مشاركة عبر

البرنامج التعليمي: التحقيق في التهديدات واكتشافها لأجهزة IoT

  • مقالة

يتيح التكامل بين Microsoft Defender for IoT وMicrosoft Sentinel لفرق SOC اكتشاف تهديدات الأمان عبر شبكتك والاستجابة لها بكفاءة وفعالية. قم بتحسين قدرات الأمان الخاصة بك باستخدام حل Microsoft Defender for IoT، وهو مجموعة من المحتوى المجمع الذي تم تكوينه خصيصا لبيانات Defender for IoT التي تتضمن قواعد التحليلات والمصنفات ودلائل المبادئ.

في هذا البرنامج التعليمي، سوف تتعلّم:

  • تثبيت حل Microsoft Defender for IoT في مساحة عمل Microsoft Sentinel
  • تعرف على كيفية التحقيق في تنبيهات Defender for IoT في حوادث Microsoft Sentinel
  • تعرف على قواعد التحليلات والمصنفات ودلائل المبادئ المنشورة في مساحة عمل Microsoft Sentinel باستخدام حل Microsoft Defender for IoT

هام

تجربة مركز محتوى Microsoft Sentinel قيد المعاينة حاليا، كما هو الحال مع حل Microsoft Defender for IoT. راجع شروط الاستخدام التكميلية لمعاينات Microsoft Azure للحصول على شروط قانونية إضافية تنطبق على ميزات Azure الموجودة في الإصدار التجريبي أو المعاينة أو غير ذلك من المزايا التي لم يتم إصدارها بعد في التوفر العام.

المتطلبات الأساسية

قبل البدء، تأكد من أن لديك:

تثبيت حل Defender لـIoT

يمكن أن تساعدك حلول Microsoft Azure Sentinel على إلحاق محتوى أمان Microsoft Azure Sentinel لموصل بيانات معين باستخدام عملية واحدة.

يدمج حل Microsoft Defender for IoT بيانات Defender for IoT مع إمكانات تنسيق الأمان والأتمتة والاستجابة (SOAR) من Microsoft Sentinel من خلال توفير أدلة مبادئ غير مضمنة ومحسنة لقدرات الاستجابة والوقاية التلقائية.

لتثبيت الحل:

  1. في Microsoft Sentinel، ضمن إدارة المحتوى، حدد مركز المحتوى ثم حدد موقع حل Microsoft Defender for IoT .

  2. في أسفل اليمين، حدد "View details"، ثم "Create". حدد الاشتراك ومجموعة الموارد ومساحة العمل حيث تريد تثبيت الحل، ثم راجع محتوى الأمان ذي الصلة الذي سيتم نشره.

  3. عند الانتهاء، حدد Review + Create لتثبيت الحل.

لمزيد من المعلومات، راجع حول محتوى Microsoft Azure Sentinel وحلوله واكتشاف المحتوى والحلول الجاهزة وتوزيعها مركزياً.

اكتشاف التهديدات خارج الصندوق باستخدام Defender لبيانات إنترنت الأشياء

يتضمن موصل بيانات Microsoft Defender for IoT قاعدة أمان Microsoft افتراضية تسمى Create incidents استنادا إلى Azure Defender لتنبيهات IOT، والتي تنشئ تلقائيا حوادث جديدة لأي تنبيهات Defender جديدة ل IoT تم اكتشافها.

يتضمن حل Microsoft Defender for IoT مجموعة أكثر تفصيلا من قواعد التحليلات الجاهزة، والتي تم إنشاؤها خصيصا لبيانات Defender for IoT وضبط الحوادث التي تم إنشاؤها في Microsoft Sentinel للتنبيهات ذات الصلة.

لاستخدام Defender الجاهز لتنبيهات IoT:

  1. في صفحة Microsoft Sentinel Analytics ، ابحث عن قاعدة Create incidents وتعطيلها استنادا إلى قاعدة تنبيهات Azure Defender for IOT. تمنع هذه الخطوة إنشاء الحوادث المكررة في Microsoft Sentinel لنفس التنبيهات.

