Tworzenie raportów oceny ryzyka
Raporty dotyczące oceny ryzyka zawierają szczegółowe informacje o ocenach zabezpieczeń, lukach w zabezpieczeniach i problemach operacyjnych na urządzeniach wykrytych przez określony czujnik sieci OT, a także o zagrożeniach pochodzących z zaimportowanych reguł zapory.
Każdy czujnik sieci usługi Defender for IoT może wygenerować raport oceny ryzyka.
Wymagania wstępne
Aby utworzyć raporty oceny ryzyka, musisz mieć dostęp do czujnika sieciowego OT, dla którego chcesz wygenerować dane:
Aby zaimportować reguły zapory do czujnika OT lub dodać adresy serwera antywirusowego i kopii zapasowej, musisz być użytkownikiem administratora .
Aby utworzyć lub wyświetlić raporty oceny ryzyka na czujniku OT, musisz być użytkownikiem administratora lub analityka zabezpieczeń.
Aby uzyskać więcej informacji, zobacz Temat Użytkownicy i role lokalne na potrzeby monitorowania ot za pomocą usługi Defender dla IoT
Generowanie raportów oceny ryzyka na podstawie czujnika OT
Użyj pojedynczego czujnika OT do wyświetlania raportów generowanych tylko dla tego czujnika.
Aby wygenerować raport:
Zaloguj się do konsoli czujnika i wybierz pozycję Ocena>ryzyka Generuj raport. Raport jest generowany i wyświetlany na liście Raporty wraz ze znacznikiem czasu i rozmiarem raportu.
Na przykład:
Raporty są automatycznie nazywane ,
risk-assessment-report-<integer>gdzie<integer>jest automatycznie zwiększana.Wybierz nazwę raportu, aby go pobrać i otworzyć w przeglądarce.
Zawartość raportu oceny ryzyka
Raporty dotyczące oceny ryzyka zawierają następujące szczegóły:
| Szczegóły | opis |
|---|---|
| Wyniki zabezpieczeń | Ogólny wynik zabezpieczeń dla wszystkich wykrytych urządzeń oraz wskaźnik zabezpieczeń dla poszczególnych urządzeń. Wyniki zabezpieczeń są oparte na danych pochodzących z inspekcji pakietów, aparatów modelowania behawioralnego i projektu maszyny stanu specyficznego dla scADA i są podzielone na kategorie w następujący sposób: - Bezpieczne urządzenia to urządzenia z oceną zabezpieczeń powyżej 90%. - Urządzenia wymagające poprawy to urządzenia z oceną zabezpieczeń z zakresu od 70 do 89%. - Urządzenia podatne na zagrożenia to urządzenia z oceną zabezpieczeń poniżej 70%. |
| Problemy z zabezpieczeniami i operacjami | Szczegółowe informacje na temat następujących problemów z zabezpieczeniami i operacjami: — Problemy z konfiguracją — Luka w zabezpieczeniach urządzenia, priorytetyzacja według poziomu zabezpieczeń — Problemy z zabezpieczeniami sieci — Problemy operacyjne z siecią - Połączenia z sieciami ICS - Połączenia internetowe - Wskaźniki złośliwego oprogramowania przemysłowego — Problemy z protokołem - Wektory ataków |
| Ryzyko reguły zapory | Raport oceny ryzyka wyróżnia, czy reguła nie jest bezpieczna, czy istnieje niezgodność między regułą a monitorowaną siecią. |
Wzbogacanie raportu oceny ryzyka
Wzbogacanie czujnika o dodatkowe dane w celu zapewnienia pełniejszych raportów oceny ryzyka:
- Zaimportuj reguły zapory, aby ocenić je pod kątem ryzyka w raporcie
- Obniżanie ryzyka przez zdefiniowanie adresów dla serwera kopii zapasowej i serwera antywirusowego
Importowanie reguł zapory do czujnika OT
Zaimportuj reguły zapory do czujnika OT w celu analizy w raportach oceny ryzyka. Importowanie reguł zapory jest obsługiwane dla następujących zapór:
| Nazwa/nazwisko | opis | Typ pliku |
|---|---|---|
| Check Point | Eksportowanie zapory do R77 | .ZAMEK |
| Fortinet | Kopia zapasowa konfiguracji | . CONF |
| Jałowiec | Konfiguracja interfejsu wiersza polecenia systemu ScreenOS | .TXT |
Aby zaimportować reguły zapory:
Zaloguj się do czujnika jako użytkownik administracyjny i wybierz pozycję Ustawienia systemowe Importuj>ustawienia>Reguły zapory.
W okienku Reguły zapory:
- Wybierz typ zapory z menu rozwijanego
- Wybierz pozycję + Importuj plik , aby przejść do i wybrać plik, który chcesz zaimportować.
Na przykład:
Definiowanie kopii zapasowych i serwerów antywirusowych na czujniku OT
Serwery kopii zapasowych i serwerów antywirusowych nie są domyślnie zdefiniowane na czujniku. Zalecamy zdefiniowanie tych adresów w czujniku, aby utrzymać niską ocenę ryzyka sieci.
Aby dodać adresy serwera kopii zapasowej i antywirusowej:
- Zaloguj się do czujnika OT i wybierz pozycję System Settings>System Properties Vulnerability Assessment (Ocena luk w zabezpieczeniach właściwości>systemu).
- Dodaj adresy serwera kopii zapasowej i antywirusowego odpowiednio do pól backup_servers i AV_addresses . Użyj przecinków, aby oddzielić wiele adresów.
- Wybierz Zapisz, aby zapisać zmiany.
Wyświetlanie raportów oceny ryzyka dla wielu czujników
Użyj czujnika OT, aby wyświetlić raporty oceny ryzyka dla wszystkich połączonych czujników.
Aby wygenerować raport:
Zaloguj się do czujnika OT i wybierz pozycję Ocena ryzyka.
Z menu rozwijanego Wybierz czujnik wybierz czujnik, dla którego chcesz wygenerować raport, a następnie wybierz pozycję Generuj raport.
Nowy raport jest wymieniony w obszarze Zarchiwizowane raporty na liście według godziny i daty utworzenia oraz pokazywania wskaźnika zabezpieczeń i rozmiaru raportu.
Na przykład:
Wybierz pozycję Pobierz , aby pobrać raport i otworzyć go w przeglądarce.
Następne kroki
Podejmij działania na podstawie zaleceń przedstawionych w raportach oceny ryzyka, aby poprawić ogólny wskaźnik bezpieczeństwa sieci. Możesz na przykład zainstalować najnowsze aktualizacje zabezpieczeń lub oprogramowania układowego lub zbadać wszystkie elementy PLC, które są obecnie w niezabezpieczonych stanach.
Aby uzyskać więcej informacji, zobacz Ulepszanie stanu zabezpieczeń za pomocą zaleceń dotyczących zabezpieczeń.
Kontynuuj tworzenie innych raportów, aby uzyskać więcej danych zabezpieczeń z czujnika OT. Aby uzyskać więcej informacji, zobacz: