O que é o Microsoft Defender para IoT?
O Microsoft Defender para IoT fornece monitoramento passivo e sem agente, com descoberta de ativos e monitoramento de segurança em ambientes de rede comercialmente críticos. O Defender para IoT é uma solução de detecção e resposta de rede desenvolvida especificamente para descobrir e proteger dispositivos IoT/OT.
O Defender para IoT usa análise comportamental com reconhecimento de IoT/OT e inteligência contra ameaças. Ele supera as soluções baseadas em assinatura para capturar ameaças modernas. Por exemplo, malware de dia zero e táticas de LotL (living-off-the-land) podem ser não ser detectados por indicadores estáticos de comprometimento, mas eles são capturados pelo Defender para IoT.
O Defender para IoT ajuda as equipes de OT e TI a descobrir automaticamente quaisquer ativos não gerenciados, conexões e vulnerabilidades críticas. Use o Defender para IoT para detectar comportamento anômalo ou não autorizado sem afetar a estabilidade ou o desempenho da IoT/OT.
Descubra sua rede
Você tem visibilidade sobre todos os dispositivos da sua rede? Você só pode proteger os dispositivos que conhece. Se usarmos nosso exemplo de uma empresa de gerenciamento de edifícios, a descoberta pode incluir dispositivos como elevadores, entradas de estacionamentos, câmeras e sistemas de iluminação.
O console do sensor Defender para IoT fornece uma página de Inventário de dispositivos e uma página de Mapa de dispositivos. Ambas fornecem dados detalhados em cada um dos dispositivos OT/IoT em sua rede e as conexões entre eles.
Inventário de dispositivos: exibe detalhes do dispositivo, como endereços IP e fornecedores, protocolos relacionados, firmware e alertas relacionados ao dispositivo.
Mapa do dispositivo: exibe caminhos de conexão do dispositivo OT, topologias de rede OT/IoT e mapeamento no modelo Purdue para segurança do ICS.
Por exemplo, você pode usar especialmente o mapa de dispositivos ao implementar uma política de confiança zero. Você precisará entender as conexões entre seus dispositivos para segmentá-los em suas próprias redes e gerenciar o acesso granular.
Gerenciar riscos e vulnerabilidades de rede
Depois de obter visibilidade e compreensão dos dispositivos em sua rede, convém acompanhar os riscos e vulnerabilidades de qualquer dispositivo.
Os relatórios de avaliação de risco do Defender para IoT estão disponíveis em cada console de sensor. Os relatórios ajudam a identificar vulnerabilidades em sua rede. Por exemplo, as vulnerabilidades podem incluir dispositivos não autorizados, sistemas sem patches, conexões de Internet não autorizadas e dispositivos com portas abertas não utilizadas.
Você pode usar dados relatados para priorizar atividades ao mitigar riscos em seus ativos OT/IoT mais confidenciais, incluindo quaisquer dispositivos cujo comprometimento teria um grande impacto em sua organização. Exemplos de impacto podem incluir incidentes de segurança, perda de receita ou roubo de endereços IP confidenciais.
Fique por dentro das mais recentes novidades sobre inteligência de ameaças
À medida que o cenário de segurança muda e evolui, novos riscos e ameaças surgem o tempo todo. O grupo de pesquisa de segurança do Defender para IoT, Section 52, é uma equipe de pesquisadores de segurança e cientistas de dados com foco em OT/IoT. A equipe do Section 52 é composta por especialistas em busca a ameaças, engenharia reversa de malware, resposta a incidentes e análise de dados.
O Section 52 faz a curadoria contínua de pacotes de inteligência de ameaças criados especificamente para ambientes OT/IoT. Os pacotes incluem os mais recentes:
- Incidentes preocupantes, como assinaturas de malware, consultas DNS e endereços IP mal-intencionados.
- Vulnerabilidades e exposições comuns para atualizar os relatórios de gerenciamento de vulnerabilidades do Defender para IoT.
- Perfis de ativos que aprimoram os recursos de descoberta de ativos do Defender para IoT.
