Что такое Microsoft Defender для Интернета вещей
Microsoft Defender для Интернета вещей обеспечивает пассивный и безагентный мониторинг с помощью обнаружения активов и мониторинга безопасности в критически важных для бизнеса сетевых средах. Defender для Интернета вещей — это решение для обнаружения и реагирования сети, созданное для обнаружения и защиты устройств IoT/OT.
Defender для Интернета вещей использует аналитику поведения и аналитику угроз с поддержкой сред IoT и OT. Оно способно лучше справляться с современными угрозами, чем решения на основе сигнатур. Например, вредоносные программы нулевого дня и тактика жизни вне земли могут быть пропущены статическими индикаторами компрометации, но поймали Defender для Интернета вещей.
Defender для Интернета вещей помогает специалистам по IoT и OT автоматически обнаруживать неуправляемые ресурсы, подключения и критические уязвимости. Используйте Defender для Интернета вещей, чтобы обнаруживать аномальное или несанкционированное поведение, не ухудшая стабильность или производительность сред IoT и OT.
Обнаружение сети
Все ли устройства в вашей сети вам известны? Вы можете защитить только устройства, которые вы знаете. Если мы используем наш пример строительной компании, обнаружение может включать такие устройства, как лифты, входы на парковку, камеры и системы освещения.
Консоль датчиков в Defender для Интернета вещей предоставляет страницы для списка устройств и карты устройств. Оба этих представления позволяют детализировать данные по каждому из устройств IoT и OT в сети и изучать подключения между ними.
Список устройств отображает такие сведения о конкретном устройстве, как IP-адреса и поставщики, используемые протоколы, встроенное ПО и оповещения.
Карта устройств отображает пути подключения к устройству OT, топологии сред IoT и OT и сопоставление с моделью Purdue для безопасности ICS.
Например, карту устройств очень удобно использовать для реализации политики "Никому не доверяй". В этом сценарии вам важно понять подключения между устройствами и правильно сегментировать их по отдельным сетям для детализированного управления доступом.
Управление сетевыми рисками и уязвимостями
Обеспечив видимость устройств в сети и получив информацию о них, вы сможете отслеживать риски и уязвимости для этих устройств.
Отчеты об оценке рисков Defender для Интернета вещей доступны в каждой консоли датчиков. Эти отчеты помогают выявлять уязвимости в сети. Например, это могут быть несанкционированные устройства, неисправные системы, несанкционированные подключения к Интернету или устройства с неиспользуемыми открытыми портами.
Вы можете использовать сообщаемые данные для определения приоритетов действий при устранении рисков в наиболее конфиденциальных ресурсах OT/IoT, включая любые устройства, компрометации которых будут иметь большое влияние на вашу организацию. Сюда относятся, среди прочего, инциденты безопасности, потеря дохода или кража конфиденциальных IP-адресов.
Будьте в курсе актуальных сведений об угрозах
По мере изменения и развития ландшафта безопасности постоянно возникают новые риски и угрозы. Исследовательская группа по безопасности Defender для Интернета вещей Section 52 объединяет разработчиков систем безопасности и специалистов по обработке и анализу данных, ориентированных в первую очередь на среды IoT и OT. Команда Section 52 состоит из экспертов по поиску угроз, реконструированию вредоносных программ, реагированию на инциденты и анализу данных.
Section 52 постоянно создает пакеты аналитики угроз специально для сред IoT и OT. В эти пакеты включается актуальная информация по следующим аспектам:
- тревожные инциденты, например сигнатуры вредоносных программ, вредоносные запросы DNS и вредоносные IP-адреса;
- распространенные уязвимости и риски, которые нужно включить в управление уязвимостями для отчетов Defender для Интернета вещей;
- профили ресурсов, которые улучшают функции обнаружения ресурсов в Defender для Интернета вещей.
Вы можете поддерживать актуальность последних угроз OT/IoT, сохраняя развертывание Defender для Интернета вещей в актуальном состоянии с последними пакетами аналитики угроз.
Управление сайтами и датчиками
Вы можете развернуть Defender для Интернета вещей в полностью физической локальной среде, но можете и подключить датчики локальных устройств к облаку с помощью портала Azure. Вы можете использовать страницу "Начало работы " для регистрации датчиков в определенной подписке и ресурсе Azure. Развертывание с помощью портала удобно в тех случаях, когда вы хотите снизить требования к эксплуатации и обслуживанию систем управления, или у вас уже развернуты другие службы корпорации Майкрософт на платформе Azure.
Подключенные датчики отображаются на странице Sites and sensors (Сайты и датчики) сведений о Defender для Интернета вещей на портале Azure. Эта страница будет хорошо знакома всем пользователям с опытом работы в Azure. Она отображает сведения о каждом сайте и датчике. Страницу "Сайты и датчики " можно использовать для просмотра состояния обновления каждого датчика, состояния подключения и обновления аналитики угроз. Также вы можете здесь добавить новые датчики в ваше развертывание.
После подключения сайтов и датчиков к Defender для Интернета вещей можно использовать операционные оповещения для мониторинга событий, происходящих в вашей сети. Операционные оповещения полезны на случай неисправности или неправильной настройки оборудования. Например, постоянное сканирование сети в Defender для Интернета вещей поможет вам обнаружить неправильно настроенную инженерную рабочую область и быстро устранить первопричины проблем.
Интеграция с другими службами корпорации Майкрософт и наших партнеров
Если у вас есть другие развернутые системы мониторинга и управления безопасностью, вы можете интегрировать их с системой безопасности сред IoT и OT, предоставив своим специалистам удобный интерфейс.
Например, вы можете напрямую интегрировать Defender для Интернета вещей с Microsoft Sentinel или такими партнерскими службами, как Splunk, IBM QRadar и ServiceNow.
Интеграция Defender для Интернета вещей с другими службами позволяет решить следующие задачи:
- Разбиение силосов, которые замедляют взаимодействие между ИТ и командами OT и предоставляют общий язык между системами, чтобы помочь быстро устранить проблемы.
- быстрое устранение атак, выходящих за пределы сред IoT и OT, например TRITON;
- применение в среде IoT и OT рабочих процессов, учебных курсов и средств, уже созданных для отдела SOC.
API интеграции с Microsoft Sentinel
Интеграция между Defender для Интернета вещей и Microsoft Sentinel помогает специалистам SOC быстрее обнаруживать атаки и реагировать на них на любом этапе атаки. Интеграция Defender для Интернета вещей и Microsoft Sentinel может улучшить взаимодействие, процессы и время реагирования для аналитиков безопасности и персонала OT. Книги Microsoft Sentinel, правила аналитики, операции безопасности и сборники схем реагирования помогают отслеживать угрозы OT, обнаруженные в Defender для Интернета вещей, и реагировать на них.
Установите соединитель данных для Defender для Интернета вещей в рабочей области Microsoft Sentinel. Соединитель данных для Defender для Интернета вещей предоставляется со следующим встроенным содержимым.
- Книги. Используйте книги Microsoft Sentinel для визуализации и мониторинга данных из Defender для Интернета вещей в интерфейсе Microsoft Sentinel. Книги Defender для Интернета вещей помогают проводить расследования в средах ОТ с использованием открытых инцидентов, уведомлений об оповещениях и действий для ресурсов ОТ.
- Шаблоны правил аналитики. Используйте шаблоны правил аналитики Microsoft Sentinel, чтобы настроить триггеры инцидентов для оповещений, созданных в Defender для Интернета вещей на основе трафика от сред OT.
Также вы можете на основе сборников схем Microsoft Sentinel создать автоматизированные действия по исправлению, которые регулярно выполняются для автоматизации и оркестрации действий реагирования на угрозы. Вы можете запускать сборники схем вручную или настраивать их автоматически в ответ на определенные оповещения или инциденты. Используйте в качестве триггера правило аналитики или правило автоматизации.