  2. ابحث عن أي من قواعد التحليلات الجاهزة التالية وقم بتمكينها، المثبتة مع حل Microsoft Defender for IoT :

    اسم القاعدة ‏‏الوصف
    رموز الدالة غير القانونية لحركة مرور ICS/SCADA قد تشير رموز الوظائف غير القانونية في معدات المراقبة الإشرافية واقتناء البيانات (SCADA) إلى أحد الإجراءات التالية:

    - تكوين تطبيق غير صحيح، مثل بسبب تحديث البرنامج الثابت أو إعادة التثبيت.
    - نشاط ضار. على سبيل المثال، تهديد إلكتروني يحاول استخدام قيم غير قانونية داخل بروتوكول لاستغلال ثغرة أمنية في وحدة التحكم المنطقية القابلة للبرمجة (PLC)، مثل تجاوز المخزن المؤقت.
    تحديث البرنامج الثابت قد تشير تحديثات البرامج الثابتة غير المصرح بها إلى نشاط ضار على الشبكة، مثل تهديد الإنترنت الذي يحاول معالجة البرنامج الثابت PLC اختراق وظيفة PLC.
    تغييرات PLC غير المصرح بها قد تكون التغييرات غير المصرح بها على رمز منطق سلم PLC أحد الإجراءات التالية:

    - إشارة إلى وظائف جديدة في PLC.
    - تكوين غير صحيح للتطبيق، مثل بسبب تحديث البرنامج الثابت أو إعادة التثبيت.
    - النشاط الضار على الشبكة، مثل تهديد إلكتروني يحاول التلاعب ببرمجة PLC لاختراق وظيفة PLC.
    حالة مفتاح PLC غير الآمنة قد يشير الوضع الجديد إلى أن PLC غير آمن. قد يسمح ترك PLC في وضع تشغيل غير آمن للخصوم بتنفيذ أنشطة ضارة عليه، مثل تنزيل البرنامج.

    إذا تم اختراق PLC، فقد تتأثر الأجهزة والعمليات التي تتفاعل معها. مما قد يؤثر على أمان النظام وسلامته بشكل عام.
    توقف PLC قد يشير أمر إيقاف PLC إلى تكوين غير صحيح لتطبيق تسبب في توقف PLC عن العمل، أو نشاط ضار على الشبكة. على سبيل المثال، تهديد إلكتروني يحاول معالجة برمجة PLC للتأثير على وظائف الشبكة.
    عثر على برنامج ضار مشبوه في الشبكة تشير البرامج الضارة المشبوهة التي تم العثور عليها على الشبكة إلى أن البرامج الضارة المشبوهة تحاول اختراق الإنتاج.
    عمليات فحص متعددة في الشبكة يمكن أن تكون عمليات الفحص المتعددة على الشبكة مؤشرا على أحد الإجراءات التالية:

    - جهاز جديد على الشبكة
    - وظائف جديدة لجهاز موجود
    - التكوين الخاطئ للتطبيق، مثل بسبب تحديث البرنامج الثابت أو إعادة التثبيت
    - نشاط ضار على الشبكة للاستطلاع
    الاتصال بالإنترنت قد يشير جهاز OT المتصل بعناوين الإنترنت إلى تكوين تطبيق غير صحيح، مثل برنامج مكافحة الفيروسات الذي يحاول تنزيل التحديثات من خادم خارجي أو نشاط ضار على الشبكة.
    جهاز غير مصرح به في شبكة SCADA قد يكون الجهاز غير المصرح به على الشبكة جهازًا شرعيًا جديدًا مثبتًا مؤخرًا على الشبكة، أو مؤشرًا على نشاط غير مصرح به أو حتى ضار على الشبكة، مثل تهديد إلكتروني يحاول التلاعب بشبكة SCADA.
    تكوين DHCP غير المصرح به في شبكة SCADA قد يشير تكوين DHCP غير المصرح به على الشبكة إلى جهاز جديد غير مصرح به يعمل على الشبكة.

