教程：调查和检测 IoT 设备的威胁

Microsoft Defender for IoT 与 Microsoft Sentinel 之间的集成使 SOC 团队能够有效地检测和响应网络中的安全威胁。 使用 Microsoft Defender for IoT 解决方案增强安全功能，这是一组专为 Defender for IoT 数据配置的捆绑内容，其中包括分析规则、工作簿和 playbook。

在本教程中，你将：

先决条件

在开始之前，请确保已做好以下准备：

• 对 Microsoft Sentinel 工作区的“读取”和“写入”权限。 有关详细信息，请参阅 Microsoft Sentinel 中的权限。

• 已完成教程：将 Microsoft Defender for IoT 与 Microsoft Sentinel 连接。

安装 Defender for IoT 解决方案

Microsoft Sentinel 解决方案可以帮助你在单个过程中为特定数据连接器加入 Microsoft Sentinel 安全内容。

Microsoft Defender for IoT 解决方案将 Defender for IoT 数据与 Microsoft Sentinel 的安全业务流程、自动化和响应 (SOAR) 功能集成，通过现成的和优化的 playbook 来实现自动化响应和防护功能。

安装解决方案：

1. 在Microsoft Sentinel 中，在 “内容管理”下，选择 “内容中心 ”，然后找到 Microsoft Defender for IoT 解决方案。

2. 在右下方，选择“查看详细信息”，然后选择“创建”。 选择要安装解决方案的订阅、资源组和工作区，然后查看将要部署的相关安全内容。

3. 完成后，选择“查看 + 创建”来安装解决方案。

有关更多信息，请参阅关于 Azure Sentinel 内容和解决方案和集中发现和部署现成可用的内容和解决方案。

借助 Defender for IoT 直接检测威胁，无需任何繁琐配置

Microsoft Defender for IoT 数据连接器包括一个名为“创建事件”的默认Microsoft安全规则，该规则基于 Microsoft Defender for IoT 警报创建事件，该规则会自动为检测到的任何新的 Defender for IoT 警报创建新事件。

Microsoft Defender for IoT 解决方案包括一组更详细的现成分析规则，这些规则专为 Defender for IoT 数据而构建，并用于微调在 Microsoft Sentinel 中生成的相关警报事件。

若要使用开箱即用的 Defender for IoT 警报，请执行以下步骤：

1. 在 Microsoft Sentinel Analytics 页上，搜索并禁用“根据 Microsoft Defender for IoT 警报创建事件”规则。 此步骤可防止在同一警报的 Microsoft Sentinel 中创建重复事件。

2. 搜索并启用随 Microsoft Defender for IoT 解决方案一起安装的以下任意开箱即用分析规则：

   规则名称	DESCRIPTION
   ICS/SCADA 通信量的函数代码是非法的	监督控制和数据收集（SCADA）设备中的非法功能代码可能指示以下其中一项： - 应用程序配置不当，例如固件更新或重新安装。 - 恶意活动。 例如，尝试在协议中使用非法值的网络威胁，以利用可编程逻辑控制器（PLC）中的漏洞，例如缓冲区溢出。
   固件更新	未经授权的固件更新可能表示网络上的恶意活动，例如尝试纵 PLC 固件以破坏 PLC 功能的网络威胁。
   未经授权的PLC更改	对 PLC 阶梯逻辑代码的未经授权的更改可能是以下项之一： - PLC 中增加了新功能。 - 应用程序配置不当，例如固件更新或重新安装。 - 网络上的恶意活动，例如试图纵 PLC 编程以破坏 PLC 功能的网络威胁。
   PLC 不安全的密钥状态	新模式可能表示 PLC 不安全。 使 PLC 处于不安全的作模式可能允许攻击者对它执行恶意活动，例如程序下载。 如果 PLC 遭到入侵，则与之交互的设备和进程可能会受到影响。 这可能会影响系统的整体安全性和安全性。
   PLC 停止	PLC stop 命令可能表示应用程序配置不当，导致 PLC 停止运行或网络上的恶意活动。 例如，试图操控PLC程序编程以影响网络功能的网络威胁。
   网络中发现的可疑恶意软件	网络上发现的可疑恶意软件表示可疑恶意软件正在尝试入侵生产。
   网络中的多个扫描	网络上的多次扫描可能指示以下项之一： - 网络上的新设备 - 现有设备的新功能 - 应用程序配置错误，例如固件更新或重新安装 - 网络上用于侦查的恶意活动
   Internet 连接	与 Internet 地址通信的 OT 设备可能表示应用程序配置不当，例如尝试从外部服务器下载更新的防病毒软件，或网络上的恶意活动。
   SCADA 网络中未经授权的设备	网络上未经授权的设备可能是最近安装在网络上的合法、新设备，或者表明网络上存在未经授权的甚至恶意活动，例如尝试纵 SCADA 网络的网络威胁。
   SCADA 网络中未经授权的 DHCP 配置	网络上未经授权的 DHCP 配置可能指示网络上运行的新未经授权的设备。 这可能是最近部署在网络上的合法新设备，或者表明网络上存在未经授权的甚至恶意活动，例如试图纵 SCADA 网络的网络威胁。
   过多的登录尝试	过多的登录尝试可能表示网络上的服务配置、人为错误或恶意活动，例如尝试纵 SCADA 网络的网络威胁。
   网络中的高带宽	异常高的带宽可能是网络上新服务/进程（例如备份）或网络上恶意活动的指示，例如尝试纵 SCADA 网络的网络威胁。
   拒绝服务	此警报可检测阻止 DCS 系统使用或正确运行的攻击。
   对网络的未经授权的远程访问	对网络的未经授权的远程访问可能会损害目标设备。 这意味着，如果网络上的另一台设备遭到入侵，则可以远程访问目标设备，从而增加攻击面。
   未检测到传感器上的流量	不再检测网络流量的传感器表示系统可能不安全。

