تنبيهات Microsoft Defender ل IoT
تعزز تنبيهات Microsoft Defender for IoT أمان الشبكة وعملياتها بتفاصيل في الوقت الحقيقي حول الأحداث التي تم تسجيلها في شبكتك. يتم تشغيل التنبيهات عندما تكتشف مستشعرات شبكة OT التغييرات أو النشاط المشبوه في حركة مرور الشبكة التي تحتاج إلى انتباهك.
على سبيل المثال:
استخدم التفاصيل المعروضة في صفحة التنبيهات ، أو في صفحة تفاصيل التنبيه، للتحقيق واتخاذ إجراء يعالج أي مخاطر على شبكتك، إما من الأجهزة ذات الصلة أو من عملية الشبكة التي أدت إلى تشغيل التنبيه.
تلميح
استخدم خطوات معالجة التنبيه لمساعدة فرق SOC على فهم المشكلات والحلول المحتملة. نوصي بمراجعة خطوات المعالجة الموصى بها قبل تحديث حالة التنبيه أو اتخاذ إجراء على الجهاز أو الشبكة.
خيارات إدارة التنبيه
تتوفر تنبيهات Defender ل IoT في مدخل Microsoft Azure ووحدات تحكم مستشعر شبكة OT ووحدة تحكم الإدارة المحلية. مع أمان Enterprise IoT، تتوفر التنبيهات أيضا لأجهزة Enterprise IoT التي اكتشفها Defender لنقطة النهاية، في Microsoft 365 Defender.
بينما يمكنك عرض تفاصيل التنبيه والتحقيق في سياق التنبيه وفرز حالات التنبيه وإدارتها من أي من هذه المواقع، يقدم كل موقع أيضا إجراءات تنبيه إضافية. يصف الجدول التالي التنبيهات المعتمدة لكل موقع والإجراءات الإضافية المتوفرة من هذا الموقع فقط:
| الموقع | الوصف | إجراءات تنبيه إضافية |
|---|---|---|
| مدخل Microsoft Azure | تنبيهات من جميع مستشعرات OT المتصلة بالسحابة | - عرض تكتيكات وتقنيات MITRE ATT CK ذات الصلة - استخدام المصنفات الجاهزة للرؤية في التنبيهات ذات الأولوية العالية - عرض التنبيهات من Microsoft Sentinel وتشغيل تحقيقات أعمق باستخدام أدلة مبادئ ومصنفات Microsoft Sentinel. |
| وحدات تحكم مستشعر شبكة OT | التنبيهات التي تم إنشاؤها بواسطة مستشعر OT هذا | - عرض مصدر التنبيه ووجهته في خريطة الجهاز - عرض الأحداث ذات الصلة على المخطط الزمني للحدث - إعادة توجيه التنبيهات مباشرة إلى الموردين الشركاء - إنشاء تعليقات التنبيه - إنشاء قواعد تنبيه مخصصة - تنبيهات إلغاء التعلم |
| وحدة تحكم إدارة محلية | التنبيهات التي تم إنشاؤها بواسطة مستشعرات OT المتصلة | - إعادة توجيه التنبيهات مباشرة إلى الموردين الشركاء - إنشاء قواعد استبعاد التنبيه |
| Microsoft 365 Defender | تم الكشف عن التنبيهات التي تم إنشاؤها لأجهزة إنترنت الأشياء للمؤسسات بواسطة Microsoft Defender لنقطة النهاية | - إدارة بيانات التنبيهات مع بيانات Microsoft 365 Defender الأخرى، بما في ذلك التتبع المتقدم |
تلميح
يتم سرد أي تنبيهات يتم إنشاؤها من أجهزة استشعار مختلفة في نفس المنطقة ضمن إطار زمني مدته 10 دقائق، بنفس النوع والحالة وبروتوكول التنبيه والأجهزة المرتبطة بها، كتنبيه موحد واحد.