    قد يكون هذا جهازا شرعيا جديدا تم نشره مؤخرا على الشبكة، أو مؤشرا على نشاط غير مصرح به أو حتى ضار على الشبكة، مثل تهديد إلكتروني يحاول التلاعب بشبكة SCADA.
    محاولات تسجيل الدخول المفرطة قد تشير محاولات تسجيل الدخول المفرطة إلى تكوين خدمة غير صحيح أو خطأ بشري أو نشاط ضار على الشبكة، مثل تهديد إلكتروني يحاول التلاعب بشبكة SCADA.
    عرض النطاق الترددي العالي في الشبكة قد يكون النطاق الترددي العالي بشكل غير عادي مؤشرًا على خدمة/عملية جديدة على الشبكة، مثل النسخ الاحتياطي، أو إشارة إلى نشاط ضار على الشبكة، مثل تهديد إلكتروني يحاول التلاعب بشبكة SCADA.
    ⁩رفض الخدمة⁧ يكشف هذا التنبيه عن الهجمات التي من شأنها أن تمنع استخدام نظام DCS أو تشغيله بشكل صحيح.
    الوصول غير المصرح به عن بعد إلى الشبكة يمكن أن يؤدي الوصول غير المصرح به عن بعد إلى الشبكة إلى اختراق الجهاز الهدف.

    وهذا يعني أنه إذا تم اختراق جهاز آخر على الشبكة، يمكن الوصول إلى الأجهزة المستهدفة عن بعد، ما يزيد من سطح الهجوم.
    لم يتم الكشف عن نسبة استخدام الشبكة على أداة الاستشعار يشير المستشعر الذي لم يعد يكتشف نسبة استخدام الشبكة إلى أن النظام قد يكون غير آمن.

التحقيق في Defender لحوادث IoT

بعد تكوين بيانات Defender for IoT لتشغيل حوادث جديدة في Microsoft Sentinel، ابدأ في التحقيق في هذه الحوادث في Microsoft Sentinel كما تفعل مع الحوادث الأخرى.

للتحقيق في أحداث Microsoft Defender ل IoT:

  1. في Microsoft Sentinel، انتقل إلى صفحة الأحداث .

  2. أعلى شبكة الحدث، حدد عامل تصفية اسم المنتج وقم بإلغاء تحديد الخيار تحديد الكل . ثم حدد Microsoft Defender for IoT لعرض الحوادث التي تم تشغيلها بواسطة Defender لتنبيهات IoT فقط. على سبيل المثال:

    Screenshot of filtering incidents by product name for Defender for IoT devices.

  3. حدد حادثا معينا لبدء التحقيق.

    في جزء تفاصيل الحادث على اليمين، اعرض تفاصيل مثل خطورة الحادث، وملخصا للكيانات المعنية، وأي أساليب أو تقنيات MITRE ATT&CK معينة، وأكثر من ذلك. على سبيل المثال:

    Screenshot of a Microsoft Defender for IoT incident in Microsoft Sentinel.

  4. حدد عرض التفاصيل الكاملة لفتح صفحة تفاصيل الحادث، حيث يمكنك التنقل لأسفل أكثر. على سبيل المثال:

    • فهم تأثير الأعمال والموقع الفعلي للحادث باستخدام التفاصيل، مثل موقع جهاز IoT والمنطقة واسم المستشعر وأهمية الجهاز.

    • تعرف على خطوات المعالجة الموصى بها عن طريق تحديد تنبيه في المخطط الزمني للحوادث وعرض منطقة خطوات المعالجة.

    • حدد كيان جهاز IoT من قائمة الكيانات لفتح صفحة كيان الجهاز الخاص به. لمزيد من المعلومات، راجع التحقيق بشكل أكبر مع كيانات جهاز IoT.

لمزيد من المعلومات، راجع التحقيق في الحوادث باستخدام Microsoft Azure Sentinel.

تلميح

للتحقيق في الحادث في Defender for IoT، حدد رابط التحقيق في Microsoft Defender for IoT في أعلى جزء تفاصيل الحادث في صفحة الحوادث .

التحقيق بشكل أكبر مع كيانات جهاز IoT

عند التحقيق في حادث في Microsoft Sentinel وفتح جزء تفاصيل الحادث على اليمين، حدد كيان جهاز IoT من قائمة الكيانات لعرض مزيد من التفاصيل حول الكيان المحدد. تحديد جهاز IoT بواسطة أيقونة جهاز IoT:

إذا لم تتمكن من رؤية كيان جهاز IoT على الفور، فحدد عرض التفاصيل الكاملة لفتح صفحة الحادث الكاملة، ثم تحقق من علامة التبويب الكيانات . حدد كيان جهاز IoT لعرض المزيد من بيانات الكيان، مثل تفاصيل الجهاز الأساسية ومعلومات جهة اتصال المالك ومخطط زمني للأحداث التي حدثت على الجهاز.

للتنقل لأسفل بشكل أكبر، حدد رابط كيان جهاز IoT وافتح صفحة تفاصيل كيان الجهاز، أو ابحث عن الأجهزة الضعيفة في صفحة سلوك كيان Microsoft Sentinel. على سبيل المثال، اعرض أفضل خمسة أجهزة IoT مع أكبر عدد من التنبيهات، أو ابحث عن جهاز حسب عنوان IP أو اسم الجهاز:

Screenshot of IoT devices by number of alerts on entity behavior page.

لمزيد من المعلومات، راجع التحقيق في الكيانات ذات صفحات الكيان في Microsoft Sentinel والتحقيق في الحوادث باستخدام Microsoft Sentinel.

التحقيق في التنبيه في Defender for IoT

لفتح تنبيه في Defender for IoT لمزيد من التحقيق، بما في ذلك القدرة على الوصول إلى بيانات تنبيه PCAP، انتقل إلى صفحة تفاصيل الحادث وحدد التحقيق في Microsoft Defender for IoT. على سبيل المثال:

Screenshot of the Investigate in Microsoft Defender for IoT option.

تفتح صفحة تفاصيل تنبيه Defender for IoT للتنبيه ذي الصلة. لمزيد من المعلومات، راجع التحقيق في تنبيه شبكة OT والاستجابة له.

تصور ومراقبة بيانات Defender لـIoT

لتصور بيانات Defender for IoT ومراقبتها، استخدم المصنفات المنشورة في مساحة عمل Microsoft Sentinel كجزء من حل Microsoft Defender for IoT .

يوفر Defenders لمصنفات IoT تحقيقات موجهة لكيانات OT استنادا إلى الحوادث المفتوحة وإعلامات التنبيه والأنشطة لأصول OT. كما أنها توفر تجربة صيد عبر إطار عمل MITRE ATT&CK® ل ICS، وهي مصممة لتمكين المحللين ومهندسي الأمان وMSSPs من اكتساب وعي بالوضع الأمني ل OT.

عرض المصنفات في Microsoft Sentinel على علامة التبويب مصنفات إدارة > المخاطر > الخاصة بي. لمزيد من المعلومات، راجع تصور البيانات المجمعة.

يصف الجدول التالي المصنفات المضمنة في حل Microsoft Defender for IoT :

مصنف ‏‏الوصف السجلات
نظرة عامة تعرض لوحة المعلومات ملخصا للمقاييس الرئيسية لمخزون الجهاز واكتشاف التهديدات والثغرات الأمنية. يستخدم البيانات من Azure Resource Graph (ARG)
مخزون الجهاز يعرض بيانات مثل: اسم جهاز OT والنوع وعنوان IP وعنوان Mac والطراز ونظام التشغيل والرقم التسلسلي والمورد والبروتوكولات والتنبيهات المفتوحة و CVEs والتوصيات لكل جهاز. يمكن تصفيتها حسب الموقع والمنطقة وأجهزة الاستشعار. يستخدم البيانات من Azure Resource Graph (ARG)
الحوادث عرض بيانات مثل:

- مقاييس الحادث، والحادث في أقصى حد، والحادث بمرور الوقت، والحادث حسب البروتوكول، والحادث حسب نوع الجهاز، والحادث بواسطة المورد، والحادث حسب عنوان IP.

