Pemberitahuan Pertahanan Microsoft untuk IoT
Pemberitahuan Pertahanan Microsoft untuk IoT meningkatkan keamanan dan operasi jaringan Anda dengan detail real time tentang peristiwa yang dicatat di jaringan Anda. Pemberitahuan dipicu ketika sensor jaringan OT mendeteksi perubahan atau aktivitas mencurigakan dalam lalu lintas jaringan yang membutuhkan perhatian Anda.
Contohnya:
Gunakan detail yang ditampilkan di halaman Pemberitahuan , atau pada halaman detail pemberitahuan, untuk menyelidiki dan mengambil tindakan yang memulihkan risiko apa pun ke jaringan Anda, baik dari perangkat terkait atau proses jaringan yang memicu pemberitahuan.
Tip
Gunakan langkah-langkah remediasi pemberitahuan untuk membantu tim SOC Anda memahami kemungkinan masalah dan resolusi. Kami menyarankan agar Anda meninjau langkah-langkah remediasi yang direkomendasikan sebelum memperbarui status pemberitahuan atau mengambil tindakan pada perangkat atau jaringan.
Opsi manajemen pemberitahuan
Pemberitahuan Defender for IoT tersedia di portal Azure, konsol sensor jaringan OT, dan konsol manajemen lokal. Dengan keamanan Enterprise IoT, pemberitahuan juga tersedia untuk perangkat Enterprise IoT yang terdeteksi oleh Defender for Endpoint, di Pertahanan Microsoft 365.
Meskipun Anda dapat melihat detail pemberitahuan, menyelidiki konteks pemberitahuan, dan melakukan triase serta mengelola status pemberitahuan dari salah satu lokasi ini, setiap lokasi juga menawarkan tindakan pemberitahuan tambahan. Tabel berikut ini menjelaskan pemberitahuan yang didukung untuk setiap lokasi dan tindakan tambahan yang hanya tersedia dari lokasi tersebut:
| Location | Deskripsi | Tindakan pemberitahuan tambahan |
|---|---|---|
| Portal Azure | Pemberitahuan dari semua sensor OT yang terhubung ke cloud | - Lihat taktik dan teknik MITRE ATT&CK terkait - Gunakan buku kerja siap pakai untuk visibilitas ke dalam pemberitahuan prioritas tinggi - Lihat pemberitahuan dari Microsoft Azure Sentinel dan jalankan investigasi yang lebih mendalam dengan playbook dan buku kerja Microsoft Azure Sentinel. |
| Konsol sensor jaringan OT | Pemberitahuan yang dihasilkan oleh sensor OT tersebut | - Lihat sumber dan tujuan pemberitahuan di peta Perangkat - Melihat peristiwa terkait pada garis waktu Peristiwa - Meneruskan pemberitahuan langsung ke vendor mitra - Membuat komentar pemberitahuan - Membuat aturan pemberitahuan kustom - Pemberitahuan tidak dipelajari |
| Konsol manajemen lokal | Pemberitahuan yang dihasilkan oleh sensor OT yang terhubung | - Meneruskan pemberitahuan langsung ke vendor mitra - Membuat aturan pengecualian pemberitahuan |
| Microsoft 365 Defender | Pemberitahuan yang dihasilkan untuk perangkat Enterprise IoT terdeteksi oleh Microsoft Defender untuk Titik Akhir | - Mengelola data pemberitahuan bersama dengan data Pertahanan Microsoft 365 lainnya, termasuk perburuan tingkat lanjut |
Tip
Setiap pemberitahuan yang dihasilkan dari sensor yang berbeda di zona yang sama dalam jangka waktu 10 menit, dengan jenis, status, protokol pemberitahuan, dan perangkat terkait yang sama, tercantum sebagai satu pemberitahuan terpadu.
- Jangka waktu 10 menit didasarkan pada waktu deteksi pertama pemberitahuan.
- Pemberitahuan terpadu tunggal mencantumkan semua sensor yang mendeteksi pemberitahuan.
- Pemberitahuan digabungkan berdasarkan protokol pemberitahuan , dan bukan protokol perangkat.
Untuk informasi selengkapnya, lihat:
- Retensi data pemberitahuan
- Mempercepat alur kerja pemberitahuan OT
- Status pemberitahuan dan opsi triaging
- Merencanakan situs dan zona OT
Opsi pemberitahuan juga berbeda tergantung pada lokasi dan peran pengguna Anda. Untuk informasi selengkapnya, lihat Peran dan izin pengguna Azure serta Pengguna dan peran lokal.