- يستند الإطار الزمني البالغ 10 دقائق إلى وقت الكشف الأول للتنبيه.
- يسرد التنبيه الموحد الفردي جميع أدوات الاستشعار التي اكتشفت التنبيه.
- يتم دمج التنبيهات استنادا إلى بروتوكول التنبيه ، وليس بروتوكول الجهاز.
لمزيد من المعلومات، راجع:
- استبقاء بيانات التنبيه
- تسريع مهام سير عمل تنبيه OT
- حالات التنبيه وخيارات الفرز
- تخطيط مواقع ومناطق OT
تختلف خيارات التنبيه أيضا وفقا لموقعك ودور المستخدم. لمزيد من المعلومات، راجع أدوار مستخدم Azure وأذوناته والمستخدمين والأدوار المحلية.
التنبيهات المركز عليها في بيئات OT/IT
تتعامل المؤسسات التي يتم فيها نشر أدوات الاستشعار بين شبكات OT وشبكات تكنولوجيا المعلومات مع العديد من التنبيهات، المتعلقة بكل من حركة مرور OT و IT. يمكن أن يسبب مقدار التنبيهات، وبعضها غير ذي صلة، تعب التنبيه ويؤثر على الأداء العام. لمواجهة هذه التحديات، توجه سياسة الكشف الخاصة ب Defender for IoT محركات التنبيه المختلفة الخاصة بها للتركيز على التنبيهات ذات التأثير التجاري والصلة بشبكة OT، وتقليل التنبيهات ذات الصلة ب تكنولوجيا المعلومات منخفضة القيمة. على سبيل المثال، تنبيه الاتصال بالإنترنت غير المصرح به ذو صلة عالية في شبكة OT، ولكنه ذو قيمة منخفضة نسبيا في شبكة تكنولوجيا المعلومات.
لتركيز التنبيهات التي يتم تشغيلها في هذه البيئات، تقوم جميع محركات التنبيه، باستثناء محرك البرامج الضارة ، بتشغيل التنبيهات فقط إذا اكتشفت شبكة فرعية أو بروتوكول OT ذي صلة. ومع ذلك، للحفاظ على تشغيل التنبيهات التي تشير إلى السيناريوهات الحرجة:
- يقوم مشغل البرامج الضارة بتشغيل تنبيهات البرامج الضارة بغض النظر عما إذا كانت التنبيهات مرتبطة بأجهزة OT أو تكنولوجيا المعلومات.
- تتضمن المحركات الأخرى استثناءات للسيناريوهات الحرجة. على سبيل المثال، يقوم المحرك التشغيلي بتشغيل التنبيهات المتعلقة بحركة مرور أجهزة الاستشعار، بغض النظر عما إذا كان التنبيه مرتبطا بنسبة استخدام الشبكة OT أو تكنولوجيا المعلومات.
إدارة تنبيهات OT في بيئة مختلطة
قد يقوم المستخدمون الذين يعملون في البيئات المختلطة بإدارة تنبيهات OT في Defender for IoT على مدخل Microsoft Azure ومستشعر OT ووحدة تحكم إدارة محلية.
إشعار
بينما تعرض وحدة تحكم المستشعر حقل الكشف الأخير للتنبيه في الوقت الفعلي، قد يستغرق Defender for IoT في مدخل Microsoft Azure ما يصل إلى ساعة واحدة لعرض الوقت المحدث. يشرح هذا سيناريو حيث لا يكون وقت الكشف الأخير في وحدة تحكم المستشعر هو نفس وقت الكشف الأخير في مدخل Microsoft Azure.
بخلاف ذلك، تتم مزامنة حالات التنبيه بشكل كامل بين مدخل Microsoft Azure ومستشعر OT، وبين أداة الاستشعار ووحدة تحكم الإدارة المحلية. وهذا يعني أنه بغض النظر عن المكان الذي تدير فيه التنبيه في Defender for IoT، يتم تحديث التنبيه في مواقع أخرى أيضا.
يؤدي تعيين حالة تنبيه إلى مغلقة أو مكتومة على أداة استشعار أو وحدة تحكم إدارة محلية إلى تحديث حالة التنبيه إلى مغلق على مدخل Microsoft Azure. في وحدة تحكم الإدارة المحلية، تسمى حالة التنبيه المغلقة تم الإقرار بها.
تلميح
إذا كنت تعمل مع Microsoft Sentinel، نوصي بتكوين التكامل لمزامنة حالة التنبيه أيضا مع Microsoft Sentinel، ثم إدارة حالات التنبيه مع أحداث Microsoft Sentinel ذات الصلة.
لمزيد من المعلومات، راجع البرنامج التعليمي: التحقيق في التهديدات واكتشافها لأجهزة IoT.
تنبيهات Microsoft Defender لنقطة النهاية إنترنت الأشياء على مستوى المؤسسة
إذا كنت تستخدم أمان Enterprise IoT في Microsoft 365 Defender، تتوفر التنبيهات لأجهزة Enterprise IoT التي تم اكتشافها بواسطة Microsoft Defender لنقطة النهاية في Microsoft 365 Defender فقط. ترتبط العديد من عمليات الكشف المستندة إلى الشبكة من Microsoft Defender لنقطة النهاية بأجهزة Enterprise IoT، مثل التنبيهات التي يتم تشغيلها بواسطة عمليات الفحص التي تتضمن نقاط نهاية مدارة.
لمزيد من المعلومات، راجع تأمين أجهزة IoT في المؤسسة و قائمة انتظار التنبيهات في Microsoft 365 Defender.
تسريع مهام سير عمل تنبيه OT
يتم إغلاق التنبيهات الجديدة تلقائيا إذا لم يتم الكشف عن حركة مرور متطابقة بعد 90 يوما من الكشف الأولي. إذا تم الكشف عن نسبة استخدام الشبكة المتطابقة خلال تلك الأيام ال 90 الأولى، يتم إعادة تعيين عدد 90 يوما.
بالإضافة إلى السلوك الافتراضي، قد ترغب في مساعدة فرق إدارة SOC وOT على فرز التنبيهات ومعالجتها بشكل أسرع. سجل الدخول إلى مستشعر OT أو وحدة تحكم إدارة محلية كمستخدم مسؤول لاستخدام الخيارات التالية:
إنشاء قواعد تنبيه مخصصة. أدوات استشعار OT فقط.
أضف قواعد تنبيه مخصصة لتشغيل تنبيهات لنشاط معين على شبكتك لا تغطيه الوظائف الجاهزة.
على سبيل المثال، بالنسبة لبيئة تقوم بتشغيل MODBUS، يمكنك إضافة قاعدة للكشف عن أي أوامر مكتوبة إلى سجل ذاكرة على عنوان IP محدد ووجهة ethernet.
لمزيد من المعلومات، راجع إنشاء قواعد تنبيه مخصصة على مستشعر OT.
إنشاء تعليقات التنبيه. أدوات استشعار OT فقط.
أنشئ مجموعة من تعليقات التنبيه التي يمكن لمستخدمي أداة استشعار OT الآخرين إضافتها إلى التنبيهات الفردية، مع تفاصيل مثل خطوات التخفيف المخصصة أو الاتصالات مع أعضاء الفريق الآخرين أو رؤى أو تحذيرات أخرى حول الحدث.
يمكن لأعضاء الفريق إعادة استخدام هذه التعليقات المخصصة أثناء فرز حالات التنبيه وإدارتها. يتم عرض تعليقات التنبيه في منطقة تعليقات على صفحة تفاصيل التنبيه. على سبيل المثال:
لمزيد من المعلومات، راجع إنشاء تعليقات تنبيه على مستشعر OT.
