y ServiceNow.
  • Implementaciones híbridas: para trabajar en un entorno híbrido, puede administrar los sensores locales localmente y seguir conectándose a un SIEM basado en la nube, como Microsoft Sentinel.

Sensores de Defender para IoT

Los sensores de Defender para IoT se implementan de forma local, como un dispositivo virtual o físico. Detectan y supervisan continuamente dispositivos de red y recopilan el tráfico de red del sistema de control industrial (ICS).

Los sensores usan la supervisión pasiva (también denominada sin agente) para los dispositivos de IoT/OT. Los sensores se conectan a un puerto de SPAN o a un TAP de red para ejecutar una inspección profunda de paquetes en el tráfico de red de IoT/OT.

Toda la recopilación de datos, el procesamiento, el análisis y las alertas se producen directamente en la máquina del sensor, lo que hace que el proceso sea ideal para ubicaciones con un ancho de banda bajo o una conectividad de latencia alta. Solo los metadatos se transfieren a Azure Portal para su administración.

En la imagen siguiente se muestra una captura de pantalla de ejemplo de la página Alertas de una consola del sensor. Muestra las alertas desencadenadas por los dispositivos conectados a este sensor.

Captura de pantalla que muestra una página de alertas de la consola del sensor.

Motores de aprendizaje automático de Defender para IoT

Los motores de análisis de autoaprendizaje (también denominado aprendizaje automático) de Defender para IoT eliminan la necesidad de actualizar firmas o definir reglas. Los motores de Defender para IoT utilizan el análisis de comportamiento y la ciencia de datos específicos de ICS para analizar continuamente el tráfico de red OT en busca de:

  • Anomalías.
  • Malware.
  • Problemas de funcionamiento.
  • Infracciones del protocolo.
  • Desviaciones de la actividad de red de base de referencia.

Los sensores de Defender para IoT también incluyen cinco motores de detección de análisis que desencadenan alertas en función del análisis del tráfico en tiempo real y el tráfico previamente registrado:

  • Motor de detección de infracciones de directivas: usa el aprendizaje automático para alertar sobre las desviaciones en el comportamiento de línea de base, como el uso no autorizado de códigos de función específicos, el acceso a objetos específicos o cambios en la configuración del dispositivo. Entre los ejemplos se incluyen la versión de software de DeltaV cambiada, los cambios de firmware y las alertas de programación de PLC no autorizadas.
  • Motor de detección de infracciones del protocolo: identifica el uso de estructuras de paquetes y valores de campo que infringen las especificaciones del protocolo ICS. Entre los ejemplos se incluyen las excepciones Modbus y el inicio de una alerta de código de función obsoleta.
  • Motor de detección de malware: identifica comportamientos que indican la presencia de malware industrial conocido. Entre los ejemplos se incluyen Conficker, Black Energy, Havex, WannaCry, NotPetya y Triton.
  • Motor de detección de anomalías: detecta comportamientos y comunicaciones entre equipos inusuales. Entre los ejemplos se incluyen exámenes de PLC o intentos de inicio de sesión de SMB excesivos.
  • Motor de detección de incidentes operativos: detecta incidentes operativos, como la conectividad intermitente, que pueden ser indicadores de los primeros síntomas de errores en el equipo. Por ejemplo, cuando un dispositivo no responde y puede estar desconectado, es posible que se envíen alertas con un comando de detección de PLC Siemens S7.