Compartilhar via


Tutorial: investigar e detectar ameaças em dispositivos IoT

A integração entre o Microsoft Defender para IoT e o Microsoft Sentinel permite que as equipes do centro de operações de segurança detectem e respondam às ameaças de segurança na rede com eficiência. Aprimore suas funcionalidades de segurança com a solução Microsoft Defender para IoT, um pacote de conteúdo configurado especificamente para os dados do Defender para IoT que inclui regras de análise, pastas de trabalho e guias estratégicos.

Neste tutorial, você:

  • Instale a solução do Microsoft Defender para IoT em seu workspace do Microsoft Sentinel
  • Saiba como investigar alertas do Defender para IoT em incidentes do Microsoft Sentinel
  • Saiba mais sobre as regras de análise, pastas de trabalho e manuais implantados em seu workspace do Microsoft Sentinel com a solução do Microsoft Defender para IoT

Importante

A experiência do hub de conteúdo do Microsoft Sentinel está atualmente em VERSÃO PRÉVIA, assim como a solução do Microsoft Defender para IoT. Veja os Termos de Uso Complementares para Versões Prévias do Microsoft Azure para termos legais adicionais que se aplicam aos recursos do Azure que estão em versão beta, versão prévia ou que, de outra forma, ainda não foram lançados em disponibilidade geral.

Pré-requisitos

Antes de começar, verifique se você tem estes itens:

Instalar a solução Defender para IoT

As soluções do Microsoft Sentinel podem ajudar na integração do conteúdo de segurança do Microsoft Sentinel para um conector de dados específico usando um único processo.

A solução do Microsoft Defender para IoT integra os dados do Defender para IoT com os recursos de SOAR (orquestração, automação e resposta de segurança) do Microsoft Sentinel, fornecendo manuais prontos para uso e otimizados para recursos automatizados de resposta e prevenção.

Para instalar a solução:

  1. No Microsoft Sentinel, em Gerenciamento de conteúdo, selecione Hub de conteúdo e localize a solução do Microsoft Defender para IoT.

  2. Na parte inferior direita, selecione Exibir detalhes e, depois, Criar. Selecione a assinatura, o grupo de recursos e o workspace em que você deseja instalar a solução, depois analise o conteúdo de segurança relacionado que será implantado.

  3. Ao terminar, selecione Analisar + Criar para instalar a solução.

Para obter mais informações, confira Sobre o conteúdo e as soluções do Microsoft Azure Sentinel e Descobrir e implantar centralmente conteúdo pronto para uso e soluções.

Detectar ameaças prontas para uso com os dados do Defender para IoT

O conector de dados do Microsoft Defender para IoT inclui uma regra de segurança padrão da Segurança da Microsoft chamada Criar incidentes com base em alertas do Azure Defender para IoT, que cria automaticamente novos incidentes para qualquer novo alerta detectado no Defender para IoT.

A solução do Microsoft Defender para IoT inclui um conjunto mais detalhado de regras de análise prontas para uso, que são criadas especificamente para uso com os dados do Defender para IoT e filtram os incidentes criados no Microsoft Sentinel para alertas relevantes.

Para usar os alertas do Defender para IoT prontos para uso:

  1. Na página Análise do Microsoft Sentinel Analytics, procure e desative a regra Criar incidentes com base no Azure Defender para alertas IOT. Essa etapa impede que incidentes duplicados sejam criados no Microsoft Sentinel em relação aos mesmos alertas.

  2. Pesquise e habilite qualquer uma das seguintes regras de análise prontas para uso instaladas com a solução do Microsoft Defender para IoT:

    Nome da Regra Descrição
    Códigos de função ilegais para o tráfego de ICS/SCADA Os códigos de função ilegais em equipamentos de controlo de supervisão e aquisição de dados (SCADA) podem indicar um dos seguintes elementos:

    – -Configuração inadequada de aplicativo, por exemplo, devido a uma atualização ou reinstalação de firmware.
    – Atividade mal-intencionada. Por exemplo, uma ameaça cibernética que tenta usar valores ilegais dentro de um protocolo para explorar uma vulnerabilidade no PLC (controlador lógico programável), como uma visão geral de buffer.
    Atualização de firmware Atualizações de firmware não autorizadas podem indicar atividades mal-intencionadas na rede, como uma ameaça cibernética que tenta manipular o firmware do PLC para comprometer a função do PLC.
    Alterações não autorizadas de PLC Alterações não autorizadas no código lógico ladder do PLC podem ser uma das seguintes:

    – Uma indicação de nova funcionalidade no PLC.
    – Configuração inadequada de um aplicativo, por exemplo, devido a uma atualização ou reinstalação de firmware.
    – Atividade mal-intencionada na rede, como uma ameaça cibernética que tenta manipular a programação do PLC para comprometer sua função.
    Estado da chave insegura do PLC O novo modo pode indicar que o PLC não é seguro. Deixar o PLC em um modo de operação inseguro pode permitir que os adversários realizem atividades mal-intencionadas nele, como um download de programa.

    Se o PLC estiver comprometido, os dispositivos e processos que interagem com ele poderão ser afetados, o que pode afetar a segurança geral do sistema.
    Parada do PLC O comando de parada do PLC pode indicar uma configuração inadequada de um aplicativo que fez com que o PLC parasse de funcionar ou uma atividade mal-intencionada na rede. Por exemplo, uma ameaça cibernética que tenta manipular a programação do PLC para afetar a funcionalidade da rede.
    Malware suspeito encontrado na rede Um malware suspeito encontrado na rede indica que ele está tentando comprometer a produção.
    Vários exames na rede Várias varreduras na rede podem ser uma indicação de um dos seguintes:

    - Um novo dispositivo na rede
    - Nova funcionalidade de um dispositivo existente
    - Configuração incorreta de um aplicativo, como devido a uma atualização ou reinstalação de firmware
    – Atividade mal-intencionada na rede para reconhecimento
    Conectividade com a Internet Um dispositivo OT se comunicando com endereços da Internet pode indicar uma configuração de aplicativo incorreta, como software antivírus tentando baixar atualizações de um servidor externo ou atividades mal-intencionadas na rede.
    Dispositivo não autorizado na rede de SCADA Um dispositivo não autorizado na rede pode ser um novo dispositivo legítimo que foi instalado recentemente ou uma indicação de atividade não autorizada ou até mesmo mal-intencionada na rede, como uma ameaça cibernética tentando manipular a rede de SCADA.
    Configuração de DHCP não autorizada na rede de SCADA Uma configuração de DHCP não autorizada na rede pode indicar que há um novo dispositivo não autorizado operando na rede.

    Pode ser um dispositivo novo e legítimo que foi implantado recentemente na rede ou uma indicação de atividade não autorizada ou até mesmo mal-intencionada na rede, como uma ameaça cibernética tentando manipular a rede de SCADA.
    Número excessivo de tentativas de logon Tentativas de entrada excessivas podem indicar uma configuração incorreta do serviço, um erro humano ou uma atividade mal-intencionada na rede, como uma ameaça cibernética tentando manipular a rede de SCADA.
    Alta largura de banda na rede Uma largura de banda incomumente alta pode ser uma indicação de um novo serviço/processo na rede, como um backup, ou uma indicação de atividade mal-intencionada na rede, como uma ameaça cibernética tentando manipular a rede de SCADA.
    Negação de Serviço Esse alerta detecta ataques que impediriam o uso ou a operação adequada do sistema DCS.
    Acesso remoto não autorizado à rede O acesso remoto não autorizado à rede pode comprometer o dispositivo de destino.

    Isso significa que, se outro dispositivo da rede estiver comprometido, os dispositivos de destino poderão ser acessados remotamente, aumentando a superfície de ataque.
    Nenhum tráfego detectado no sensor Um sensor que não detecta mais tráfego de rede indica que o sistema pode estar inseguro.

Investigar incidentes do Defender para IoT

Depois de configurar seus dados do Defender para IoT para disparar novos incidentes no Microsoft Sentinel, comece a investigar esses incidentes no Microsoft Sentinel como faria com outros incidentes.

Para investigar incidentes do Microsoft Defender para IoT:

  1. No Microsoft Sentinel, vá para a página Incidentes.

  2. Acima da grade de incidentes, selecione o filtro Nome do produto e desmarque a opção Selecionar tudo. Depois disso selecione Microsoft Defender para IoT para exibir penas os incidentes disparados pelos alertas do Defender para IoT. Por exemplo:

    Screenshot of filtering incidents by product name for Defender for IoT devices.

  3. Para iniciar uma investigação, selecione um incidente específico.

    No painel de detalhes do incidente à direita, visualize detalhes como a gravidade do incidente, um resumo das entidades envolvidas, quaisquer táticas ou técnicas mapeadas do MITRE ATT&CK e muito mais. Por exemplo:

    Screenshot of a Microsoft Defender for IoT incident in Microsoft Sentinel.

  4. Selecione Exibir detalhes completos para abrir a página de detalhes do incidente, onde é possível obter ainda mais informações. Por exemplo:

    • Entenda o impacto nos negócios e a localização física do incidente usando detalhes, como o site de um dispositivo IoT, a zona, o nome do sensor e a importância do dispositivo.

    • Saiba mais sobre as etapas de correção recomendadas selecionando um alerta na linha do tempo do incidente e exibindo a área Etapas de correção.

    • Selecione uma entidade do dispositivo IoT na lista Entidades para abrir a página da entidade do dispositivo. Para saber mais, confira Investigar mais informações com as entidades do dispositivo IoT.

Para obter mais informações, confira Investigar incidentes com o Microsoft Sentinel.

Dica

Para investigar o incidente no Defender para IoT, clique no link Investigar no Microsoft Defender para IoT na parte superior do painel de detalhes do incidente na página Incidentes.

Investigar mais informações com entidades de dispositivo IoT

Ao investigar um incidente no Microsoft Sentinel e abrir o painel de detalhes do incidente à direita, selecione uma entidade do dispositivo IoT na lista Entidades para ver mais detalhes sobre ela. Identifique um dispositivo IoT pelo ícone dele:

Se você não vir a entidade do dispositivo IoT imediatamente, selecione Exibir todos os detalhes para abrir a página completa do incidente e verifique a guia Entidades. Em seguida, selecione uma entidade do dispositivo IoT para exibir mais dados sobre ela, como detalhes básicos do dispositivo, informações de contato do proprietário e uma linha do tempo de eventos ocorridos nele.

Para realizar uma análise detalhada, selecione o link da entidade do dispositivo IoT e abra a página de detalhes da entidade do dispositivo ou procure dispositivos vulneráveis na página Comportamento de entidades do Microsoft Sentinel. Por exemplo, veja os cinco principais dispositivos de IoT com o maior número de alertas ou pesquise um dispositivo por endereço IP ou nome do dispositivo:

Screenshot of IoT devices by number of alerts on entity behavior page.

Para saber mais, confira Investigar entidades com páginas de entidade no Microsoft Sentinel e Investigar incidentes com o Microsoft Sentinel.

Investigar o alerta no Defender para IoT

Para abrir um alerta no Defender para IoT para investigação detalhada, incluindo a capacidade de acessar dados de alerta do PCAP, vá para a página de detalhes do incidente e selecione Investigar no Microsoft Defender para IoT. Por exemplo:

Screenshot of the Investigate in Microsoft Defender for IoT option.

A página de detalhes do alerta do Defender para IoT será aberta no alerta relacionado. Para obter mais informações, confira Investigar e responder a um alerta de rede OT.

