適用於 IoT 的 Microsoft Defender 運作方式

3 分鐘

在本單元中，我們將說明適用於 IoT 的 Microsoft Defender 在幕後運作的方式。

彈性部署

適用於 IoT 的 Defender 支援多個彈性部署解決方案：

雲端部署：部署在實體或虛擬裝置上的 OT 感應器會連線至 Azure 入口網站中適用於 IoT 的 Defender。使用 Azure 入口網站來管理感應器和感應器資料，並與 Microsoft Sentinel 等其他 Microsoft 服務整合。
實體隔離網路：將適用於 IoT 的 Defender 完全部署在內部，並連線至內部部署安全性資訊與事件管理 (SIEM) 系統。您可以直接與 Microsoft Sentinel 或與一系列合作夥伴 SOC 工具整合，例如 Splunk、IBM QRadar 和 ServiceNow。
混合式部署：若要在混合式環境中運作，您可以在本機管理內部部署感應器，但仍連線至雲端式 SIEM，例如 Microsoft Sentinel。

適用於 IoT 的 Defender 感應器

適用於 IoT 的 Defender 感應器部署在內部，當作虛擬或實體設備。負責探索並持續監視網路裝置，並收集工業控制系統 (ICS) 網路流量。

感應器會針對 IoT/OT 裝置使用被動 (或「無代理程式」) 監視。感應器會連線到 SPAN 連接埠或網路 TAP，對 IoT/OT 網路流量執行深度封包檢查。

資料收集、處理、分析及警示都直接在感應器機器上進行，使得此流程適合低頻寬或高延遲連線位置。只有中繼資料會傳輸至 Azure 入口網站來管理。

下圖顯示感應器主控台上 [警示] 頁面的範例螢幕擷取畫面。其中顯示由連結至此感應器的裝置所觸發的警示。

適用於 IoT 的 Defender 機器學習引擎

適用於 IoT 的 Defender 中有自我學習 (或「機器學習」) 分析引擎，不需要更新簽章或定義規則。適用於 IoT 的 Defender 引擎會使用 ICS 特有的行為分析和資料科學，持續分析 OT 網路流量是否有下列現象：

異常。
惡意程式碼。
操作問題。
違反通訊協定。
偏離基準網路活動。

適用於 IoT 的 Defender 感應器也包含五個分析偵測引擎，可根據即時和預先記錄的流量分析來觸發警示：

違反原則偵測引擎：使用機器學習來警示偏離基準行為，例如未經授權使用特定函式程式碼、存取特定物件，或變更裝置設定。範例包括「DeltaV 軟體版本變更」、韌體變更，以及未經授權的 PLC 程式設計警示。
違反通訊協定偵測引擎：識別使用違反 ICS 通訊協定規格的封包結構和欄位值。範例包括 Modbus 例外狀況和「起始過時函式程式碼」警示。
惡意程式碼偵測引擎：識別表示有已知產業惡意程式碼的行為。範例包括 Conficker、Black Energy、Havex、WannaCry、NotPetya 和 Triton。
異常偵測引擎：偵測異常機器對機器通訊和行為。範例包括 SMB 登入嘗試或 PLC 掃描次數過多。
操作事件偵測引擎：偵測間歇連線等可能表示設備故障早期徵兆的操作問題。例如，裝置沒有回應且可能已中斷連線時，警示可能會隨 Siemens S7 stop PLC 命令傳送。