Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Интеграция между Microsoft Defender для Интернета вещей и Microsoft Sentinel позволяет командам SOC эффективно обнаруживать угрозы безопасности в сети и реагировать на них. Повысьте возможности безопасности с помощью решения Microsoft Defender для Интернета вещей— набора пакетного содержимого, настроенного специально для данных Defender для Интернета вещей, включающего правила аналитики, книги и сборники схем.
В этом руководстве вы:
- Установка Microsoft Defender для решения Интернета вещей в рабочей области Microsoft Sentinel
- Узнайте, как исследовать оповещения Defender для Интернета вещей в Microsoft Sentinel инцидентах
- Узнайте о правилах аналитики, книгах и сборниках схем, развернутых в рабочей области Microsoft Sentinel с помощью решения Microsoft Defender для Интернета вещей.
Важно!
Интерфейс центра содержимого Microsoft Sentinel сейчас находится в предварительной версии, как и Microsoft Defender для решения Интернета вещей. Дополнительные юридические условия, применимые к Azure функциям, которые находятся в бета-версии, предварительной версии или еще не выпущены в общедоступной версии, см. в дополнительных условиях использования для microsoft Azure preview.
Предварительные условия
Перед началом работы убедитесь, что у вас есть:
Разрешения на чтение и запись в рабочей области Microsoft Sentinel. Дополнительные сведения см. в разделе Разрешения в Microsoft Sentinel.
Готовое руководство. Подключение Microsoft Defender для Интернета вещей с помощью Microsoft Sentinel.
Установка решения Defender для Интернета вещей
Microsoft Sentinel решения помогут вам подключить Microsoft Sentinel содержимое безопасности для определенного соединителя данных с помощью одного процесса.
Решение Microsoft Defender для Интернета вещей интегрирует данные Defender для Интернета вещей с возможностями оркестрации безопасности, автоматизации и реагирования (SOAR) Microsoft Sentinel, предоставляя встроенные и оптимизированные сборники схем для автоматического реагирования и предотвращения.
Чтобы установить решение, выполните следующие действия:
В Microsoft Sentinel в разделе Управление содержимым выберите Центр содержимого, а затем найдите решение Microsoft Defender для Интернета вещей.
В правом нижнем углу выберите Просмотреть сведения, а затем — Создать. Выберите подписку, группу ресурсов и рабочую область, в которой требуется установить решение, а затем просмотрите соответствующее содержимое системы безопасности, которое будет развернуто.
По завершении выберите Проверить и создать , чтобы установить решение.
Дополнительные сведения см. в разделах Сведения о содержимом и решениях Microsoft Sentinel и Централизованное обнаружение и развертывание готового содержимого и решений.
Обнаружение угроз с помощью данных Defender для Интернета вещей
Соединитель данных Microsoft Defender для Интернета вещей включает правило безопасности Майкрософт по умолчанию с именем Создание инцидентов на основе Microsoft Defender для оповещений Интернета вещей, которое автоматически создает новые инциденты для всех обнаруженных оповещений Defender для Интернета вещей.
Решение Microsoft Defender для Интернета вещей включает более подробный набор готовых правил аналитики, которые созданы специально для данных Defender для Интернета вещей и точно настраивают инциденты, созданные в Microsoft Sentinel, для соответствующих оповещений.
Чтобы использовать встроенные оповещения Defender для Интернета вещей, выполните следующие действия:
На странице аналитики Microsoft Sentinel найдите и отключите правило создание инцидентов на основе Microsoft Defender для оповещений Интернета вещей. Этот шаг предотвращает создание повторяющихся инцидентов в Microsoft Sentinel для одинаковых оповещений.
Найдите и включите любые из следующих встроенных правил аналитики, установленных вместе с решением Microsoft Defender для Интернета вещей:
Имя правила Описание Недопустимые коды функций для трафика ICS/SCADA Недопустимые коды функций в оборудовании для контроля и получения данных (SCADA) могут указывать на одно из следующих:
— неправильная конфигурация приложения, например из-за обновления или переустановки встроенного ПО.
— вредоносные действия. Например, киберугрома, которая пытается использовать недопустимые значения в протоколе для использования уязвимости в программируемом контроллере логики (PLC), например переполнение буфера.Обновление встроенного ПО Несанкционированные обновления встроенного ПО могут указывать на вредоносные действия в сети, например киберугрозу, которая пытается манипулировать встроенным ПО ПЛК для компрометации функции PLC. Несанкционированные изменения ПЛК Несанкционированные изменения в коде логики лестницы PLC могут быть одним из следующих:
— указывает на новые функциональные возможности в ПЛК.
— неправильная настройка приложения, например из-за обновления или переустановки встроенного ПО.
— вредоносная активность в сети, например киберугрыз, которая пытается манипулировать программированием PLC для компрометации функции PLC.Состояние небезопасного ключа ПЛК Новый режим может указывать на то, что ПЛК не защищен. Оставить ПЛК в небезопасном режиме работы может позволить злоумышленникам выполнять на нем вредоносные действия, такие как скачивание программы.
Если ПЛК скомпрометирован, могут быть затронуты устройства и процессы, которые с ним взаимодействуют. которые могут повлиять на общую безопасность и безопасность системы.Остановка PLC Команда plc stop может указывать на неправильную конфигурацию приложения, которая привела к остановке работы PLC или вредоносной активности в сети. Например, киберугрома, которая пытается управлять программированием PLC, чтобы повлиять на функциональность сети. Обнаружена подозрительная вредоносная программа в сети Подозрительные вредоносные программы, обнаруженные в сети, указывают на то, что подозрительные вредоносные программы пытаются скомпрометировать рабочую среду. Несколько проверок в сети Несколько проверок в сети могут указывать на одно из следующих показателей:
— новое устройство в сети
— Новые функциональные возможности существующего устройства
— неправильная настройка приложения, например из-за обновления или переустановки встроенного ПО.
— вредоносные действия в сети для рекогносцировкиПодключение к Интернету. Устройство OT, взаимодействующее с интернет-адресами, может указывать на неправильную конфигурацию приложения, например антивирусную программу, пытающуюся скачать обновления с внешнего сервера, или вредоносные действия в сети. Несанкционированное устройство в сети SCADA Несанкционированное устройство в сети может быть законным, новым устройством, недавно установленным в сети, или признаком несанкционированной или даже вредоносной активности в сети, например киберугромой, пытающейся манипулировать сетью SCADA. Несанкционированная конфигурация DHCP в сети SCADA Несанкционированная конфигурация DHCP в сети может указывать на новое несанкционированное устройство, работающее в сети.
Это может быть законное новое устройство, недавно развернутое в сети, или признак несанкционированной или даже вредоносной активности в сети, например киберугромы, пытающейся манипулировать сетью SCADA.Чрезмерные попытки входа Чрезмерные попытки входа могут указывать на неправильную конфигурацию службы, ошибку человека или вредоносные действия в сети, например киберугрыш, пытающийся манипулировать сетью SCADA. Высокая пропускная способность в сети Необычно высокая пропускная способность может быть признаком новой службы или процесса в сети, например резервного копирования, или признаком вредоносной активности в сети, например киберугромы, пытающейся манипулировать сетью SCADA. Отказ в обслуживании Это оповещение обнаруживает атаки, которые помешают использованию или надлежащей работе системы DCS. Несанкционированный удаленный доступ к сети Несанкционированный удаленный доступ к сети может скомпрометировать целевое устройство.
Это означает, что при компрометации другого устройства в сети к целевым устройствам можно получить удаленный доступ, увеличивая область атаки.Трафик на датчике не обнаружен Датчик, который больше не обнаруживает сетевой трафик, указывает на то, что система может быть небезопасной.
Исследование инцидентов Defender для Интернета вещей
Настроив данные Defender для Интернета вещей для запуска новых инцидентов в Microsoft Sentinel, начните исследовать эти инциденты в Microsoft Sentinel, как и другие инциденты.
Чтобы изучить Microsoft Defender инцидентов Интернета вещей, выполните приведенные далее действия.
В Microsoft Sentinel перейдите на страницу Инциденты.
Над сеткой инцидентов выберите фильтр Название продукта и снимите флажок Выбрать все . Затем выберите Microsoft Defender для Интернета вещей, чтобы просмотреть только инциденты, вызванные оповещениями Defender для Интернета вещей. Например, вы можете:
Выберите конкретный инцидент, чтобы начать расследование.
В области сведений об инциденте справа просмотрите такие сведения, как серьезность инцидента, сводка по задействованным сущностям, все сопоставленные mitre ATT&тактика или методы CK и многое другое. Например, вы можете:
Выберите Просмотреть полные сведения , чтобы открыть страницу сведений об инциденте, где можно детализировать еще больше. Например, вы можете:
Узнайте о влиянии инцидента на бизнес и физическом расположении, используя такие сведения, как сайт устройства Интернета вещей, зона, имя датчика и важность устройства.
Чтобы узнать о рекомендуемых шагах по исправлению, выберите оповещение в временная шкала инцидента и просмотрите область Действия по исправлению.
Выберите сущность устройства Интернета вещей из списка Сущности, чтобы открыть страницу сущности устройства. Дополнительные сведения см. в статье Дополнительные сведения о сущностях устройств Интернета вещей.
Дополнительные сведения см. в статье Исследование инцидентов с помощью Microsoft Sentinel.
Совет
Чтобы исследовать инцидент в Defender для Интернета вещей, выберите ссылку Исследовать в Microsoft Defender для Интернета вещей в верхней части области сведений об инциденте на странице Инциденты.
Дальнейшее изучение сущностей устройств Интернета вещей
При расследовании инцидента в Microsoft Sentinel и открытой области сведений об инциденте справа выберите сущность устройства Интернета вещей в списке Сущности, чтобы просмотреть дополнительные сведения о выбранной сущности. Определите устройство Интернета вещей с помощью значка устройства Интернета вещей:
Если сущность устройства Интернета вещей не отображается сразу, выберите Просмотреть полные сведения, чтобы открыть полную страницу инцидента, а затем проверка вкладке Сущности. Выберите сущность устройства Интернета вещей, чтобы просмотреть дополнительные данные сущности, такие как основные сведения об устройстве, контактные данные владельца и временная шкала событий, произошедших на устройстве.
Чтобы продолжить детализацию, выберите ссылку на сущность устройства Интернета вещей и откройте страницу сведений об сущности устройства или выполните поиск уязвимых устройств на странице поведение сущности Microsoft Sentinel. Например, просмотрите пять основных устройств Интернета вещей с наибольшим количеством оповещений или выполните поиск устройства по IP-адресу или имени устройства:
Дополнительные сведения см. в разделах Исследование сущностей со страницами сущностей в Microsoft Sentinel и Исследование инцидентов с помощью Microsoft Sentinel.
Изучение оповещения в Defender для Интернета вещей
Чтобы открыть оповещение в Defender для Интернета вещей для дальнейшего изучения, включая возможность доступа к данным PCAP оповещений, перейдите на страницу сведений об инциденте и выберите Исследовать в Microsoft Defender для Интернета вещей. Например, вы можете:
Откроется страница сведений об оповещении Defender для Интернета вещей для соответствующего оповещения. Дополнительные сведения см. в статье Изучение сетевых оповещений OT и реагирование на них.
Визуализация и мониторинг данных Defender для Интернета вещей
Чтобы визуализировать и отслеживать данные Defender для Интернета вещей, используйте книги, развернутые в рабочей области Microsoft Sentinel, как часть решения Microsoft Defender для Интернета вещей.
Книги Defenders для Интернета вещей предоставляют интерактивные исследования сущностей OT на основе открытых инцидентов, оповещений и действий для ресурсов OT. Они также предоставляют опыт охоты в MITRE ATT&платформы CK® для ICS, и предназначены для того, чтобы аналитики, инженеры безопасности и MSSP могли получить ситуатурную осведомленность о состоянии безопасности OT.
Просмотрите книги в Microsoft Sentinel на вкладке Книги управления > угрозами > Мои книги. Дополнительные сведения см. в разделе Визуализация собранных данных.
В следующей таблице описаны книги, включенные в Microsoft Defender для решения Интернета вещей.
| Книга | Описание | Журналы |
|---|---|---|
| Обзор | Панель мониторинга, отображающая сводку ключевых метрик для инвентаризации устройств, обнаружения угроз и уязвимостей. | Использует данные из Azure Resource Graph (ARG) |
| Инвентаризация устройств | Отображаются такие данные, как имя устройства OT, тип, IP-адрес, mac-адрес, модель, ОС, серийный номер, поставщик, протоколы, открытые оповещения, а также cvEs и рекомендации для каждого устройства. Можно фильтровать по сайту, зоне и датчику. | Использует данные из Azure Resource Graph (ARG) |
| Инциденты | Отображает такие данные, как: — Метрики инцидента, самый верхний инцидент, инцидент с течением времени, инцидент по протоколу, инцидент по типу устройства, инцидент по поставщику и инцидент по IP-адресу. — инцидент по серьезности, среднее время реагирования на инцидент, среднее время разрешения инцидента и причины закрытия инцидента. |
Использует данные из следующего журнала: SecurityAlert |
| Оповещения | Отображает такие данные, как метрики оповещений, основные оповещения, оповещение с течением времени, оповещение по серьезности, оповещение по подсистеме, оповещение по типу устройства, оповещение по поставщику и оповещение по IP-адресу. | Использует данные из Azure Resource Graph (ARG) |
| MITRE ATT&CK® для ICS | Отображает такие данные, как количество тактик, сведения о тактике, тактика с течением времени, количество техник. | Использует данные из следующего журнала: SecurityAlert |
| Уязвимости | Отображает уязвимости и CVE для уязвимых устройств. Можно отфильтровать по сайту устройства и серьезности CVE. | Использует данные из Azure Resource Graph (ARG) |
Автоматизация реагирования на оповещения Defender для Интернета вещей
Сборники схем — это коллекции автоматических действий по исправлению, которые могут выполняться из Microsoft Sentinel в виде обычной процедуры. Сборник схем может помочь автоматизировать и оркестрировать реагирование на угрозы; его можно запустить вручную или настроить для автоматического выполнения в ответ на определенные оповещения или инциденты при активации правилом аналитики или правилом автоматизации соответственно.
Microsoft Defender для решения Интернета вещей включает в себя встроенные сборники схем, которые предоставляют следующие функциональные возможности:
- Автоматическое закрытие инцидентов
- Отправка Уведомления по электронной почте по производственной линии
- Создание нового билета ServiceNow
- Обновление состояний оповещений в Defender для Интернета вещей
- Автоматизация рабочих процессов для инцидентов с активными cvEs
- Отправка электронной почты владельцу устройства Интернета вещей или OT
- Рассмотрение инцидентов с участием очень важных устройств
Перед использованием встроенных сборников схем обязательно выполните необходимые действия, как указано ниже.
Дополнительные сведения см. в разделе:
- Руководство. Использование сборников схем с правилами автоматизации в Microsoft Sentinel
- Автоматизация реагирования на угрозы с помощью сборников схем в Microsoft Sentinel
Предварительные требования к сборнику схем
Перед использованием встроенных сборников схем убедитесь, что вы выполнили следующие предварительные требования для каждого сборника схем.
- Обеспечение допустимых подключений к сборнику схем
- Добавление необходимой роли в подписку
- Подключение инцидентов, соответствующих правил аналитики и сборника схем
Обеспечение допустимых подключений к сборнику схем
Эта процедура помогает убедиться, что каждый шаг подключения в сборнике схем имеет допустимые подключения и является обязательным для всех сборников схем решений.