- الحادث حسب الخطورة، متوسط وقت الاستجابة للحوادث، متوسط وقت الحادث لحله وأسباب إغلاق الحادث.		 يستخدم البيانات من السجل التالي: SecurityAlert
Alerts يعرض بيانات مثل: مقاييس التنبيه، والتنبيهات العليا، والتنبيه بمرور الوقت، والتنبيه حسب الخطورة، والتنبيه حسب المحرك، والتنبيه حسب نوع الجهاز، والتنبيه حسب المورد، والتنبيه حسب عنوان IP. يستخدم البيانات من Azure Resource Graph (ARG)
MITRE ATT CK® ل ICS يعرض بيانات مثل: عدد التكتيكات وتفاصيل التكتيك والتكتيك بمرور الوقت وعدد التقنيات. يستخدم البيانات من السجل التالي: SecurityAlert
نقاط الضعف عرض الثغرات الأمنية و CVEs للأجهزة الضعيفة. يمكن تصفيتها حسب موقع الجهاز وخطورة CVE. يستخدم البيانات من Azure Resource Graph (ARG)

أتمتة الاستجابة لتنبيهات Defender لـIoT

Playbooks هي مجموعات من إجراءات المعالجة التلقائية التي يمكن تشغيلها من Microsoft Sentinel كروتين. يمكن أن يساعد دليل المبادئ على أتمتة وتنسيق الاستجابة للمخاطر؛ ويمكن تشغيله يدويًا أو تعيينه لتشغيله تلقائياً استجابة لتنبيهات أو حوادث محددة عند تشغيله باستخدام قاعدة تحليلات أو قاعدة أتمتة على التوالي.

يتضمن حل Microsoft Defender for IoT أدلة المبادئ الجاهزة التي توفر الوظائف التالية:

قبل استخدام أدلة المبادئ الجاهزة، تأكد من تنفيذ خطوات المتطلبات الأساسية كما هو موضح أدناه.

لمزيد من المعلومات، راجع:

المتطلبات الأساسية ل Playbook

قبل استخدام أدلة المبادئ الجاهزة، تأكد من تنفيذ المتطلبات الأساسية التالية، حسب الحاجة لكل دليل مبادئ:

تأكد من اتصالات دليل المبادئ الصالحة

يساعد هذا الإجراء على التأكد من أن كل خطوة اتصال في دليل المبادئ الخاص بك لها اتصالات صالحة، وهي مطلوبة لجميع أدلة مبادئ الحلول.

لضمان اتصالاتك الصالحة:

  1. في Microsoft Sentinel، افتح دليل المبادئ من أدلة المبادئ النشطة التلقائية>.

  2. حدد دليل المبادئ لفتحه كتطبيق Logic.

  3. مع فتح دليل المبادئ كتطبيق Logic، حدد Logic app designer. قم بتوسيع كل خطوة في تطبيق المنطق للتحقق من وجود اتصالات غير صالحة، والتي يشار إليها بواسطة مثلث تحذير برتقالي. على سبيل المثال:

    Screenshot of the default AD4IOT AutoAlertStatusSync playbook.

    هام

    تأكد من توسيع كل خطوة في تطبيق المنطق. قد تكون الاتصالات غير صحيحة مختبئة داخل خطوات أخرى.

  4. حدد حفظ.

إضافة دور مطلوب إلى اشتراكك

يصف هذا الإجراء كيفية إضافة دور مطلوب إلى اشتراك Azure حيث تم تثبيت دليل المبادئ، وهو مطلوب فقط لدلائل المبادئ التالية:

تختلف الأدوار المطلوبة لكل دليل مبادئ، ولكن الخطوات تظل كما هي.

لإضافة دور مطلوب إلى اشتراكك:

  1. في Microsoft Sentinel، افتح دليل المبادئ من أدلة المبادئ النشطة التلقائية>.

  2. حدد دليل المبادئ لفتحه كتطبيق Logic.

  3. مع فتح دليل المبادئ كتطبيق Logic، حدد Identity > System assigned، ثم في منطقة Permissions، حدد زر Azure role assignments.

  4. في صفحة تعيينات دور Azure، حدد إضافة تعيين دور.

