Monitoramento de ameaças de OT nos SOCs empresarias

À medida que setores mais críticos para os negócios transformam seus sistemas de OT em infraestruturas de TI digitais, as equipes do SOC (Centro de Operações de Segurança) e os CISOs (diretores de segurança da informação) são cada vez mais responsáveis por ameaças de redes de OT.

Além dessas novas responsabilidades, as equipes do SOC também lidam com novos desafios, como os seguintes:

  • Falta de experiência e conhecimento em OT nas equipes atuais do SOC em relação a alertas de OT, equipamentos industriais, protocolos e comportamento de rede. Isso geralmente se converte em uma compreensão vaga ou minimizada dos incidentes de OT e do impacto disso nos negócios.

  • Comunicação e processos isolados ou ineficientes entre as organizações de OT e SOC.

  • Tecnologia e ferramentas limitadas, como falta de visibilidade ou correção de segurança automatizada para redes OT. Você precisará avaliar e vincular informações entre fontes de dados para redes OT e as integrações com soluções SOC existentes podem ser dispendiosas.

No entanto, sem a telemetria de OT, o contexto e a integração com as ferramentas e os fluxos de trabalho de SOC existentes, as ameaças de segurança e operacionais de OT podem ser tratadas incorretamente ou até mesmo passarem despercebidas.

Integrar o Microsoft Defender para IoT e o Microsoft Sentinel

O Microsoft Sentinel é um serviço de nuvem escalonável que oferece SIEM (gerenciamento de eventos e informações de segurança) e SOAR (resposta automatizada para orquestração de segurança). As equipes SOC podem usar a integração entre o Microsoft Defender para IoT e o Microsoft Sentinel para coletar dados entre redes, detectar e investigar ameaças e responder a incidentes.

No Microsoft Sentinel, o conector de dados e a solução do Defender para IoT trazem conteúdo de segurança pronto para uso para as equipes do SOC, ajudando-os a exibir, analisar e responder a alertas de segurança de OT e entender os incidentes gerados no conteúdo de ameaças organizacionais mais amplo.

Instale o conector de dados do Defender para IoT sozinho para transmitir alertas de rede OT para o Microsoft Sentinel. Em seguida, instale também a solução Microsoft Defender para IoT para obter o valor extra de regras de análise, pastas de trabalho e manuais SOAR específicos de IoT /OT e também mapeamentos de incidentes para MITRE ATT&CK para técnicas ICS.

A integração do Defender para IoT ao Microsoft Sentinel também ajuda você a ingerir mais dados de outras integrações de parceiros do Microsoft Sentinel. Para obter mais informações, consulte Integrações com a Microsoft e serviços de parceiros.

Observação

Alguns recursos do Microsoft Sentinel podem incorrer em uma taxa. Para obter mais informações, consulte Planejar os custos e entender os preços e a cobrança do Microsoft Sentinel.

Detecção e resposta integradas

A tabela a seguir mostra como a equipe de OT, no lado do Defender para IoT, e a equipe do SOC, no lado do Microsoft Sentinel, podem detectar e responder a ameaças rapidamente em toda a linha do tempo do ataque.

Microsoft Sentinel Etapa Defender para IoT
Alerta de OT disparado Alertas de OT de alta confiança, alimentados pelo grupo de pesquisa de segurança Seção 52 do Defender para IoT, são disparados com base em dados ingeridos no Defender para IoT.
As regras de análise abrem incidentes automaticamente apenas para casos de uso relevantes, evitando a fadiga de alertas de OT Incidente de OT criado
As equipes do SOC mapeiam o impacto nos negócios, incluindo dados sobre o site, a linha, os ativos comprometidos e os proprietários de OT Mapeamento do impacto comercial de incidentes de OT
As equipes do SOC movem o incidente para Ativo e começam a investigar, usando conexões de rede e eventos, pastas de trabalho e a página de entidade do dispositivo de OT Investigação de incidente de OT Os alertas são movidos para Ativo e as equipes de OT investigam o uso de dados de PCAP, relatórios detalhados e outros detalhes do dispositivo
As equipes do SOC respondem com guias estratégicos e notebooks de OT Resposta a incidentes de OT As equipes de OT suprimem o alerta ou aprendem com ele para a próxima vez, conforme necessário
Depois que a ameaça é atenuada, as equipes do SOC fecham o incidente Fechamento de incidente de OT Depois que a ameaça é atenuada, as equipes de OT fecham o alerta

Sincronizações de status de alerta

As alterações de status de alerta são sincronizadas somente do Microsoft Sentinel para o Defender para IoT e não do Defender para IoT para o Microsoft Sentinel.

Se você integrar o Defender para IoT ao Microsoft Sentinel, recomendaremos que você gerencie seus status de alerta acompanhado dos incidentes relacionados no Microsoft Sentinel.

Incidentes do Microsoft Sentinel para o Defender para IoT

Depois de configurar o conector de dados do Defender para IoT e fazer com que os dados de alerta de IoT/OT sejam transmitidos para o Microsoft Sentinel, use um dos seguintes métodos para criar incidentes com base nesses alertas:

Método Descrição
Usar a regra do conector de dados padrão Use o padrão Criar incidentes com base em todos os alertas gerados no Microsoft Defender para a regra de análise de IOT fornecida com o conector de dados. Essa regra cria um incidente separado no Microsoft Sentinel para cada alerta transmitido do Defender para IoT.
Use regras de solução prontas para uso Habilite algumas ou todas as regras de análise prontas para uso fornecidas com a solução Microsoft Defender para IoT.

Essas regras de análise ajudam a reduzir a fadiga do alerta criando incidentes apenas em situações específicas. Por exemplo, você pode optar por criar incidentes para tentativas excessivas de logon, mas para várias verificações detectadas na rede.
Criar regras personalizadas Crie regras de análise personalizadas para criar incidentes com base apenas em suas necessidades específicas. Você pode usar as regras de análise prontas para uso como ponto de partida ou criar regras do zero.

Adicione o seguinte filtro para evitar incidentes duplicados para a mesma ID de alerta: | where TimeGenerated <= ProcessingEndTime + 60m

Independentemente do método escolhido para criar alertas, apenas um incidente deve ser criado para cada ID de alerta do Defender para IoT.

Pastas de trabalho do Microsoft Sentinel para o Defender para IoT

Para visualizar e monitorar os dados do Microsoft Defender para IoT, use as pastas de trabalho implantadas no workspace do Microsoft Sentinel como parte da solução do Microsoft Defender para IoT.

As pastas de trabalho do Microsoft Defender para IoT fornecem investigações guiadas para entidades OT com base em incidentes abertos, notificações de alerta e atividades para ativos OT. Eles também fornecem uma experiência de caça em toda a estrutura MITRE ATT&CK® para ICS e são projetados para permitir que analistas, engenheiros de segurança e MSSPs obtenham consciência situacional da postura de segurança OT.

As pastas de trabalho podem exibir alertas por tipo, gravidade, tipo de dispositivo OT ou fornecedor ou alertas ao longo do tempo. As pastas de trabalho também mostram o resultado do mapeamento de alertas para o MITRE ATT&CK para táticas ICS, além da distribuição das táticas por contagem e período de tempo. Por exemplo:

Image of MITRE ATT&CK graph

Guias estratégicos do SOAR para Defender para IoT

Os guias estratégicos são coleções de ações de correção automatizadas que podem ser executadas pelo Microsoft Sentinel como uma rotina. Um guia estratégico pode ajudar a automatizar e orquestrar a resposta a ameaças. Ele pode ser executado manualmente ou definido para ser executado automaticamente em resposta a alertas ou incidentes específicos, quando disparado por uma regra de análise ou uma regra de automação, respectivamente.

Use os guias estratégicos de SOAR, por exemplo, para o seguinte:

  • Abrir um tíquete de ativo no ServiceNow quando um novo ativo for detectado, como uma nova estação de trabalho de engenharia. Esse alerta pode se tratar de um dispositivo não autorizado que poderá ser usado por adversários para reprogramar PLCs.

  • Enviar um email para os stakeholders relevantes quando uma atividade suspeita for detectada, por exemplo, uma reprogramação de PLC não planejada. O email pode ser enviado para o pessoal de OT, como um engenheiro de controle responsável pela linha de produção relacionada.

Comparando eventos, alertas e incidentes do Defender para IoT

Esta seção esclarece as diferenças entre eventos, alertas e incidentes do Defender para IoT no Microsoft Sentinel. Use as consultas listadas para exibir uma lista completa dos eventos, alertas e incidentes atuais para suas redes OT.

Normalmente, você verá mais eventos do Defender para IoT no Microsoft Sentinel do que alertas e mais alertas do Defender para IoT do que incidentes.

Eventos do Defender para IoT no Microsoft Sentinel

Cada log de alerta transmitido para o Microsoft Sentinel do Defender para IoT é um evento. Se o log de alertas refletir um alerta novo ou atualizado no Defender para IoT, um novo registro será adicionado à tabela SecurityAlert .

Para exibir todos os eventos do Defender para IoT no Microsoft Sentinel, execute a seguinte consulta na tabela SecurityAlert:

SecurityAlert
| where ProviderName == 'IoTSecurity' or ProviderName == 'CustomAlertRule'
Instead

Alertas do Defender para IoT no Microsoft Sentinel

O Microsoft Sentinel cria alertas com base nas regras de análise atuais e nos logs de alerta listados na tabela SecurityAlert. Se você não tiver nenhuma regra de análise ativa para o Defender para IoT, o Microsoft Sentinel considerará cada log de alertas como um evento.

Para ver os alertas no Microsoft Sentinel, execute a seguinte consulta na tabela SecurityAlert:

SecurityAlert
| where ProviderName == 'ASI Scheduled Alerts' or ProviderName =='CustomAlertRule'

Depois que você instalar a solução Microsoft Defender para IoT e implantar o guia estratégico AD4IoT-AutoAlertStatusSync, as alterações de status do alerta serão sincronizadas do Microsoft Sentinel para o Defender para IoT. As alterações de status do alerta não são sincronizadas do Defender para IoT para o Microsoft Sentinel.

Importante

Recomendamos que você gerencie seus status de alertas acompanhado dos incidentes relacionados no Microsoft Sentinel. Para obter mais informações, confira Trabalhar com tarefas de incidentes no Microsoft Sentinel.

Incidentes do Defender para IoT no Microsoft Sentinel

Microsoft Sentinel cria incidentes com base em suas regras de análise. Você pode ter vários alertas agrupados no mesmo incidente ou pode ter regras de análise configuradas para não criar incidentes para tipos de alerta específicos.

Para exibir incidentes no Microsoft Sentinel, execute a seguinte consulta:

SecurityIncident

Próximas etapas

Para obter mais informações, consulte: