إنشاء أساس متعلم لتنبيهات OT
هذه المقالة هي واحدة في سلسلة من المقالات التي تصف مسار النشر لمراقبة OT مع Microsoft Defender ل IoT، وتصف كيفية إنشاء أساس لنسبة استخدام الشبكة المستفادة على مستشعر OT الخاص بك.
فهم وضع التعلم
يبدأ مستشعر شبكة OT في مراقبة شبكتك تلقائيا بعد توصيلها بالشبكة وتسجيل الدخول. تبدأ أجهزة الشبكة في الظهور في مخزون جهازك، ويتم تشغيل التنبيهات لأي حوادث أمنية أو تشغيلية تحدث في شبكتك.
في البداية، يحدث هذا النشاط في وضع التعلم ، الذي يوجه مستشعر OT لمعرفة النشاط المعتاد لشبكتك، بما في ذلك الأجهزة والبروتوكولات في شبكتك، وعمليات نقل الملفات العادية التي تحدث بين أجهزة معينة. يصبح أي نشاط يتم اكتشافه بانتظام نسبة استخدام الشبكة الأساسية لشبكتك.
تلميح
استخدم وقتك في وضع التعلم لفرز تنبيهاتك وتعرف على تلك التي تريد وضع علامة عليها على أنها نشاط متوقع معتمد. لا تنشئ نسبة استخدام الشبكة المتعلمة تنبيهات جديدة في المرة التالية التي يتم فيها الكشف عن نفس نسبة استخدام الشبكة.
بعد إيقاف تشغيل وضع التعلم، سيؤدي أي نشاط يختلف عن بيانات الأساس إلى تشغيل تنبيه.
لمزيد من المعلومات، راجع Microsoft Defender لتنبيهات IoT.
المخطط الزمني لوضع التعلم
قد يستغرق إنشاء خط الأساس لتنبيهات OT في أي مكان من بضعة أيام إلى عدة أسابيع، اعتمادا على حجم الشبكة وتعقيدها. يتم إيقاف تشغيل وضع التعلم تلقائيا عندما يكتشف المستشعر انخفاضا في نسبة استخدام الشبكة المكتشفة حديثا، والذي يتراوح عادة بين 2-6 أسابيع بعد التوزيع.
قم بإيقاف تشغيل وضع التعلم يدويا قبل ذلك إذا شعرت أن التنبيهات الحالية تعكس بدقة نشاط الشبكة.
المتطلبات الأساسية
يمكنك تنفيذ الإجراءات الواردة في هذه المقالة من مدخل Microsoft Azure أو مستشعر OT أو وحدة تحكم إدارة محلية.
قبل البدء، تأكد من أن لديك:
تم تثبيت مستشعر OT وتكوينه وتنشيطه، مع تشغيل التنبيهات بواسطة نسبة استخدام الشبكة المكتشفة.
الوصول إلى مستشعر OT كمحلل أمان أو مستخدم مسؤول. لمزيد من المعلومات، راجع المستخدمين المحليين والأدوار لمراقبة OT باستخدام Defender for IoT.
فرز التنبيهات
فرز التنبيهات نحو نهاية التوزيع لإنشاء أساس أولي لنشاط الشبكة.
سجل الدخول إلى مستشعر OT وحدد صفحة التنبيهات .
استخدم خيارات الفرز والتكوين لعرض التنبيهات الأكثر أهمية أولا. راجع كل تنبيه لتحديث الحالات وتعلم التنبيهات لنسبة استخدام الشبكة المعتمدة من OT.
لمزيد من المعلومات، راجع عرض التنبيهات وإدارتها على مستشعر OT.
الخطوات التالية
بعد إيقاف تشغيل وضع التعلم، انتقلت من وضع التعلم إلى وضع التشغيل . تابع مع أي مما يلي:
- تصور Microsoft Defender لبيانات IoT باستخدام مصنفات Azure Monitor
- عرض التنبيهات وإدارتها من مدخل Microsoft Azure
- إدارة مخزون جهازك من مدخل Microsoft Azure
دمج بيانات Defender for IoT مع Microsoft Sentinel لتوحيد مراقبة أمان فريق SOC. لمزيد من المعلومات، راجع: