Руководство. Изучение и обнаружение угроз для устройств Интернета вещей

Интеграция Microsoft Defender для Интернета вещей и Microsoft Sentinel позволяет командам SOC эффективно и эффективно обнаруживать и реагировать на угрозы безопасности в сети. Расширьте возможности безопасности с помощью решения Microsoft Defender для Интернета вещей, набора пакетного содержимого, настроенного специально для данных Defender для Интернета вещей, включающих правила аналитики, книги и сборники схем.

Изучив это руководство, вы:

• Установка решения Microsoft Defender для Интернета вещей в рабочей области Microsoft Sentinel
• Узнайте, как можно исследовать сигналы тревоги Defender для IoT в инцидентах Microsoft Sentinel.
• Узнайте о правилах аналитики, рабочих тетрадях и сценариях, развернутых в вашей рабочей области Microsoft Sentinel с помощью решения Microsoft Defender для Интернета вещей

Это важно

В настоящее время опыт использования центра содержимого Microsoft Sentinel находится в предварительной версии, как и решение Microsoft Defender для Интернета вещей. См. Дополнительные условия использования для предварительных версий Microsoft Azure, в которых изложены дополнительные юридические условия, применимые к функциям Azure, находящимся в бета-версии, предварительной версии или еще не доступным в общем пользовании.

Предпосылки

Прежде чем начать, убедитесь, что у вас есть:

• Разрешения на чтение и запись в рабочей области Microsoft Sentinel. Дополнительные сведения см. в статье Разрешения в Microsoft Sentinel.

• Готовое руководство. Подключение Microsoft Defender для Интернета вещей с помощью Microsoft Sentinel.

Установка решения Defender для Интернета вещей

Решения Microsoft Sentinel помогают адаптировать содержимое Microsoft Sentinel, связанное с безопасностью, для определенного соединителя данных с помощью одного процесса.

Решение Microsoft Defender для IoT интегрирует данные Defender для IoT с возможностями оркестрации безопасности, автоматизации и реагирования (SOAR) в Microsoft Sentinel, предоставляя готовые к использованию и оптимизированные плейбуки для автоматизированного реагирования и предотвращения.

Чтобы установить решение, выполните следующие действия.

1. В Microsoft Sentinel в разделе "Управление содержимым" выберите центр контента и найдите решение Microsoft Defender для Интернета вещей .

2. В правом нижнем углу выберите Просмотреть сведения, а затем — Создать. Выберите подписку, группу ресурсов и рабочую область, в которой необходимо установить решение, а затем просмотрите связанное содержимое системы безопасности, которое будет развернуто.

3. Когда все будет готово, выберите Просмотр и создание, чтобы установить решение.

Для получения дополнительной информации см. О содержимом и решениях Microsoft Sentinel и Централизованное обнаружение и развертывание готового содержимого и решений.

Выявляйте угрозы из коробки с использованием данных Defender для Интернета вещей.

Соединитель данных Microsoft Defender для Интернета вещей включает правило безопасности Майкрософт по умолчанию с именем "Создание инцидентов на основе оповещений Azure Defender для IOT", которое автоматически создает новые инциденты для всех обнаруженных оповещений Defender для Интернета вещей.

Решение Microsoft Defender для Интернета вещей содержит более подробный набор встроенных правил аналитики, созданных специально для данных Defender для Интернета вещей и точной настройки инцидентов, созданных в Microsoft Sentinel для соответствующих оповещений.

Чтобы использовать встроенные оповещения Defender для Интернета вещей, выполните следующие действия.

1. На странице Microsoft Sentinel Analytics найдите и отключите правило Создание инцидентов на основе оповещений Azure Defender для IoT. Этот шаг предотвращает создание повторяющихся инцидентов в Microsoft Sentinel для этих же оповещений.

2. Выполните поиск и включите любые из следующих встроенных правил аналитики, установленных с помощью решения Microsoft Defender для Интернета вещей :

   Имя правила	Описание
   Недопустимые коды функций для трафика ICS/SCADA	Недопустимые коды функций в оборудовании контроля надзора и получения данных (SCADA) могут указывать на одно из следующих: — неправильной конфигурации приложения, например из-за обновления встроенного ПО или переустановки. — вредоносное действие. Например, кибер-угроза, которая пытается использовать незаконные значения в протоколе для использования уязвимости в программируемом контроллере логики (PLC), например переполнение буфера.
   Обновление встроенного ПО	Несанкционированные обновления встроенного ПО могут указывать на вредоносные действия в сети, такие как киберугроза, которая пытается управлять встроенного ПО PLC для компрометации функции PLC.
   Несанкционированные изменения PLC	Несанкционированные изменения кода логики лестницы PLC могут быть одним из следующих: — указание новых функциональных возможностей в PLC. — неправильной конфигурации приложения, например из-за обновления встроенного ПО или переустановки. — Вредоносные действия в сети, такие как киберугроза, которая пытается управлять программированием PLC для компрометации функции PLC.
   Небезопасное состояние ключа PLC	Новый режим может указывать на то, что PLC не является безопасным. Оставление PLC в небезопасном режиме работы может позволить злоумышленникам выполнять вредоносные действия на нем, такие как загрузка программы. Если ПЛК скомпрометирован, это может повлиять на устройства и процессы, взаимодействующие с ним. это может повлиять на общую безопасность и надежность системы.
   Остановка PLC	Команда остановки PLC может указывать на неправильную конфигурацию приложения, которое привело к остановке работы PLC или вредоносной активности в сети. Например, кибер-угроза, которая пытается управлять программированием PLC, чтобы повлиять на функциональные возможности сети.
   Подозрительные вредоносные программы, обнаруженные в сети	Подозрительные вредоносные программы, обнаруженные в сети, указывают на то, что подозрительные вредоносные программы пытаются компрометировать рабочую среду.
   Несколько сканирований в сети	Несколько проверок в сети могут быть признаком одного из следующих вариантов: — новое устройство в сети — новые функциональные возможности существующего устройства — неправильное настройка приложения, например из-за обновления встроенного ПО или переустановки — Вредоносная активность в сети для разведки
   Подключение к Интернету	Устройство OT, взаимодействующее с интернет-адресами, может указывать на неправильную конфигурацию приложения, например антивирусное программное обеспечение, пытающееся скачать обновления с внешнего сервера или вредоносных действий в сети.
   Несанкционированное устройство в сети SCADA	Несанкционированное устройство в сети может быть законным, новым устройством, недавно установленным в сети, или признаком несанкционированной или даже вредоносной активности в сети, например кибер-угрозой, пытающейся управлять сетью SCADA.
   Несанкционированная конфигурация DHCP в сети SCADA	Несанкционированная конфигурация DHCP в сети может указывать на новое несанкционированное устройство, работающее в сети. Это может быть законным, новым устройством, недавно развернутым в сети, или признаком несанкционированной или даже вредоносной активности в сети, например кибер-угрозой, пытающейся управлять сетью SCADA.
   Чрезмерные попытки входа	Чрезмерные попытки входа могут указывать на неправильную конфигурацию службы, ошибку человека или вредоносные действия в сети, такие как кибер-угроза, пытающаяся управлять сетью SCADA.
   Высокая пропускная способность сети	Необычно высокая пропускная способность может быть признаком новой службы или процесса в сети, например резервного копирования, или признаком вредоносной активности в сети, например кибер-угрозой, пытающейся управлять сетью SCADA.
   Отказ в обслуживании	Это оповещение обнаруживает атаки, которые препятствуют использованию или надлежащей работе системы DCS.
   Несанкционированный удаленный доступ к сети	Несанкционированный удаленный доступ к сети может скомпрометировать целевое устройство. Это означает, что если другое устройство в сети скомпрометировано, целевые устройства можно получить удаленно, увеличивая область атаки.
   Не обнаружено трафика на датчике	Датчик, который больше не обнаруживает сетевой трафик, указывает, что система может быть небезопасной.

Расследование инцидентов в Microsoft Defender для интернета вещей

После настройки данных Defender для Интернета вещей для активации новых инцидентов в Microsoft Sentinel приступите к расследованию этих инцидентов в Microsoft Sentinel так же, как и другие инциденты.

Чтобы исследовать инциденты Microsoft Defender для Интернета вещей, выполните следующее:

1. В Microsoft Sentinel перейдите на страницу "Инциденты ".

2. Над сеткой инцидентов выберите фильтр Название продукта и снимите параметр Выбрать все. Затем выберите Microsoft Defender для Интернета вещей , чтобы просмотреть только инциденты, инициируемые оповещениями Defender для Интернета вещей. Рассмотрим пример.

   

3. Выберите конкретный инцидент, чтобы начать расследование.

   В панели сведений об инциденте справа просмотрите такие сведения, как серьезность инцидента, сводка сущностей, любые сопоставленные тактики или методы MITRE ATT&CK и многое другое. Рассмотрим пример.

   

4. Выберите "Просмотреть полные сведения" , чтобы открыть страницу сведений об инциденте, где можно еще больше детализации. Рассмотрим пример.

   • Уясните бизнес-значение и физическое расположение инцидента, используя такие детали, как местоположение устройства Интернета вещей, зона, название датчика и значимость устройства.

   • Узнайте о рекомендуемых шагах по исправлению, выбрав оповещение на временной шкале инцидента и просмотрев область действий по исправлению .

   • Выберите сущность устройства Интернета вещей из списка сущностей , чтобы открыть страницу сущности устройства. Дополнительные сведения см. в статье "Дополнительные сведения о сущностях устройств Интернета вещей".

Дополнительные сведения см. в разделе Исследование инцидентов с помощью Microsoft Sentinel.

Подсказка

Чтобы изучить инцидент в Defender для Интернета вещей, выберите ссылку "Исследование в Microsoft Defender для Интернета вещей " в верхней части области сведений об инциденте на странице "Инциденты ".

Дополнительные сведения о сущностях устройств Интернета вещей

Когда вы расследуете инцидент в Microsoft Sentinel и откроете область сведений об инциденте справа, выберите сущность устройства Интернета вещей из списка сущностей , чтобы просмотреть дополнительные сведения о выбранной сущности. Определите устройство Интернета вещей значком устройства Интернета вещей:

Если сущность устройства Интернета вещей не отображается сразу, выберите "Просмотреть полные сведения ", чтобы открыть полную страницу инцидента, а затем проверить вкладку "Сущности ". Выберите сущность устройства Интернета вещей, чтобы просмотреть дополнительные данные сущности, такие как основные сведения об устройстве, контактные данные владельца и временная шкала событий, произошедших на устройстве.

Чтобы детализировать еще больше, выберите ссылку сущности устройства IoT и откройте страницу сведений об сущности устройства или найдите уязвимые устройства на странице поведения сущности Microsoft Sentinel. Например, просмотрите пять устройств Интернета вещей с наибольшим количеством оповещений или найдите устройство по IP-адресу или имени устройства:

Дополнительные сведения см. в статье "Исследование сущностей с помощью страниц сущностей в Microsoft Sentinel " и "Исследование инцидентов с помощью Microsoft Sentinel".

Изучите оповещение в Defender для Интернета вещей

Чтобы открыть оповещение в Defender для Интернета вещей для дальнейшего изучения, включая возможность доступа к данным PCAP оповещений, перейдите на страницу сведений об инциденте и выберите "Исследовать" в Microsoft Defender для Интернета вещей. Рассмотрим пример.

Откроется страница сведений о оповещении Defender для Интернета вещей для связанного оповещения. Дополнительные сведения см. в статье "Исследование и реагирование на оповещение сети OT".

Визуализация и мониторинг данных Defender для Интернета вещей

Чтобы визуализировать и отслеживать данные Defender для IoT, используйте рабочие книги, развернутые в рабочей области Microsoft Sentinel в составе решения Microsoft Defender для IoT.

Материалы по защите IoT предоставляют направляемые исследования для объектов OT на основе открытых инцидентов, уведомлений и активностей для активов OT. Они также предоставляют опыт охоты на угрозы в рамках платформы MITRE ATT&CK® для ICS и предназначены для того, чтобы аналитики, инженеры по безопасности и поставщики управляемых услуг безопасности (MSSP) могли получить осведомленность о текущем состоянии безопасности оперативных технологий (OT).

Просмотр рабочих книг в Microsoft Sentinel на вкладке "Управление угрозами > Рабочие книги > Мои рабочие книги". Дополнительные сведения см. в разделе Визуализация собранных данных.

В следующей таблице описаны рабочие книги, включенные в решение Microsoft Defender for IoT:

Рабочая тетрадь	Описание	Записи
Обзор	Панель мониторинга, отображающая сводку ключевых метрик для инвентаризации устройств, обнаружения угроз и уязвимостей.	Использует данные из Azure Resource Graph (ARG)
Инвентаризация устройств	Отображает такие данные, как: ИМЯ УСТРОЙСТВА OT, тип, IP-адрес, MAC-адрес, Модель, ОС, Серийный номер, Поставщик, Протоколы, Открытые оповещения, а также CVE и рекомендации для каждого устройства. Можно фильтровать по сайтам, зонам и датчикам.	Использует данные из Azure Resource Graph (ARG)
инциденты	Отображает такие данные, как: — Метрики инцидентов, самый верхний инцидент, инцидент с течением времени, инцидент по протоколу, инцидент по типу устройства, инциденту по поставщику и инциденту по IP-адресу. — Инциденты по серьезности, среднее время реагирования на инциденты, среднее время для их устранения и причины закрытия инцидентов.	Использует данные из следующего журнала: SecurityAlert
Оповещения	Отображает такие данные, как: метрики предупреждений, наиболее важные оповещения, оповещения с течением времени, оповещения по степени серьезности, оповещения по ядру, оповещения по типу устройства, оповещения по поставщику и оповещения по IP-адресу.	Использует данные из Azure Resource Graph (ARG)
MITRE ATT&CK® для ICS	Отображает такие данные, как количество тактик, сведения о тактиках, изменения тактики с течением времени, количество техник.	Использует данные из следующего журнала: SecurityAlert
Уязвимые места	Отображает уязвимости и CVEs для уязвимых устройств. Можно фильтровать по сайту устройства и серьезности CVE.	Использует данные из Azure Resource Graph (ARG)

Автоматизация реагирования на оповещения Defender для Интернета вещей

Сборники схем — это коллекции автоматических действий по исправлению, которые можно запускать из Microsoft Sentinel как подпрограмму. Сборник схем может помочь автоматизировать и организовать реагирование на угрозы; его можно запустить вручную или настроить для автоматического выполнения в ответ на определенные оповещения или инциденты, когда активируется правилом аналитики или правилом автоматизации соответственно.

Решение Microsoft Defender для Интернета вещей включает в себя готовые наборы сценариев, которые предоставляют следующие функции:

• Автоматическое закрытие инцидентов
• Отправить уведомления по электронной почте по производственной линии
• Создание нового билета ServiceNow
• Обновление состояний оповещений в Defender для Интернета вещей
• Автоматизация рабочих процессов для инцидентов с активными CVEs
• Отправка электронной почты владельцу устройства IoT/OT
• Инциденты, связанные с очень важными устройствами

Прежде чем использовать готовые к использованию плейбуки, обязательно выполните необходимые действия, как указано ниже.

Дополнительные сведения можно найти здесь

• Руководство. Использование сборников схем с правилами автоматизации в Microsoft Sentinel
• Автоматизация реагирования на угрозы с помощью сборников схем в Microsoft Sentinel

Предварительные требования сборника схем

Прежде чем использовать встроенные сборники схем, убедитесь, что необходимо выполнить следующие предварительные требования для каждой сборники схем:

• Убедитесь, что соединения с планом действий допустимы
• Добавление требуемой роли в подписку
• Подключите ваши инциденты, соответствующие правила аналитики и плейбук

Убедитесь, что плейбук имеет действительные соединения

Эта процедура помогает убедиться, что каждый шаг подключения в сборнике схем имеет допустимые подключения и необходим для всех сборников схем решений.

Чтобы обеспечить ваши действительные подключения:

1. В Microsoft Sentinel откройте Автоматизация>активные сценарии.

2. Выберите сборник схем, чтобы открыть его в качестве приложения логики.

3. При открытии плейбука в качестве приложения логики выберите Конструктор приложений логики. Разверните каждый шаг в приложении логики, чтобы проверить наличие недопустимых подключений, которые указываются оранжевым треугольником предупреждения. Рассмотрим пример.

   

   Это важно

   Убедитесь, что развернули каждый шаг в логическом приложении. Недопустимые подключения могут скрываться внутри других шагов.

4. Выберите Сохранить.

Добавление требуемой роли в подписку

В этой процедуре описывается, как добавить требуемую роль в подписку Azure, в которой установлен плейбук, и требуется только для следующих плейбуков:

• AD4IoT-AutoAlertStatusSync
• AD4IoT-CVEAutoWorkflow
• AD4IoT-SendEmailtoIoTOwner
• AD4IoT-AutoTriageIncident

Обязательные роли отличаются в зависимости от плана действий, но шаги остаются теми же.

Чтобы добавить требуемую роль в подписку, выполните следующее:

1. В Microsoft Sentinel откройте Автоматизация>активные плейбуки.

2. Выберите сборник схем, чтобы открыть его в качестве приложения логики.

3. При открытии сборника схем в качестве приложения логики выберите "Система удостоверений>", а затем в области "Разрешения" нажмите кнопку назначения ролей Azure.

4. На странице назначений ролей Azure выберите "Добавить назначение ролей".

5. В панели Добавить назначение роли:

   1. Определите область как подписку.

   2. В раскрывающемся списке выберите подписку, в которой установлен ваш набор сценариев.

   3. Из выпадающего списка "Роль" выберите одну из следующих ролей в зависимости от руководства, с которым вы работаете.

      Название плейбука	Должность
      AD4IoT-AutoAlertStatusSync	Администратор безопасности
      AD4IoT-CVEAutoWorkflow	Читатель
      AD4IoT-SendEmailtoIoTOwner	Читатель
      AD4IoT-AutoTriageIncident	Читатель

6. По завершении выберите Сохранить.

Подключите ваши инциденты, соответствующие правила аналитики и сценарий действий.

В этой процедуре описывается, как настроить правило аналитики Microsoft Sentinel для автоматического запуска сборников схем на основе триггера инцидента и требуется для всех сборников схем решений.

Чтобы добавить правило аналитики, выполните приведенные действия.

1. В Microsoft Sentinel перейдите к Автоматизация>правилам автоматизации.

2. Чтобы создать новое правило автоматизации, выберите "Создать>правило автоматизации".

3. В поле триггера выберите один из следующих триггеров в зависимости от сборника схем, с которыми вы работаете:

   • Плейбук AD4IoT-AutoAlertStatusSync: выберите триггер Когда инцидент обновляется.
   • Все остальные сборники схем решений: выберите триггер при создании инцидента

4. В области условий выберите "Если > название > аналитического правила содержит", а затем выберите конкретные правила аналитики, относящиеся к Defender for IoT в вашей организации.

   Рассмотрим пример.

   

   Вы можете использовать предустановленные правила аналитики, изменить предустановленное содержимое или создать собственное. Дополнительные сведения см. в разделе "Обнаружение угроз вне поля" с помощью данных Defender для Интернета вещей.

5. В области "Действия" выберите Запустить сборник схем>имя сборника схем.

6. Выберите Выполнить.

Подсказка

Вы также можете вручную запустить плейбук по требованию. Это может быть полезно в ситуациях, когда требуется больше контроля над процессами оркестрации и реагирования. Дополнительные сведения см. в разделе "Запуск плейбука по запросу".

Автоматическое закрытие инцидентов

Имя плейбука: AD4IoT-AutoCloseIncidents

В некоторых случаях действия по обслуживанию создают оповещения в Microsoft Sentinel, которые могут отвлекать команду SOC от обработки реальных проблем. Этот плейбук автоматически закрывает инциденты, созданные из таких оповещений в течение заданного периода обслуживания, четко разбирая поля сущности IoT-устройства.

Чтобы использовать этот сборник схем, выполните указанные ниже действия.

• Введите соответствующий период времени, когда ожидается обслуживание, и IP-адреса любых соответствующих активов, например перечисленных в файле Excel.
• Создайте список отслеживания, содержащий все IP-адреса активов, на которых оповещения должны обрабатываться автоматически.

Отправлять уведомления по электронной почте по производственной линии

Имя сборника схем: AD4IoT-MailByProductionLine

Этот план действий рассылает уведомления по электронной почте, чтобы уведомить конкретных заинтересованных лиц об оповещениях и событиях, происходящих в вашей среде.

Например, если у вас есть определенные группы безопасности, назначенные определенным линиям продуктов или географическим расположениям, вы хотите, чтобы эта команда была уведомлена о оповещениях, относящихся к их обязанностям.

Чтобы использовать этот план, создайте список отслеживания, который сопоставляет имена датчиков с почтовыми адресами каждого из заинтересованных лиц, которых вы хотите оповестить.

Создание нового билета ServiceNow

Имя плейбука: AD4IoT-NewAssetServiceNowTicket

Как правило, сущность, авторизованная для программирования PLC, это инженерная рабочая станция. Поэтому злоумышленники могут создавать новые инженерные рабочие станции для создания вредоносного программирования PLC.

Этот план действий открывает заявку в ServiceNow каждый раз при обнаружении новой инженерной рабочей станции, с явным разбором полей сущности устройств интернета вещей.

Обновление состояний оповещений в Defender для Интернета вещей

Имя плейбука: AD4IoT-AutoAlertStatusSync

Этот плейбук обновляет статус оповещений в Defender для Интернета вещей каждый раз, когда у соответствующего оповещения в Microsoft Sentinel обновляется статус.

Эта синхронизация переопределяет любое состояние, определенное в Defender для Интернета вещей, на портале Azure или консоли датчика, чтобы состояния оповещений соответствовали состоянию связанного инцидента.

Автоматизируйте рабочие процессы для инцидентов с активными CVE.

Имя плейбука: AD4IoT-CVEAutoWorkflow

В этом плане действий добавляются активные CVE в комментарии к инцидентам затронутых устройств. Автоматическая проверка выполняется, если CVE критически важна, и уведомление по электронной почте отправляется владельцу устройства, как определено на уровне сайта в Defender для Интернета вещей.

Чтобы добавить владельца устройства, измените владельца сайта на странице "Сайты и датчики " в Defender для Интернета вещей. Дополнительные сведения см. в разделе "Параметры управления сайтами" из портал Azure.

Отправка электронной почты владельцу устройства IoT/OT

Название плейбука: AD4IoT-SendEmailtoIoTOwner

Эта сборник схем отправляет сообщение электронной почты с сведениями об инциденте владельцу устройства, как определено на уровне сайта в Defender для Интернета вещей, чтобы они могли начать расследование, даже отвечая непосредственно из автоматизированной электронной почты. Варианты ответа:

• Да, это ожидается. Выберите этот параметр, чтобы закрыть инцидент.

• Нет этого не ожидается. Выберите этот параметр, чтобы сохранить инцидент активным, увеличить серьезность и добавить тег подтверждения в инцидент.

Инцидент автоматически обновляется на основе ответа, выбранного владельцем устройства.

Чтобы добавить владельца устройства, измените владельца сайта на странице "Сайты и датчики " в Defender для Интернета вещей. Дополнительные сведения см. в разделе "Параметры управления сайтами" из портал Azure.

Расстановка приоритетов инцидентов, связанных с очень важными устройствами

Название плейбука: AD4IoT-AutoTriageIncident

Этот плейбук обновляет уровень тяжести инцидентов в соответствии с уровнем важности задействованных устройств.

Дальнейшие действия

Визуализация данных

Создание пользовательских правил аналитики

Исследование инцидентов

Исследование объектов

Используйте плейбуки с правилами автоматизации

Подробнее читайте в нашем блоге: Защита критической инфраструктуры с помощью Microsoft Sentinel: система мониторинга угроз ИТ/OT.