Mantenha sua implantação do Defender para IoT atualizada com os pacotes de inteligência contra ameaças mais recentes para ficar por dentro de tudo.
Gerenciar seus sites e sensores
Embora você possa implantar o Defender para IoT em um ambiente local puramente isolado, também pode integrar sensores de dispositivos locais da nuvem usando o portal do Azure. Você pode usar a página de Introdução para registrar seus sensores em uma assinatura e recurso específicos do Azure. A implantação do portal será útil se você quiser reduzir os requisitos operacionais e de manutenção em seus sistemas de gerenciamento e tiver outros serviços da Microsoft e do Azure implantados.
Os sensores integrados são visíveis na página de Sites e sensores do Defender para IoT no portal do Azure. Usuários experientes do Azure se familiarizarão rapidamente com essa página, que exibirá detalhes de cada site e sensor. Você pode usar a página de Sites e sensores para visualizar a zona de cada sensor, o status da conexão e o status de atualização da inteligência de ameaças. Você também pode usá-la para adicionar mais sensores à sua implantação.
Depois de integrar sites e sensores ao Defender para IoT, você pode usar alertas operacionais para monitorar os eventos que ocorrem em sua rede. Os alertas operacionais serão úteis se você tiver equipamentos com defeito ou mal configurados. Por exemplo, com o Defender para IoT verificando constantemente sua rede, você pode identificar um workspace de engenharia mal configurado e resolver rapidamente as causas principais de seus problemas.
Integração com outros serviços da Microsoft e de parceiros
Se você tem outros sistemas implantados para monitoramento e governança de segurança, pode integrar a segurança da IoT/OT com seus outros sistemas para fornecer uma experiência contínua para suas equipes.
Por exemplo, você pode integrar o Defender para IoT diretamente com o Microsoft Sentinel ou serviços de parceiros como Splunk, IBM QRadar ou ServiceNow.
Integre o Defender for IoT com outros serviços para:
- Quebrar os silos que retardam a comunicação entre as equipes de TI e OT e fornecer uma linguagem comum entre os sistemas para ajudar a resolver problemas rapidamente.
- Lidar rapidamente com ataques que cruzam os limites de TI/OT, como o TRITON.
- Usar os fluxos de trabalho, treinamento e ferramentas que você passou anos criando para sua equipe de SOC e aplicá-los à segurança de IoT/OT.
Integrar com o Microsoft Sentinel
A integração do Defender for IoT e do Microsoft Sentinel ajuda as equipes de SOC a detectar e responder mais rapidamente em qualquer ponto do processo de ataque. A integração do Defender para IoT e do Microsoft Sentinel pode aprimorar a comunicação, os processos e o tempo de resposta para analistas de segurança e pessoal de OT. As pastas de trabalho do Microsoft Sentinel, regras de análise e guias estratégicos de operação e resposta de segurança ajudam você a monitorar e responder a ameaças de OT detectadas no Defender para IoT.
Instale o conector de dados Defender para IoT em seu workspace do Microsoft Sentinel. O conector de dados do Defender para IoT vem com o seguinte conteúdo integrado:
- Pastas de Trabalho: use pastas de trabalho do Microsoft Sentinel para visualizar e monitorar seus dados do Defender for IoT do Microsoft Sentinel. As Pastas de Trabalho fornecem investigações guiadas para entidades OT com base em incidentes abertos, notificações de alerta e atividades para ativos OT.
- Modelos de regras de análise: use os modelos de regras de análise do Microsoft Sentinel para configurar gatilhos de incidentes para alertas gerados pelo Defender para IoT do tráfego OT.
Você pode usar os guias estratégicos do Microsoft Sentinel para criar ações de correção automatizadas a serem executadas como rotina para ajudar a automatizar e orquestrar a resposta a ameaças. Você pode executar guias estratégicos manualmente ou configure-os para serem executados automaticamente em resposta a alertas ou incidentes específicos. Use uma regra de análise ou uma regra de automação como gatilho.