调查 Defender for IoT 事件

将 Defender for IoT 数据配置为在 Microsoft Sentinel 中触发新事件后，开始像调查其他事件一样在 Microsoft Sentinel 中调查这些事件。

调查 Microsoft Defender for IoT 事件：

1. 在Microsoft Sentinel 中，转到 “事件” 页。

2. 在事件网格上方，选择 产品名称 筛选器并清除 “全选 ”选项。 然后选择 Microsoft Defender for IoT ，仅查看 Defender for IoT 警报触发的事件。 例如：

   

3. 选择特定事件以开始调查。

   在右侧的事件详细信息窗格中，查看事件严重性、所涉及的实体摘要、任何映射的 MITRE ATT&CK 策略或技术等详细信息。 例如：

   

4. 选择 “查看完整详细信息 ”以打开事件详细信息页，可在其中进一步向下钻取。 例如：

   • 使用详细信息（例如 IoT 设备的站点、区域、传感器名称和设备重要性）了解事件的业务影响和物理位置。

   • 通过在事件时间线中选择警报并查看修正步骤区域来了解建议的 修正步骤 。

   • 从 “实体 ”列表中选择一个 IoT 设备实体，以打开其 设备实体页。 有关详细信息，请参阅进一步调查 IoT 设备实体。

有关详细信息，请参阅 使用 Microsoft Sentinel 调查事件。

使用 IoT 设备实体进一步调查

在 Microsoft Sentinel 中调查事件并在右侧打开事件详细信息窗格时，请从 “实体 ”列表中选择一个 IoT 设备实体，以查看有关所选实体的更多详细信息。 通过 IoT 设备图标 来识别 IoT 设备：

如果未立即看到 IoT 设备实体，请选择 “查看完整详细信息 ”以打开完整事件页，然后选中“ 实体 ”选项卡。选择 IoT 设备实体可查看更多实体数据，例如基本设备详细信息、所有者联系信息和设备上发生的事件时间线。

若要进一步向下钻取，请选择 IoT 设备实体链接并打开设备实体详细信息页，或在 Microsoft Sentinel 实体行为 页上搜寻易受攻击的设备。 例如，查看警报数量最多的前五个 IoT 设备，或按 IP 地址或设备名称搜索设备：

有关详细信息，请参阅通过 Microsoft Sentinel 中的实体页面调查实体和通过 Microsoft Sentinel 调查事件。

在 Defender for IoT 中调查警报

若要在 Defender for IoT 中打开警报以进一步调查，包括 访问警报 PCAP 数据的功能，请转到事件详细信息页，然后选择 “在 Microsoft Defender for IoT 中调查”。 例如：

此时会打开 Defender for IoT 警报详细信息页以获取相关警报。 有关详细信息，请参阅 调查和响应 OT 网络警报。

可视化和监视 Defender for IoT 数据

若要可视化和监视 Defender for IoT 数据，请使用部署到 Microsoft Sentinel 工作区的工作簿作为 Microsoft Defender for IoT 解决方案的一部分。

Defenders for IoT 工作薄根据未处理事件、警报通知和 OT 资产活动为 OT 实体提供指导性的调查信息。 它们还提供跨针对 ICS 的 MITRE ATT&CK® 框架的搜寻体验，旨在使分析师、安全工程师和 MSSP 能够了解 OT 安全状况。

在 威胁管理 > 工作簿 > “我的工作簿 ”选项卡上查看Microsoft Sentinel 中的工作簿。有关详细信息，请参阅 可视化收集的数据。

下表描述了 Microsoft Defender for IoT 解决方案中包含的工作簿：

自动响应 Defender for IoT 警报

Playbooks 是自动修正措施的集合，可以作为例行操作从 Microsoft Sentinel 运行。 playbook 可以帮助自动执行和协调威胁响应；可以手动运行或设置为自动运行以响应特定警报或事件（当由分析规则或自动化规则触发时）。

Microsoft Defender for IoT 解决方案包括现成的 playbook，可提供以下功能：

• 自动关闭事件
• 通过生产线发送电子邮件通知
• 创建新的 ServiceNow 票证
• 更新 Defender for IoT 中的警报状态
• 使用活动 CVE 自动执行事件的工作流
• 向 IoT/OT 设备所有者发送电子邮件
• 会审涉及重要设备的事件

在使用现成的剧本之前，请确保完成以下列出的前置步骤。

有关详细信息，请参见:

• 教程：在 Microsoft Sentinel 中将 playbook 与自动化规则配合使用
• 在 Microsoft Sentinel 中使用 playbook 自动响应威胁

Playbook 先决条件

在使用现成 playbook 之前，请确保根据每个 playbook 的需求满足以下先决条件：

• 确保有效的 playbook 连接
• 将所需角色添加到订阅
• 连接事件、相关分析规则和 playbook

确保有效的 playbook 连接

此过程用于确保 playbook 中的每个连接步骤的连接都有效，并且所有解决方案 playbook 都需要完成此过程。

确保有效的连接：

1. 在 Microsoft Sentinel 中，通过选择“自动化”“可用的 playbook”来打开 playbook>。

2. 选择一个 playbook，将其作为逻辑应用打开。

3. 将 playbook 作为逻辑应用打开后，选择 “逻辑应用设计器”。 展开逻辑应用中的每个步骤以检查无效连接，这些连接由橙色警告三角形指示。 例如：

   

   重要

   请确保展开逻辑应用中的每个步骤。 无效的连接可能隐藏在其他步骤中。

4. 选择“保存”。

将所需角色添加到订阅

此过程介绍如何将所需角色添加到安装了剧本的 Azure 订阅中，并且仅适用于以下几个剧本：

• AD4IoT-AutoAlertStatusSync
• AD4IoT-CVEAutoWorkflow
• AD4IoT-SendEmailtoIoTOwner
• AD4IoT-AutoTriageIncident

每本剧本所需的角色各有不同，但步骤保持不变。

若要将所需角色添加到订阅，请执行以下操作。

1. 在 Microsoft Sentinel 中，通过选择“自动化”“可用的 playbook”来打开 playbook>。

2. 选择一个 playbook，将其作为逻辑应用打开。

3. 将 playbook 作为逻辑应用打开后，选择“标识”>“系统分配”，然后在“权限”区域中，选择“Azure 角色分配”按钮。

4. 在 Azure 角色分配 页中，选择“ 添加角色分配”。

5. 在 “添加角色分配 ”窗格中：

   1. 将 范围 定义为 订阅。

   2. 从下拉列表中，选择在其中安装 playbook 的订阅。

   3. 从角色下拉列表中选择一个角色，具体取决于您正在使用的剧本类型。

      Playbook 名称	角色
      AD4IoT-AutoAlertStatusSync	安全管理员
      AD4IoT-CVEAutoWorkflow	读取者
      AD4IoT-SendEmailtoIoTOwner	读取者
      AD4IoT-AutoTriageIncident	读取者

6. 完成后，选择“保存”。

连接事件、相关分析规则和 playbook

此过程描述如何配置 Microsoft Sentinel 分析规则以根据事件触发器自动运行 playbook，并且所有解决方案 playbook 都需要完成此过程。