إنشاء قواعد استثناء التنبيه: وحدات تحكم الإدارة المحلية فقط.
إذا كنت تعمل مع وحدة تحكم إدارة محلية، فحدد قواعد استبعاد التنبيه لتجاهل الأحداث عبر أجهزة استشعار متعددة تفي بمعايير محددة. على سبيل المثال، قد تقوم بإنشاء قاعدة استثناء تنبيه لتجاهل جميع الأحداث التي قد تؤدي إلى تنبيهات غير ذات صلة أثناء نافذة صيانة معينة.
لا تظهر التنبيهات التي يتم تجاهلها بواسطة قواعد الاستبعاد على مدخل Azure أو المستشعر أو وحدة تحكم الإدارة المحلية أو في سجلات الأحداث.
لمزيد من المعلومات، راجع إنشاء قواعد استثناء التنبيه على وحدة تحكم إدارة محلية.
إعادة توجيه بيانات التنبيه إلى أنظمة الشركاء إلى SIEMs الشريكة وخوادم syslog وعناوين البريد الإلكتروني المحددة والمزيد.
مدعوم من كل من مستشعرات OT ووحدات التحكم بالإدارة المحلية. لمزيد من المعلومات، راجع إعادة توجيه معلومات التنبيه.
حالات التنبيه وخيارات الفرز
استخدم حالات التنبيه التالية وخيارات الفرز لإدارة التنبيهات عبر Defender for IoT.
عند فرز تنبيه، ضع في اعتبارك أن بعض التنبيهات قد تعكس تغييرات صالحة في الشبكة، مثل جهاز معتمد يحاول الوصول إلى مورد جديد على جهاز آخر.
بينما تتوفر خيارات الفرز من مستشعر OT ووحدة تحكم الإدارة المحلية لتنبيهات OT فقط، تتوفر الخيارات المتوفرة على مدخل Microsoft Azure لكل من تنبيهات OT وEnterprise IoT.
استخدم الجدول التالي لمعرفة المزيد حول كل حالة تنبيه وخيار فرز.
| إجراء الحالة / الفرز | متوفر في | الوصف |
|---|---|---|
| جديد | - مدخل Microsoft Azure - مستشعرات شبكة OT - وحدة تحكم الإدارة المحلية |
التنبيهات الجديدة هي تنبيهات لم يتم فرزها أو التحقيق فيها بعد من قبل الفريق. لا تنشئ حركة المرور الجديدة التي تم اكتشافها لنفس الأجهزة تنبيها جديدا، ولكن تتم إضافتها إلى التنبيه الحالي. في وحدة تحكم الإدارة المحلية، تسمى التنبيهات الجديدة غير معروفة. ملاحظة: قد ترى تنبيهات متعددة أو جديدة أو غير معروفة بنفس الاسم. في مثل هذه الحالات، يتم تشغيل كل تنبيه منفصل بواسطة حركة مرور منفصلة، على مجموعات مختلفة من الأجهزة. |
| نشط | - مدخل Azure فقط | قم بتعيين تنبيه إلى نشط للإشارة إلى أن التحقيق جار، ولكن لا يمكن إغلاق التنبيه أو فرزه بطريقة أخرى. هذه الحالة ليس لها أي تأثير في أي مكان آخر في Defender for IoT. |
| مغلق | - مدخل Microsoft Azure - مستشعرات شبكة OT - وحدة تحكم الإدارة المحلية |
أغلق تنبيها للإشارة إلى أنه تم التحقيق فيه بالكامل، وتريد أن يتم تنبيهك مرة أخرى في المرة التالية التي يتم فيها الكشف عن نفس نسبة استخدام الشبكة. يؤدي إغلاق تنبيه إلى إضافته إلى المخطط الزمني لحدث المستشعر. في وحدة تحكم الإدارة المحلية، تسمى التنبيهات الجديدة تم الإقرار بها. |
| Learn | - مدخل Microsoft Azure - مستشعرات شبكة OT - وحدة تحكم الإدارة المحلية يتوفر إلغاء تعلم تنبيه فقط على مستشعر OT. |
تعرف على تنبيه عندما تريد إغلاقه وإضافته كحركة مرور مسموح بها، بحيث لا يتم تنبيهك مرة أخرى في المرة التالية التي يتم فيها الكشف عن حركة المرور نفسها. على سبيل المثال، عندما يكتشف المستشعر تغييرات إصدار البرنامج الثابت بعد إجراءات الصيانة القياسية، أو عند إضافة جهاز متوقع جديد إلى الشبكة. تعلم تنبيه يغلق التنبيه ويضيف عنصرا إلى المخطط الزمني لحدث المستشعر. يتم تضمين نسبة استخدام الشبكة المكتشفة في تقارير استخراج البيانات، ولكن ليس عند حساب تقارير مستشعر OT الأخرى. تتوفر تنبيهات التعلم للتنبيهات المحددة فقط، ومعظمها يتم تشغيله بواسطة تنبيهات محرك النهج والشذوذ. |
| كتم الصوت | - مستشعرات شبكة OT - وحدة تحكم الإدارة المحلية يتوفر إلغاء كتم تنبيه فقط على مستشعر OT. |
كتم صوت تنبيه عندما تريد إغلاقه وعدم رؤيته مرة أخرى لحركة المرور نفسها، ولكن دون إضافة التنبيه المسموح به لنسبة استخدام الشبكة. على سبيل المثال، عندما يقوم المحرك التشغيلي بتشغيل تنبيه يشير إلى تغيير وضع PLC على جهاز. قد يشير الوضع الجديد إلى أن PLC غير آمن، ولكن بعد التحقيق، يتم تحديد أن الوضع الجديد مقبول. يؤدي كتم صوت تنبيه إلى إغلاقه، ولكنه لا يضيف عنصرا إلى المخطط الزمني لحدث المستشعر. يتم تضمين نسبة استخدام الشبكة المكتشفة في تقارير استخراج البيانات، ولكن ليس عند حساب البيانات لتقارير الاستشعار الأخرى. يتوفر كتم صوت تنبيه للتنبيهات المحددة فقط، ومعظمها يتم تشغيله بواسطة محركات Anomaly أو Protocol Violation أو Operational . |
تلميح
إذا كنت تعرف مسبقا الأحداث غير ذات الصلة بالنسبة لك، مثل أثناء نافذة الصيانة، أو إذا كنت لا تريد تعقب الحدث في المخطط الزمني للحدث، فأنشئ قاعدة استثناء تنبيه على وحدة تحكم إدارة محلية بدلا من ذلك.
لمزيد من المعلومات، راجع إنشاء قواعد استثناء التنبيه على وحدة تحكم إدارة محلية.
فرز تنبيهات OT أثناء وضع التعلم
يشير وضع التعلم إلى الفترة الأولية بعد نشر مستشعر OT، عندما يتعلم مستشعر OT النشاط الأساسي للشبكة، بما في ذلك الأجهزة والبروتوكولات في شبكتك، ونقل الملفات العادية التي تحدث بين أجهزة معينة.
استخدم وضع التعلم لإجراء فرز أولي على التنبيهات الموجودة في شبكتك، وتعلم تلك التي تريد وضع علامة عليها على أنها نشاط متوقع معتمد. لا تنشئ حركة المرور المستفادة تنبيهات جديدة في المرة التالية التي يتم فيها الكشف عن نفس حركة المرور.
لمزيد من المعلومات، راجع إنشاء أساس متعلم لتنبيهات OT.
الخطوات التالية
راجع أنواع التنبيهات والرسائل لمساعدتك على فهم إجراءات المعالجة وتكامل دليل المبادئ والتخطيط لها. لمزيد من المعلومات، راجع أنواع تنبيهات المراقبة والأوصاف في OT.