Visualizar e monitorar os dados do Defender para IoT

Para visualizar e monitorar os dados do Defender para IoT, use as pastas de trabalho implantadas no workspace do Microsoft Sentinel como parte da solução do Microsoft Defender para IoT.

As pastas de trabalho do Defender para IoT fornecem investigações guiadas para as entidades de OT com base em incidentes abertos, notificações de alerta e atividades em ativos de OT. Eles também fornecem uma experiência de caça em toda a estrutura MITRE ATT&CK® para ICS e são projetados para permitir que analistas, engenheiros de segurança e MSSPs obtenham consciência situacional da postura de segurança OT.

Veja as pastas de trabalho no Microsoft Sentinel na guia Gerenciamento de ameaças > Pastas de trabalho > Minhas pastas de trabalho. Para obter mais informações, confira Visualizar dados coletados.

A tabela a seguir descreve as pastas de trabalho incluídas na solução do Microsoft Defender para IoT:

Pasta de trabalho Descrição Logs
Visão geral Painel exibindo um resumo das principais métricas de inventário de dispositivos, detecção de ameaças e vulnerabilidades. Usa dados do ARG (Azure Resource Graph)
Inventário do Dispositivo Exibe dados como: nome do dispositivo OT, tipo, endereço IP, endereço Mac, modelo, Sistema Operacional, Número de Série, Fornecedor, Protocolos, Alertas abertos, CVEs e recomendações por dispositivo. Pode ser filtrado por local, zona e sensor. Usa dados do ARG (Azure Resource Graph)
Incidentes Exibe dados como:

– Métricas de incidentes, Incidente principal, Incidentes ao longo do tempo, Incidente por protocolo, Incidente por tipo de dispositivo, Incidente por fornecedor e Incidente por endereço IP.

– Incidente por severidade, Tempo de resposta média ao incidente, Tempo médio de resolução do incidente e Motivos de fechamento do incidente.
Usa os dados do seguinte log: SecurityAlert
Alertas Exibe dados como: Métricas de alerta, Alertas mais recentes, Alerta ao longo do tempo, Alerta por severidade, Alerta por mecanismo, Alerta por tipo de dispositivo, Alerta por fornecedor e Alerta por endereço IP. Usa dados do ARG (Azure Resource Graph)
MITRE ATT&CK® para ICS Exibe dados como: Contagem de táticas, Detalhes da tática, Tática ao longo do tempo, Contagem de técnicas. Usa os dados do seguinte log: SecurityAlert
Vulnerabilidades Exibe vulnerabilidades e CVEs para dispositivos vulneráveis. Pode ser filtrado por local do dispositivo e gravidade de CVE. Usa dados do ARG (Azure Resource Graph)

Automatizar a resposta aos alertas do Defender para IoT

Os guias estratégicos são coleções de ações de correção automatizadas que podem ser executadas no Microsoft Sentinel como uma rotina. Um guia estratégico pode ajudar a automatizar e orquestrar a reação à ameaça. Pode ser executado manualmente ou configurado para ser executado automaticamente em resposta a alertas ou incidentes específicos, quando acionado por uma regra analítica ou uma regra de automação, respectivamente.

A solução do Microsoft Defender para IoT inclui manuais prontos para uso que fornecem as seguintes funcionalidades:

Antes de usar os guias estratégicos prontos para uso, execute as etapas de pré-requisito conforme listado abaixo.

Para obter mais informações, consulte:

Pré-requisitos de guia estratégico

Antes de usar os guias estratégicos prontos para uso, execute os seguintes pré-requisitos, conforme necessário, para cada guia estratégico:

Garantir conexões de guia estratégico válidas

Este procedimento ajuda a garantir que cada etapa de conexão em seu manual tenha conexões válidas e seja necessária para todos os manuais de solução.