如何添加您的分析规则：

1. 在 Microsoft Sentinel 中，转到 自动化>规则。

2. 若要创建新的自动化规则，请选择“ 创建>自动化规则”。

3. 在 “触发器 ”字段中，根据所使用的 playbook，选择以下触发器之一：

   • AD4IoT-AutoAlertStatusSync playbook：选择“更新事件时”触发器
   • 所有其他解决方案 playbook：选择“创建事件时”触发器

4. 在 “条件 ”区域中，选择 “如果 > 分析规则名称 > 包含”，然后选择与组织中 Defender for IoT 相关的特定分析规则。

   例如：

   

   你可能正在使用现成的分析规则、可能已修改现成的内容，或创建了自己的规则。 有关详细信息，请参阅 使用 Defender for IoT 数据开箱即用检测威胁。

5. 在“操作”区域，选择“运行 playbook”“playbook 名称”。>

6. 选择 运行。

自动关闭事件

剧本名称：AD4IoT-AutoCloseIncidents

在某些情况下，维护活动会在 Microsoft Sentinel 中生成警报，从而分散 SOC 团队处理实际问题的注意力。 该剧本会在指定的维护期间自动关闭由此类警报创建的事件，并显式解析 IoT 设备实体字段。

要使用此剧本：

• 输入预期发生维护的相关时间段，以及任何相关资产的 IP 地址，例如在 Excel 文件中列出。
• 创建包含应自动处理警报的所有资产 IP 地址的监视列表。

通过生产线发送电子邮件通知

剧本名称：AD4IoT-MailByProductionLine

此剧本会发送邮件，以通知特定的利益相关者关于您环境中发生的警报和事件。

例如，将特定安全团队分配到特定生产线或地理位置时，你希望该团队收到有关与其职责相关的警报的通知。

要使用这个剧本，请创建一个监视列表，在传感器名称和你要提醒的每个涉众的邮件地址之间进行映射。

创建新的 ServiceNow 票证

Playbook 名称：AD4IoT-NewAssetServiceNowTicket

通常，授权对 PLC 进行编程的实体是工程工作站。 因此，攻击者可能会创建新的工程工作站，以便创建恶意 PLC 编程。

每当检测到新的工程工作站时，此剧本都会在 ServiceNow 中开具一个新票证，显式解析 IoT 设备实体字段。

更新 Defender for IoT 中的警报状态

Playbook 名称：AD4IoT-AutoAlertStatusSync

每当 Microsoft Sentinel 中的相关警报发生“状态”更新时，此 playbook 就会更新 Defender for IoT 中的警报状态。

这种同步会替代 Defender for IoT、Azure 门户或传感器控制台中定义的任何状态，使警报状态与相关事件的状态匹配。

使用活动 CVE 自动执行事件的工作流

Playbook 名称：AD4IoT-CVEAutoWorkflow

此 playbook 将活动 CVE 添加到受影响设备的事件注释中。 如果 CVE 被评估为关键，那么系统会自动进行优先级评估，并按照 Defender for IoT 中的站点级别设置，向设备所有者发送电子邮件通知。

若要添加设备所有者，请在 Defender for IoT 的 “站点和传感器 ”页上编辑网站所有者。 有关详细信息，请参阅 Azure 门户中的站点管理选项。

向 IoT/OT 设备所有者发送电子邮件

Playbook 名称：AD4IoT-SendEmailtoIoTOwner

该 playbook 会按照 Defender for IoT 中站点级别的定义向设备所有者发送包含事件详细信息的电子邮件，这样他们就可以开始调查，甚至能直接在自动发送电子邮件中响应事件。 响应选项包括：

• 是的，这是预期的。 选择此选项可关闭事件。

• 不，这不在意料之中。 选择此选项可让事件保持活动状态，增加严重性，并向事件添加确认标记。

事件将根据设备所有者选择的响应自动更新。

若要添加设备所有者，请在 Defender for IoT 的 “站点和传感器 ”页上编辑网站所有者。 有关详细信息，请参阅 Azure 门户中的站点管理选项。

会审涉及重要设备的事件

Playbook 名称：AD4IoT-AutoTriageIncident

此 playbook 会根据所涉及设备的重要性级别更新事件严重性。

后续步骤

有关详细信息，请参阅博客文章：使用 Microsoft Sentinel 保护关键基础结构：IT/OT 威胁监视解决方案