Pemberitahuan terfokus di lingkungan OT/IT
Organisasi tempat sensor disebarkan antara jaringan OT dan IT berurusan dengan banyak pemberitahuan, yang terkait dengan lalu lintas OT dan IT. Jumlah pemberitahuan, beberapa di antaranya tidak relevan, dapat menyebabkan kelelahan pemberitahuan dan memengaruhi performa keseluruhan. Untuk mengatasi tantangan ini, kebijakan deteksi Defender for IoT mengarahkan mesin pemberitahuannya yang berbeda untuk fokus pada pemberitahuan dengan dampak bisnis dan relevansi dengan jaringan OT, dan mengurangi pemberitahuan terkait IT bernilai rendah. Misalnya, pemberitahuan konektivitas internet yang tidak sah sangat relevan dalam jaringan OT, tetapi memiliki nilai yang relatif rendah dalam jaringan IT.
Untuk memfokuskan pemberitahuan yang dipicu di lingkungan ini, semua mesin pemberitahuan, kecuali untuk mesin Malware , picu pemberitahuan hanya jika mendeteksi subnet atau protokol OT terkait. Namun, untuk mempertahankan pemicu pemberitahuan yang menunjukkan skenario kritis:
- Mesin Malware memicu pemberitahuan malware terlepas dari apakah pemberitahuan terkait dengan perangkat OT atau IT.
- Mesin lain termasuk pengecualian untuk skenario kritis. Misalnya, mesin Operasional memicu pemberitahuan yang terkait dengan lalu lintas sensor, terlepas dari apakah pemberitahuan terkait dengan lalu lintas OT atau IT.
Mengelola pemberitahuan OT di lingkungan hibrid
Pengguna yang bekerja di lingkungan hibrid mungkin mengelola pemberitahuan OT di Defender untuk IoT pada portal Azure, sensor OT, dan konsol manajemen lokal.
Catatan
Meskipun konsol sensor menampilkan bidang Deteksi terakhir pemberitahuan secara real time, Defender for IoT di portal Azure mungkin memerlukan waktu hingga satu jam untuk menampilkan waktu yang diperbarui. Ini menjelaskan skenario di mana waktu deteksi terakhir di konsol sensor tidak sama dengan waktu deteksi terakhir dalam portal Azure.
Status pemberitahuan disinkronkan sepenuhnya antara portal Azure dan sensor OT, dan antara sensor dan konsol manajemen lokal. Ini berarti bahwa terlepas dari tempat Anda mengelola pemberitahuan di Defender untuk IoT, pemberitahuan juga diperbarui di lokasi lain.
Mengatur status pemberitahuan ke Ditutup atau Dibisukan pada sensor atau konsol manajemen lokal memperbarui status pemberitahuan menjadi Ditutup pada portal Azure. Pada konsol manajemen lokal, status Pemberitahuan tertutup disebut Diakui.
Tip
Jika Anda bekerja dengan Microsoft Azure Sentinel, kami sarankan Anda mengonfigurasi integrasi untuk juga menyinkronkan status pemberitahuan dengan Microsoft Azure Sentinel, lalu mengelola status pemberitahuan bersama dengan insiden Microsoft Sentinel terkait.
Untuk informasi selengkapnya, lihat Tutorial: Menyelidiki dan mendeteksi ancaman untuk perangkat IoT.
Pemberitahuan dan Microsoft Defender untuk Titik Akhir IoT Perusahaan
Jika Anda menggunakan keamanan IoT Enterprise di Pertahanan Microsoft 365, pemberitahuan untuk perangkat Enterprise IoT yang terdeteksi oleh Microsoft Defender untuk Titik Akhir hanya tersedia di Pertahanan Microsoft 365. Banyak deteksi berbasis jaringan dari Microsoft Defender untuk Titik Akhir berkaitan dengan perangkat Enterprise IoT, seperti pemberitahuan yang dipicu oleh pemindaian yang melibatkan titik akhir terkelola.
Untuk informasi selengkapnya, lihat Mengamankan perangkat IoT di perusahaan dan antrean Pemberitahuan di Pertahanan Microsoft 365.
Mempercepat alur kerja pemberitahuan OT
Pemberitahuan baru secara otomatis ditutup jika tidak ada lalu lintas identik yang terdeteksi 90 hari setelah deteksi awal. Jika lalu lintas identik terdeteksi dalam 90 hari pertama, jumlah 90 hari akan diatur ulang.
Selain perilaku default, Anda mungkin ingin membantu tim manajemen SOC dan OT Anda melakukan triase dan memulihkan pemberitahuan lebih cepat. Masuk ke sensor OT atau konsol manajemen lokal sebagai pengguna Admin untuk menggunakan opsi berikut:
Membuat aturan pemberitahuan kustom. Khusus sensor OT.
Tambahkan aturan pemberitahuan kustom untuk memicu pemberitahuan untuk aktivitas tertentu di jaringan Anda yang tidak tercakup oleh fungsionalitas di luar kotak.
Misalnya, untuk lingkungan yang menjalankan MODBUS, Anda dapat menambahkan aturan untuk mendeteksi perintah tertulis apa pun ke register memori pada alamat IP dan tujuan ethernet tertentu.