Чтобы обеспечить допустимые подключения, выполните приведенные далее действия.
В Microsoft Sentinel откройте сборник схем из раздела Автоматизация>активных сборников схем.
Выберите сборник схем, чтобы открыть его как приложение логики.
Открыв сборник схем в виде приложения логики, выберите Конструктор приложений логики. Разверните каждый шаг в приложении логики, чтобы проверка недопустимых подключений, которые обозначаются оранжевым треугольником предупреждения. Например, вы можете:
Важно!
Обязательно разверните каждый шаг в приложении логики. Недопустимые подключения могут скрываться в других шагах.
Выберите Сохранить.
Добавление необходимой роли в подписку
В этой процедуре описывается, как добавить требуемую роль в подписку Azure, где установлен сборник схем, и требуется только для следующих сборников схем:
- AD4IoT-AutoAlertStatusSync
- AD4IoT-CVEAutoWorkflow
- AD4IoT-SendEmailtoIoTOwner
- AD4IoT-AutoTriageIncident
Необходимые роли различаются для каждого сборника схем, но шаги остаются неизменными.
Чтобы добавить требуемую роль в подписку:
В Microsoft Sentinel откройте сборник схем из раздела Автоматизация>активных сборников схем.
Выберите сборник схем, чтобы открыть его как приложение логики.
Открыв сборник схем в виде приложения логики, выберите Система идентификации > назначена, а затем в области Разрешения нажмите кнопку Azure назначения ролей.
На странице Azure назначения ролей выберите Добавить назначение ролей.
В области Добавление назначения ролей выполните следующие действия.
Определите область как подписку.
В раскрывающемся списке выберите подписку , в которой установлен сборник схем.
В раскрывающемся списке Роль выберите одну из следующих ролей в зависимости от сборника схем, с которым вы работаете:
Имя сборника схем Role AD4IoT-AutoAlertStatusSync Администратор безопасности AD4IoT-CVEAutoWorkflow Читатель AD4IoT-SendEmailtoIoTOwner Читатель AD4IoT-AutoTriageIncident Читатель
Когда все будет готово, нажмите кнопку Сохранить.
Подключение инцидентов, соответствующих правил аналитики и сборника схем
В этой процедуре описано, как настроить правило аналитики Microsoft Sentinel для автоматического запуска сборников схем на основе триггера инцидента и требуется для всех сборников схем решений.
Чтобы добавить правило аналитики, выполните приведенные далее действия.
В Microsoft Sentinel перейдите кразделу Правила автоматизации>.
Чтобы создать новое правило автоматизации, выберите Создать>правило службы автоматизации.
В поле Триггер выберите один из следующих триггеров в зависимости от сборника схем, с которым вы работаете:
- Сборник схем AD4IoT-AutoAlertStatusSync: выберите триггер При обновлении инцидента
- Все остальные сборники схем решений: выберите триггер При создании инцидента .
В области Условия выберите Если > имя > правила аналитики содержит, а затем выберите конкретные правила аналитики, относящиеся к Defender для Интернета вещей в вашей организации.
Например, вы можете:
Возможно, вы используете встроенные правила аналитики или изменили содержимое или создали собственное. Дополнительные сведения см. в статье Обнаружение угроз с помощью данных Defender для Интернета вещей.
В области Действия выберите Запустить сборник>схем.
Нажмите Запустить.
Совет
Вы также можете вручную запустить сборник схем по запросу. Это может быть полезно в ситуациях, когда требуется больший контроль над процессами оркестрации и реагирования. Дополнительные сведения см. в статье Запуск сборника схем по запросу.
Автоматическое закрытие инцидентов
Имя сборника схем: AD4IoT-AutoCloseIncidents
В некоторых случаях действия по обслуживанию создают оповещения в Microsoft Sentinel, которые могут отвлечь команду SOC от решения реальных проблем. Этот сборник схем автоматически закрывает инциденты, созданные на основе таких оповещений в течение указанного периода обслуживания, явно анализируя поля сущности устройства Интернета вещей.
