Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
El sistema Microsoft Defender para IoT se ha creado para proporcionar una amplia cobertura y visibilidad de diversos orígenes de datos. Revise esta arquitectura para comprender cómo planear la arquitectura de OT en consecuencia.
Introducción a la arquitectura de OT
En la imagen siguiente se muestra cómo los datos pueden transmitirse a Defender para IoT desde sensores de red y orígenes de terceros para proporcionar una vista unificada de la seguridad de IoT/OT. Defender para IoT en el Azure Portal proporciona inventarios de recursos, evaluaciones de vulnerabilidades y supervisión continua de amenazas.
Defender para IoT se conecta a componentes locales y en la nube, y se crea para la escalabilidad en entornos grandes y distribuidos geográficamente.
Defender para IoT incluye los siguientes componentes de supervisión de seguridad de OT:
El Azure Portal, para la administración en la nube y la integración con otros servicios de Microsoft, como Microsoft Sentinel.
Sensores de red de tecnología operativa (OT) para detectar dispositivos en toda la red. Los sensores de red de Defender para IoT se implementan en una máquina virtual o en un dispositivo físico. Los sensores OT se pueden configurar como sensores conectados a la nube o sensores totalmente locales y administrados localmente.
Sensores de red ot
Los sensores de red de Defender para IoT detectan y supervisan continuamente el tráfico de red en los dispositivos de red.
Los sensores de red están diseñados específicamente para redes OT/IoT y se conectan a un puerto SPAN o un TAP de red. Los sensores de red de Defender para IoT pueden proporcionar visibilidad sobre los riesgos en cuestión de minutos después de conectarse a la red.
Los sensores de red usan motores de análisis compatibles con OT/IoT y la inspección profunda de paquetes de nivel 6 (PPP) para detectar amenazas, como malware sin archivos, basadas en actividades anómalas o no autorizadas.
La recopilación, el procesamiento, el análisis y las alertas de datos se realizan directamente en el sensor, lo que puede ser ideal para ubicaciones con un ancho de banda bajo o una conectividad de alta latencia. Solo la telemetría y la información se transfieren para la administración a la Azure Portal.
Para obtener más información, consulte Ruta de implementación de Defender para IoT OT.
Sensores ot locales y conectados a la nube
Los sensores conectados a la nube son sensores que están conectados a Defender para IoT en Azure y difieren de los sensores administrados localmente de la siguiente manera:
Cuando tiene un sensor de red OT conectado a la nube:
Todos los datos que detecta el sensor se muestran en la consola del sensor, pero la información de alerta también se entrega a Azure, donde se puede analizar y compartir con otros servicios de Azure.
Los paquetes de inteligencia sobre amenazas de Microsoft se pueden insertar automáticamente en sensores conectados a la nube.
El nombre del sensor definido durante la incorporación es el nombre que se muestra en el sensor y es de solo lectura desde la consola del sensor.
Por el contrario, al trabajar con sensores administrados localmente:
Vea los datos de un sensor específico desde la consola del sensor.
Debe cargar manualmente los paquetes de inteligencia sobre amenazas en sensores administrados localmente.
Los nombres de los sensores se pueden actualizar en la consola del sensor.
Para obtener más información, consulte Administración de sensores OT desde la consola del sensor.
Motores de análisis de Defender para IoT
Los sensores de red de Defender para IoT analizan los datos ingeridos mediante motores de análisis integrados y desencadenan alertas basadas en el tráfico en tiempo real y pregrabado.
Los motores de análisis proporcionan análisis de perfiles y aprendizaje automático, análisis de riesgos, una base de datos de dispositivos y un conjunto de conclusiones, inteligencia sobre amenazas y análisis de comportamiento.
Por ejemplo, el motor de detección de infracciones de directiva modela las redes de sistemas de control industrial (ICS) para detectar desviaciones del comportamiento previsto de "línea base", mediante la detección de anomalías de comportamiento (BAD), como se describe en NISTIR 8219. Esta línea base se desarrolla mediante la comprensión de las actividades regulares que tienen lugar en la red, como patrones de tráfico normales, acciones de usuario y accesos a la red ICS. A continuación, el sistema BAD supervisa la red para detectar cualquier desviación del comportamiento esperado y marca las infracciones de directiva. Entre los ejemplos de desviaciones de línea base se incluyen el uso no autorizado de códigos de función, el acceso a objetos específicos o los cambios en la configuración de un dispositivo.
Dado que se crearon muchos algoritmos de detección para TI, en lugar de redes OT, la línea base adicional para las redes ICS ayuda a acortar la curva de aprendizaje del sistema para nuevas detecciones.