Para garantir a validade de suas conexões:

  1. No Microsoft Sentinel, abra o guia em Automação>Guias estratégicos ativos.

  2. Selecione um guia estratégico para abri-lo como um aplicativo lógico.

  3. Com o guia estratégico aberto como aplicativo lógico, selecione Designer de aplicativo lógico. Expanda cada etapa no aplicativo lógico para verificar se há conexões inválidas, que são indicadas por um triângulo de aviso laranja. Por exemplo:

    Screenshot of the default AD4IOT AutoAlertStatusSync playbook.

    Importante

    Expanda cada etapa no aplicativo lógico. Conexões inválidas podem estar ocultas em outras etapas.

  4. Selecione Salvar.

Adicionar uma função necessária à sua assinatura

Este procedimento descreve como adicionar uma função necessária à assinatura do Azure em que o guia estratégico está instalado e é necessário apenas para os seguintes guias estratégicos:

As funções necessárias diferem por guia estratégico, mas as etapas permanecem as mesmas.

Para adicionar uma função necessária à sua assinatura:

  1. No Microsoft Sentinel, abra o guia em Automação>Guias estratégicos ativos.

  2. Selecione um guia estratégico para abri-lo como um aplicativo lógico.

  3. Com o guia estratégico aberto como aplicativo lógico, selecione Sistema de Identidade> atribuído e, na área Permissões, selecione o botão Atribuições de função do Azure.

  4. No painel Atribuições de função do Azure, selecione Adicionar atribuição de função.

  5. No painel Adicionar atribuição de função:

    1. Definir o Escopo como Assinatura.

    2. Na lista suspensa, selecione a Assinatura em que seu guia estratégico está instalado.

    3. Na lista suspensa Função, selecione uma das seguintes funções, dependendo do guia estratégico com o qual você está trabalhando:

      Nome do guia estratégico Função
      AD4IoT-AutoAlertStatusSync Administrador de Segurança
      AD4IoT-CVEAutoWorkflow Leitor
      AD4IoT-SendEmailtoIoTOwner Leitor
      AD4IoT-AutoTriageIncident Leitor
  6. Quando terminar, selecione Salvar.

Conectar seus incidentes, regras de análise relevantes e o guia estratégico

Este procedimento descreve como configurar uma regra de análise do Microsoft Sentinel para executar automaticamente seus guias estratégicos com base em um gatilho de incidente e é necessário para todos os guias da solução.

Para adicionar sua regra de análise:

  1. No Microsoft Sentinel, vá para Automação>Regras de automação.

  2. Para criar uma nova regra de automação, selecione Criar>Regra de automação.

  3. No campo Gatilho, selecione um dos seguintes gatilhos, dependendo do guia estratégico com o qual você está trabalhando:

    • Para o guia estratégico AD4IoT-AutoAlertStatusSync: selecione o gatilho Quando um incidente é atualizado
    • Todos os outros guias estratégicos da solução: selecione o gatilho Quando um incidente é criado
  4. Na área Condições, selecione . Se o >Nome da regra de análise> contém e, em seguida, selecione as regras de análise específicas relevantes para o Defender for IoT em sua organização.

    Por exemplo:

    Screenshot of a Defender for IoT alert status sync automation rule.

    Talvez você esteja usando regras de análise prontas para uso ou tenha modificado o conteúdo pronto para uso ou criado o seu próprio. Para obter mais informações, confira Detectar ameaças prontas para uso com os dados do Defender para IoT.

  5. Na área Ações, selecione Executar guia estratégico>nome do guia estratégico.

  6. Selecione Executar.

Dica

Você também pode executar um guia estratégico sob demanda manualmente. Essa opção pode ser útil em situações em que você deseja ter mais controle sobre os processos de orquestração e resposta. Para obter mais informações, confira Executar um fluxo de trabalho sob demanda.

Fechar incidentes automaticamente

Nome do guia estratégico: AD4IoT-AutoCloseIncidents

Em alguns casos, as atividades de manutenção geram alertas no Microsoft Sentinel, os quais podem fazer com que a equipe do SOC deixe de tratar os problemas reais. Esse guia estratégico fecha automaticamente os incidentes criados com base nesses alertas durante um período de manutenção especificado, analisando explicitamente os campos de entidade do dispositivo de IoT.