Чтобы использовать этот сборник схем, выполните следующие действия:
- Введите соответствующий период времени, когда ожидается обслуживание, и IP-адреса всех соответствующих ресурсов, таких как перечисленные в файле Excel.
- Создайте список отслеживания, содержащий все IP-адреса ресурсов, по которым оповещения должны обрабатываться автоматически.
Отправка Уведомления по электронной почте по производственной линии
Имя сборника схем: AD4IoT-MailByProductionLine
Этот сборник схем отправляет почту для уведомления конкретных заинтересованных лиц об оповещениях и событиях, происходящих в вашей среде.
Например, если у вас есть определенные группы безопасности, назначенные для определенных продуктов или географических расположений, вы хотите, чтобы эта команда была уведомлена об оповещениях, относящихся к ее обязанностям.
Чтобы использовать этот сборник схем, создайте список отслеживания, который сопоставляет имена датчиков и почтовые адреса каждого из заинтересованных лиц, о которых вы хотите оповещать.
Создание нового билета ServiceNow
Имя сборника схем: AD4IoT-NewAssetServiceNowTicket
Как правило, субъектом, уполномоченным программировать ПЛК, является инженерная рабочая станция. Таким образом, злоумышленники могут создавать новые инженерные рабочие станции для создания вредоносного программирования PLC.
Этот сборник схем открывает билет в ServiceNow каждый раз, когда обнаруживается новая инженерная рабочая станция, явно анализируя поля сущности устройства Интернета вещей.
Обновление состояний оповещений в Defender для Интернета вещей
Имя сборника схем: AD4IoT-AutoAlertStatusSync
Этот сборник схем обновляет состояния оповещений в Defender для Интернета вещей всякий раз, когда связанное оповещение в Microsoft Sentinel имеет обновление состояния.
Эта синхронизация переопределяет любое состояние, определенное в Defender для Интернета вещей, в портал Azure или консоли датчика, чтобы состояния оповещений соответствовали состоянию связанного инцидента.
Автоматизация рабочих процессов для инцидентов с активными cvEs
Имя сборника схем: AD4IoT-CVEAutoWorkflow
Этот сборник схем добавляет активные cvEs в комментарии к инциденту затронутых устройств. Автоматическое рассмотрение выполняется, если CVE является критически важным, а владельцу устройства отправляется уведомление по электронной почте, как определено на уровне сайта в Defender для Интернета вещей.
Чтобы добавить владельца устройства, измените владельца сайта на странице Сайты и датчики в Defender для Интернета вещей. Дополнительные сведения см. в разделе Параметры управления сайтом из портал Azure.
Отправка электронной почты владельцу устройства Интернета вещей или OT
Имя сборника схем: AD4IoT-SendEmailtoIoTOwner
Этот сборник схем отправляет владельцу устройства сообщение электронной почты с подробными сведениями об инциденте, как определено на уровне сайта в Defender для Интернета вещей, чтобы он смог начать расследование, даже отвечая непосредственно из автоматического сообщения электронной почты. Варианты ответа:
Да, это ожидается. Выберите этот параметр, чтобы закрыть инцидент.
Нет, это НЕ ожидается. Выберите этот параметр, чтобы сохранить инцидент активным, повысить степень серьезности и добавить в инцидент тег подтверждения.
Инцидент автоматически обновляется на основе ответа, выбранного владельцем устройства.
Чтобы добавить владельца устройства, измените владельца сайта на странице Сайты и датчики в Defender для Интернета вещей. Дополнительные сведения см. в разделе Параметры управления сайтом из портал Azure.
Рассмотрение инцидентов с участием очень важных устройств
Имя сборника схем: AD4IoT-AutoTriageIncident
Этот сборник схем обновляет серьезность инцидента в соответствии с уровнем важности участвующих устройств.
Дальнейшие действия
Дополнительные сведения см. в блоге Защита критической инфраструктуры с помощью Microsoft Sentinel: РЕШЕНИЕ для мониторинга угроз ИТ/OT