Los sensores de red de Defender para IoT incluyen los siguientes motores de análisis principales:
| Nombre | Descripción | Ejemplos |
|---|---|---|
| Motor de detección de infracciones de protocolo | Identifica el uso de estructuras de paquetes y valores de campo que infringen las especificaciones del protocolo ICS. Las infracciones de protocolo se producen cuando la estructura de paquetes o los valores de campo no cumplen con la especificación del protocolo. |
Una alerta "Operación MODBUS no válida (código de función cero)" indica que un dispositivo principal envió una solicitud con el código de función 0 a un dispositivo secundario. Esta acción no se permite según la especificación del protocolo y es posible que el dispositivo secundario no controle la entrada correctamente. |
| Infracción de directiva | Una infracción de directiva se produce con una desviación del comportamiento de línea base definido en la configuración aprendida o configurada. | Una alerta "Agente de usuario HTTP no autorizado" indica que una aplicación que no se ha aprendido ni aprobado por la directiva se usa como cliente HTTP en un dispositivo. Podría ser un nuevo explorador web o aplicación en ese dispositivo. |
| Motor de detección de malware industrial | Identifica comportamientos que indican la presencia de actividad de red malintencionada a través de malware conocido, como Conficker, Black Energy, Havex, WannaCry, NotPetya y Triton. | Una alerta "Sospecha de actividad malintencionada (Stuxnet)" indica que el sensor detectó actividad de red sospechosa que se sabe que está relacionada con el malware stuxnet. Este malware es una amenaza persistente avanzada destinada al control industrial y a las redes SCADA. |
| Motor de detección de anomalías | Detecta comportamientos y comunicaciones inusuales de máquina a máquina (M2M). Este motor modela las redes ICS y, por lo tanto, requiere un período de aprendizaje más corto que el análisis desarrollado para TI. Las anomalías se detectan más rápido, con mínimos falsos positivos. |
Una alerta "Comportamiento periódico en el canal de comunicación" refleja el comportamiento periódico y cíclico de la transmisión de datos, que es común en las redes industriales. Otros ejemplos incluyen intentos de inicio de sesión SMB excesivos y alertas detectadas de análisis de PLC. |
| Detección de incidentes operativos | Detecta problemas operativos, como la conectividad intermitente que puede indicar los primeros signos de error del equipo. | Se desencadena una alerta "Se sospecha que el dispositivo está desconectado (no responde)" cuando un dispositivo no responde a ningún tipo de solicitud durante un período predefinido. Esta alerta podría indicar un apagado, desconexión o mal funcionamiento del dispositivo. Otro ejemplo podría ser si se enviaran alertas al comando siemens S7 stop PLC. |
Opciones de administración
Defender para IoT proporciona compatibilidad con redes híbridas mediante las siguientes opciones de administración:
El Azure Portal. Use el Azure Portal como un único panel de cristal para ver todos los datos ingeridos de los dispositivos a través de sensores de red conectados a la nube. El Azure Portal proporciona un valor adicional, como libros, conexiones a Microsoft Sentinel, recomendaciones de seguridad y mucho más.
Use también la Azure Portal para obtener nuevos dispositivos y actualizaciones de software, incorporar y mantener los sensores en Defender para IoT y actualizar paquetes de inteligencia sobre amenazas. Por ejemplo:
La consola del sensor OT. Vea las detecciones de dispositivos conectados a un sensor OT específico desde la consola del sensor. Use la consola del sensor para ver un mapa de red para los dispositivos detectados por ese sensor, una escala de tiempo de todos los eventos que se producen en el sensor, reenviar la información del sensor a los sistemas asociados, etc. Por ejemplo:
Dispositivos supervisados por Defender para IoT
Defender para IoT puede detectar todos los dispositivos, de todos los tipos, en todos los entornos. Los dispositivos aparecen en las páginas de inventario de dispositivos de Defender para IoT en función de un acoplamiento único de direcciones IP y MAC.
Defender para IoT identifica dispositivos únicos y únicos como se indica a continuación:
| Tipo | Descripción |
|---|---|
| Identificado como dispositivos individuales | Los dispositivos identificados como dispositivos individuales incluyen: Dispositivos de TI, OT o IoT con una o varias NIC, incluidos dispositivos de infraestructura de red como conmutadores y enrutadores Nota: Un dispositivo con módulos o componentes de backplane, como bastidores o ranuras, se cuenta como un único dispositivo, incluidos todos los módulos o componentes de backplane. |
| No identificado como dispositivos individuales | Los siguientes elementos no se consideran dispositivos individuales y no cuentan con la licencia: - Direcciones IP públicas de Internet - Grupos de conversión múltiple - Grupos de difusión - Dispositivos inactivos Los dispositivos supervisados por la red se marcan como inactivos cuando no se detecta ninguna actividad de red dentro de un tiempo especificado: En las redes OT, no se detecta ninguna actividad de red durante más de 60 días. Nota: Defender para IoT no considera los puntos de conexión ya administrados por Defender para punto de conexión como dispositivos independientes. |