  5. في جزء Add role assignment:

    1. حدد النطاق على أنه اشتراك.

    2. من القائمة المنسدلة، حدد الاشتراك حيث تم تثبيت دليل المبادئ الخاص بك.

    3. من القائمة المنسدلة Role، حدد أحد الأدوار التالية، اعتمادا على دليل المبادئ الذي تعمل معه:

      اسم دليل المبادئ الدور
      AD4IoT-AutoAlertStatusSync مسؤول الأمان
      AD4IoT-CVEAutoWorkflow القارئ
      AD4IoT-SendEmailtoIoTOwner القارئ
      AD4IoT-AutoTriageIncident القارئ

  6. عندما تنتهي، حدد حفظ.

الاتصال الحوادث وقواعد التحليلات ذات الصلة ودليل المبادئ

يصف هذا الإجراء كيفية تكوين قاعدة تحليلات Microsoft Sentinel لتشغيل أدلة المبادئ تلقائيا استنادا إلى مشغل حدث، وهو مطلوب لجميع أدلة مبادئ الحلول.

لإضافة قاعدة التحليلات الخاصة بك:

  1. في Microsoft Sentinel، انتقل إلى قواعد التنفيذ التلقائي>.

  2. لإنشاء قاعدة أتمتة جديدة، حدد إنشاء>قاعدة التنفيذ التلقائي.

  3. في حقل المشغل ، حدد أحد المشغلات التالية، استنادا إلى دليل المبادئ الذي تستخدمه:

  4. في منطقة الشروط، حدد إذا كان > اسم القاعدة التحليلية >Contains، ثم حدد قواعد التحليلات المحددة ذات الصلة بـDefender لـIoT في مؤسستك.

    على سبيل المثال:

    Screenshot of a Defender for IoT alert status sync automation rule.

    قد تستخدم قواعد التحليلات الجاهزة، أو ربما تكون قد قمت بتعديل المحتوى الجاهز، أو قمت بإنشاء المحتوى الخاص بك. لمزيد من المعلومات، راجع الكشف عن التهديدات خارج الصندوق باستخدام بيانات Defender لـIoT.

  5. في منطقة Actions، حدد Run playbook>name.

  6. حدد تشغيل.

تلميح

يمكنك أيضا تشغيل دليل المبادئ يدويا عند الطلب. يمكن أن يكون هذا مفيدا في الحالات التي تريد فيها المزيد من التحكم في عمليات التنسيق والاستجابة. لمزيد من المعلومات، راجع تشغيل دليل المبادئ عند الطلب.

إغلاق الحوادث تلقائيًا

اسم دليل المبادئ: AD4IoT-AutoCloseIncidents

في بعض الحالات، تنشئ أنشطة الصيانة تنبيهات في Microsoft Sentinel يمكن أن تشتت فريق SOC عن معالجة المشاكل الحقيقية. يغلق دليل المبادئ هذا تلقائيًا الحوادث التي تم إنشاؤها من مثل هذه التنبيهات في أثناء فترة صيانة محددة، مع تحليل حقول كيان جهاز IoT بشكل صريح.

لاستخدام دليل المبادئ هذا:

  • أدخل الفترة الزمنية ذات الصلة التي يتوقع أن تحدث فيها الصيانة، وعناوين IP لأي أصول ذات صلة، مثل المدرجة في ملف Excel.
  • إنشاء قائمة مراقبة تتضمن جميع عناوين IP للأصول التي يجب التعامل مع التنبيهات عليها تلقائيًا.

إرسال إعلامات عبر البريد الإلكتروني حسب خط الإنتاج

اسم دليل المبادئ: AD4IoT-MailByProductionLine

يرسل دليل المبادئ هذا البريد لإعلام أصحاب المصلحة المحددين بالتنبيهات والأحداث التي تحدث في بيئتك.

على سبيل المثال، عندما يكون لديك فرق أمان معينة معينة لخطوط منتجات معينة أو مواقع جغرافية معينة، فسترغب في إعلام هذا الفريق بالتنبيهات ذات الصلة بمسؤولياته.

لاستخدام دليل المبادئ هذا، قم بإنشاء قائمة مشاهدة تحدد بين أسماء أجهزة الاستشعار والعناوين البريدية لكل من أصحاب المصلحة الذين تريد تنبيههم.

إنشاء تذكرة ServiceNow جديدة

اسم دليل المبادئ: AD4IoT-NewAssetServiceNowTicket

عادة ما يكون الكيان المخول ببرمجة PLC هو محطة العمل الهندسية. لذلك، قد يقوم المهاجمون بإنشاء محطات عمل هندسية جديدة من أجل إنشاء برمجة PLC ضارة.

يفتح دليل المبادئ هذا تذكرة في ServiceNow في كل مرة يتم فيها الكشف عن محطة عمل هندسية جديدة، مع تحليل حقول كيان جهاز IoT بشكل صريح.

تحديث حالات التنبيه في Defender لـIoT

اسم دليل المبادئ: AD4IoT-AutoAlertStatusSync

يقوم دليل المبادئ هذا بتحديث حالات التنبيه في Defender for IoT كلما كان تنبيه ذي صلة في Microsoft Sentinel يحتوي على تحديث الحالة.

تتجاوز هذه المزامنة أي حالة محددة في Defender لـIoT، في مدخل Microsoft Azure أو وحدة تحكم المستشعر، بحيث تتطابق حالات التنبيه مع حالة الحدث ذي الصلة.

أتمتة مهام سير العمل للحوادث مع CVEs النشطة

اسم دليل المبادئ: AD4IoT-CVEAutoWorkflow

يضيف دليل المبادئ هذا CVEs نشطة في تعليقات الحادث للأجهزة المتأثرة. يتم تنفيذ فرز تلقائي إذا كان CVE مهما، ويتم إرسال إشعار بالبريد الإلكتروني إلى مالك الجهاز، كما هو محدد على مستوى الموقع في Defender for IoT.

لإضافة مالك جهاز، قم بتحرير مالك الموقع على صفحة المواقع وأجهزة الاستشعار في Defender for IoT. لمزيد من المعلومات، راجع خيارات إدارة الموقع من مدخل Microsoft Azure.

إرسال بريد إلكتروني إلى مالك جهاز IoT/OT

اسم دليل المبادئ: AD4IoT-SendEmailtoIoTOwner

يرسل دليل المبادئ هذا بريدا إلكترونيا يتضمن تفاصيل الحادث إلى مالك الجهاز كما هو محدد على مستوى الموقع في Defender for IoT، بحيث يمكنهم البدء في التحقيق، حتى الرد مباشرة من البريد الإلكتروني التلقائي. تتضمن خيارات الاستجابة ما يلي:

  • نعم هذا متوقع. حدد هذا الخيار لإغلاق الحدث.

  • لا هذا غير متوقع. حدد هذا الخيار للحفاظ على الحدث نشطا، وزيادة الخطورة، وإضافة علامة تأكيد إلى الحدث.

يتم تحديث الحدث تلقائيا استنادا إلى الاستجابة التي حددها مالك الجهاز.

لإضافة مالك جهاز، قم بتحرير مالك الموقع على صفحة المواقع وأجهزة الاستشعار في Defender for IoT. لمزيد من المعلومات، راجع خيارات إدارة الموقع من مدخل Microsoft Azure.

فرز الحوادث التي تتضمن أجهزة مهمة للغاية

اسم دليل المبادئ: AD4IoT-AutoTriageIncident

يقوم دليل المبادئ هذا بتحديث خطورة الحادث وفقا لمستوى أهمية الأجهزة المعنية.

الخطوات التالية

تصور البيانات

إنشاء قواعد تحليلات مخصصة

التحقيق في الحوادث

التحقيق في الكيانات

استخدام أدلة المبادئ مع قواعد التشغيل التلقائي

لمزيد من المعلومات، راجع مدونتنا: الدفاع عن البنية الأساسية الحرجة باستخدام Microsoft Sentinel: حل مراقبة المخاطر في تكنولوجيا المعلومات/OT