Azure Defender for IoT Sensor onboarding e integração no Azure Sentinel

Azure Defender for IoT Sensor onboarding e integração no Azure Sentinel

O Azure Defender para IoT é uma solução de segurança unificada para identificar dispositivos IoT / OT, ​​vulnerabilidades e ameaças. Ele permite que as organizações protejam ambientes inteiros de IoT / OT, ​​quer haja a necessidade de proteger dispositivos IoT / OT existentes ou criar segurança em novas inovações de IoT.

O Azure Defender para IoT oferece monitoramento de rede sem agente que pode ser implantado em hardware físico ou ambiente virtualizado e um micro agente leve que oferece suporte a sistemas operacionais IoT padrão. OT (Tecnologia Operacional) é usado para monitorar equipamentos industriais em vez de recursos tradicionais de TI de rede.

O Azure Sentinel pode ser usado para integração com os recursos do Defender para Orquestração, Automação e Resposta de Segurança (SOAR) que permitem resposta e prevenção automatizadas usando manuais internos otimizados para OT.

 

Pré-requisitos e requisitos

Esta captura descreve os requisitos para configurar o ambiente.

Dispositivo de hardware para o sensor.

O hardware compatível com o Defender IoT está listado aqui: Identificar os dispositivos necessários – Azure Defender para IoT | Microsoft Docs

  • Um switch de rede que oferece suporte ao monitoramento de tráfego por meio da porta SPAN.
  • Crie ou use um serviço existente do Hub IoT do Azure. O Hub IoT é necessário para gerenciar dispositivos e segurança IoT.
  • Uma implantação existente do Azure Sentinel para experiência de gerenciamento de segurança unificada para alertas do Defender para IoT.

 

Instale o Defender for IoT Sensor

A instalação demora um pouco e requer várias reinicializações durante a instalação.

Antes de iniciar a instalação, é necessário baixar o software de instalação. A ISO para a instalação pode ser encontrada emAzure Portal > Azure Defender for IoT > Set up a sensor > Purchase an appliance and install software > Download.

 

thumbnail image 1 of blog post titled How to Quick Start with Defender for IoT Sensor onboarding and integration into Azure Sentinel

 

Para meu ambiente de laboratório, decidi usar um servidor Vmware ESXI. Criei uma VM guest com 4 núcleos de CPU, 8 GB de RAM, 128 GB de disco rígido e 2 placas de rede virtual para o sensor. Um cartão virtual será usado posteriormente para a interface de gerenciamento e o segundo para a porta SPAN. Eu preparei o ambiente para meu laboratório da seguinte forma:

 

thumbnail image 2 of blog post titled How to Quick Start with Defender for IoT Sensor onboarding and integration into Azure Sentinel

 

Para instalar o sensor, anexei o ISO baixado à VM convidada do sensor para iniciar a instalação.

 

Para a configuração inicial, selecione um language.

 

thumbnail image 3 of blog post titled How to Quick Start with Defender for IoT Sensor onboarding and integration into Azure Sentinel

 

Selecione: SENSOR-RELEASE-version Office.

 

thumbnail image 4 of blog post titled How to Quick Start with Defender for IoT Sensor onboarding and integration into Azure Sentinel

 

Configure a arquitetura e as propriedades da rede.

 

Use eth0 for the management network (interface) e eth1 for the input interface (SPAN port) e clique em “y” para aceitar a configuração.

 

thumbnail image 5 of blog post titled How to Quick Start with Defender for IoT Sensor onboarding and integration into Azure Sentinel

 

Após alguns instantes, as credenciais CyberX e support aparecem. Copie as senhas para uso posterior.

  • Support: O usuário administrativo para gerenciamento de usuários.
  • CyberX: O equivalente a root para acessar o dispositivo.

Selecione Enter para continuar.

 

Assim que a instalação for concluída, você pode acessar o console de gerenciamento por meio do endereço IP configurado durante a instalação.

https://ipaddress

 

thumbnail image 6 of blog post titled How to Quick Start with Defender for IoT Sensor onboarding and integration into Azure Sentinel

 

Integrar o sensor sem agente no Hub de eventos

Assim que o sensor estiver instalado, agora é hora de prepará-lo como um sensor conectado à nuvem. Nesse modo, o sensor enviaria os alertas ao Event Hub para compartilhá-los com os serviços do Azure, como o Azure Sentinel.

Para a próxima etapa, é necessário um arquivo de ativação. Os arquivos de ativação contêm as instruções para o modo de gerenciamento do sensor.

 

Para obter o arquivo de ativação, execute as seguintes etapas.

 

A partir do Azure Portal, navegue para Defender for IoT > Start discovering your network / Onboard sensor.

 

thumbnail image 7 of blog post titled How to Quick Start with Defender for IoT Sensor onboarding and integration into Azure Sentinel

 

Defina um nome para o sensor, escolha a assinatura, selecione Na nuvem, selecione um Hub IoT ou crie um, use um nome de exibição e clique para se registrar.

 

thumbnail image 8 of blog post titled How to Quick Start with Defender for IoT Sensor onboarding and integration into Azure Sentinel

 

Agora o arquivo de ativação foi gerado e pode ser baixado para a próxima etapa. Baixe o arquivo e salve-o para a próxima etapa para ativar o sensor no modo conectado à nuvem.

 

thumbnail image 9 of blog post titled How to Quick Start with Defender for IoT Sensor onboarding and integration into Azure Sentinel

 

Ative o sensor sem agente

As etapas a seguir são necessárias para ativar o sensor e realizar a configuração inicial.

Faça logon no console de gerenciamento do seu navegador e da credencial CyberX, que foi predefinida, incluindo a senha durante a instalação.

 

thumbnail image 10 of blog post titled How to Quick Start with Defender for IoT Sensor onboarding and integration into Azure Sentinel

 

Depois de entrar na página de ativação, carregue o arquivo de ativação, que foi salvo nas etapas de visualização, aprove os termos e condições e clique em Ativar.

 

Após a ativação, eu recomendaria algumas práticas recomendadas a serem seguidas:

  • Crie uma nova conta de administrador para gerenciamento e só use a conta CyberX e de suporte se houver necessidade.
  • Altere o nome do sensor e, se necessário, as configurações de rede nas configurações de rede.

 

Validar o sensor

Depois de fazer login no console de gerenciamento, o sensor pode ser validado.

Vejo que a entrada do SPAN está funcionando e os dados são transmitidos da porta espelho.

 

thumbnail image 11 of blog post titled How to Quick Start with Defender for IoT Sensor onboarding and integration into Azure Sentinel

 

O sensor também descobriu o ativo, bem como construiu um mapa de rede com base na descoberta.

 

thumbnail image 12 of blog post titled How to Quick Start with Defender for IoT Sensor onboarding and integration into Azure Sentinel

 

Integrar com o Azure Sentinel

Como o sensor é operado em um modo conectado à nuvem, a integração com o Azure Sentinel é uma experiência de um clique.

 

To enable the data connector in Azure Sentinel, abra o Azure Portal e navegue para Azure Sentinel > Data connectors e procure pelo conector Azure Defender for IoT, então clique em Open connector page.

 

thumbnail image 13 of blog post titled How to Quick Start with Defender for IoT Sensor onboarding and integration into Azure Sentinel

 

E clique para conectar sua assinatura para transmitir alertas do Hub IoT para o Azure Sentinel.

 

thumbnail image 14 of blog post titled How to Quick Start with Defender for IoT Sensor onboarding and integration into Azure Sentinel

 

Na seleção Próximas etapas, você pode habilitar a regra de análise de alertas Criar incidentes com base na Central de Segurança do Azure para IoT para criar incidentes que o Azure Sentinel pode gerenciar.

 

Além disso, use o Azure Defender para pasta de trabalho Alertas de IoT para obter insights sobre suas cargas de trabalho de dados de IoT de implantações gerenciadas do Hub IoT do Azure, monitorar alertas em todas as suas implantações de Hub IoT e detectar dispositivos em risco que atuam em ameaças potenciais.

 

thumbnail image 15 of blog post titled How to Quick Start with Defender for IoT Sensor onboarding and integration into Azure Sentinel

 

Com o conector de dados habilitado, você pode gerenciar o Defender para incidentes de IoT no Azure Sentinel. Verifique a tabela SecurtityAlert para todos os dados de alerta do Defender para IoT.

SecurityAlert | onde ProductName == “Central de Segurança do Azure para IoT”

| classificar por TimeGenerated

 

thumbnail image 16 of blog post titled How to Quick Start with Defender for IoT Sensor onboarding and integration into Azure Sentinel  

 

Ou no painel de incidentes do Azure Sentinel.

 

thumbnail image 17 of blog post titled How to Quick Start with Defender for IoT Sensor onboarding and integration into Azure Sentinel

 

Resumo

Nesta postagem do blog, abordei a implantação de um Defender sem agente para sensores IoT e a integração com o Azure Sentinel para gerenciar os incidentes de segurança.

Fique ligado em outros conteúdos relacionados à IoT neste canal.

 

Recursos Adicionais

Página Azure Defender for IoT

https://azure.microsoft.com/en-us/services/azure-defender-for-iot/

 

Agentless IoT/OT Security with Azure Defender for IoT

https://www.youtube.com/watch?v=8spIfxewaeM&feature=youtu.be

 

Para mais informações:

Contate-nos

About the Author

Deixe uma resposta