Para usar esse guia estratégico:

  • Insira o período de tempo relevante em que a manutenção deve ocorrer e os endereços IP de quaisquer ativos relevantes, como os listados em um arquivo Excel.
  • Crie uma watchlist que inclua todos os endereços IP do ativo em que os alertas devem ser tratados automaticamente.

Enviar notificações por email por linha de produção

Nome do guia estratégico: AD4IoT-MailByProductionLine

Esse guia estratégico envia um email para notificar stakeholders específicos sobre alertas e eventos que ocorrem em seu ambiente.

Por exemplo, quando você tiver equipes de segurança específicas atribuídas a linhas de produtos ou localizações geográficas específicas, essas equipes devem ser notificadas sobre alertas relevantes às suas responsabilidades.

Para usar esse guia estratégico, crie uma watchlist que mapeia entre os nomes de sensor e os endereços de email de cada um dos stakeholders que você deseja alertar.

Criar um novo tíquete do ServiceNow

Nome do guia estratégico: AD4IoT-NewAssetServiceNowTicket

Normalmente, a entidade autorizada a programar um PLC é a Estação de trabalho de engenharia. Assim, os invasores podem criar novas Estações de trabalho de engenharia para criar uma programação de PLC mal-intencionada.

Esse guia estratégico abre um tíquete no ServiceNow sempre que uma nova Estação de trabalho de engenharia é detectada, analisando explicitamente os campos de entidade do dispositivo IoT.

Atualizar status de alerta no Defender para IoT

Nome do guia estratégico: AD4IoT-AutoAlertStatusSync

Este guia estratégico atualiza os status de alerta no Defender para IoT, sempre que um alerta relacionado no Microsoft Sentinel tem uma atualização de Status.

Essa sincronização substitui os status definidos no Defender para IoT, no portal do Azure ou no console do sensor, para que os status do alerta correspondam ao do incidente relacionado.

Automatizar fluxos de trabalho para incidentes com CVEs ativos

Nome do guia estratégico: AD4IoT-CVEAutoWorkflow

Esse guia estratégico adiciona CVEs ativos aos comentários de incidente dos dispositivos afetados. Uma triagem automatizada é realizada se a CVE for crítica e uma notificação por email é enviada ao proprietário do dispositivo, conforme definido no nível do local no Defender para IoT.

Para adicionar um proprietário de dispositivo, edite-o na página Locais e sensores no Defender para IoT. Para obter mais informações, confira Opções de gerenciamento de locais no portal do Azure.

Enviar email para o proprietário do dispositivo IoT/OT

Nome do guia estratégico: AD4IoT-SendEmailtoIoTOwner

Esse guia estratégico envia um email com os detalhes do incidente para o proprietário do dispositivo, conforme definido no nível do site no Defender para IoT, para que ele possa começar a investigar e até mesmo responder diretamente via email automatizado. Essas opções de respostas incluem:

  • Sim, isso é esperado. Selecione esta opção para fechar o incidente.

  • Não, isso NÃO é esperado. Selecione esta opção para manter o incidente ativo, aumentar a gravidade e adicionar uma marca de confirmação ao incidente.

O incidente é atualizado automaticamente com base na resposta selecionada pelo proprietário do dispositivo.

Para adicionar um proprietário de dispositivo, edite-o na página Locais e sensores no Defender para IoT. Para obter mais informações, confira Opções de gerenciamento de locais no portal do Azure.

Triagem de incidentes envolvendo dispositivos altamente relevantes

Nome do guia estratégico: AD4IoT-AutoCloseIncidents

Este guia estratégico atualiza a gravidade do incidente de acordo com o nível de importância dos dispositivos envolvidos.

Próximas etapas

Para obter mais informações, confira nosso blog: Como defender a infraestrutura crítica com o Microsoft Sentinel: solução de monitoramento de ameaças de TI/OT