Untuk informasi selengkapnya, lihat Membuat aturan pemberitahuan kustom pada sensor OT.
Buat komentar pemberitahuan. Khusus sensor OT.
Buat serangkaian komentar pemberitahuan yang dapat ditambahkan pengguna sensor OT lainnya ke pemberitahuan individual, dengan detail seperti langkah-langkah mitigasi kustom, komunikasi ke anggota tim lain, atau wawasan atau peringatan lainnya tentang peristiwa tersebut.
Anggota tim dapat menggunakan kembali komentar kustom ini saat mereka melakukan triase dan mengelola status pemberitahuan. Komentar pemberitahuan ditampilkan di area komentar di halaman detail pemberitahuan. Contohnya:
Untuk informasi selengkapnya, lihat Membuat komentar pemberitahuan pada sensor OT.
Membuat aturan pengecualian pemberitahuan: Konsol manajemen lokal saja.
Jika Anda bekerja dengan konsol manajemen lokal, tentukan aturan pengecualian pemberitahuan untuk mengabaikan peristiwa di beberapa sensor yang memenuhi kriteria tertentu. Misalnya, Anda dapat membuat aturan pengecualian pemberitahuan untuk mengabaikan semua peristiwa yang akan memicu pemberitahuan yang tidak relevan selama jendela pemeliharaan tertentu.
Pemberitahuan yang diabaikan oleh aturan pengecualian tidak ditampilkan pada portal Azure, sensor, atau konsol manajemen lokal, atau di log peristiwa.
Untuk informasi selengkapnya, lihat Membuat aturan pengecualian pemberitahuan di konsol manajemen lokal.
Teruskan data pemberitahuan ke sistem mitra ke SIEM mitra, server syslog, alamat email yang ditentukan, dan banyak lagi.
Didukung dari sensor OT dan konsol manajemen lokal. Untuk informasi selengkapnya, lihat Meneruskan informasi peringatan.
Status pemberitahuan dan opsi triaging
Gunakan status pemberitahuan dan opsi triaging berikut untuk mengelola pemberitahuan di seluruh Defender untuk IoT.
Saat melakukan triaging pemberitahuan, pertimbangkan bahwa beberapa pemberitahuan mungkin mencerminkan perubahan jaringan yang valid, seperti perangkat resmi yang mencoba mengakses sumber daya baru di perangkat lain.
Meskipun opsi triaging dari sensor OT dan konsol manajemen lokal hanya tersedia untuk pemberitahuan OT, opsi yang tersedia di portal Azure tersedia untuk pemberitahuan OT dan Enterprise IoT.
Gunakan tabel berikut untuk mempelajari selengkapnya tentang setiap status pemberitahuan dan opsi triase.
| Tindakan status/triase | Tersedia pada | Deskripsi |
|---|---|---|
| Baru | - portal Azure - Sensor jaringan OT - Konsol manajemen lokal |
Pemberitahuan baru adalah pemberitahuan yang belum di-triase atau diselidiki oleh tim. Lalu lintas baru yang terdeteksi untuk perangkat yang sama tidak menghasilkan pemberitahuan baru, tetapi ditambahkan ke pemberitahuan yang ada. Pada konsol manajemen lokal, Pemberitahuan baru disebut Tidak Diakui. Catatan: Anda mungkin melihat beberapa pemberitahuan Baruatau Tidak Diakui dengan nama yang sama. Dalam kasus seperti itu, setiap pemberitahuan terpisah dipicu oleh lalu lintas terpisah, pada set perangkat yang berbeda. |
| Aktif | - hanya portal Azure | Atur pemberitahuan ke Aktif untuk menunjukkan bahwa penyelidikan sedang berlangsung, tetapi pemberitahuan belum dapat ditutup atau di-triase. Status ini tidak berpengaruh di tempat lain di Defender for IoT. |
| Tutup | - portal Azure - Sensor jaringan OT - Konsol manajemen lokal |
Tutup pemberitahuan untuk menunjukkan bahwa pemberitahuan tersebut sepenuhnya diselidiki, dan Anda ingin diberi tahu lagi saat berikutnya lalu lintas yang sama terdeteksi. Menutup pemberitahuan akan menambahkannya ke garis waktu peristiwa sensor. Pada konsol manajemen lokal, Pemberitahuan baru disebut Diakui. |
| Learn | - portal Azure - Sensor jaringan OT - Konsol manajemen lokal Membatalkan penyelesaian pemberitahuan hanya tersedia pada sensor OT. |
Pelajari pemberitahuan saat Anda ingin menutupnya dan menambahkannya sebagai lalu lintas yang diizinkan, sehingga Anda tidak diberi tahu lagi lain kali lalu lintas yang sama terdeteksi. Misalnya, ketika sensor mendeteksi perubahan versi firmware mengikuti prosedur pemeliharaan standar, atau ketika perangkat baru yang diharapkan ditambahkan ke jaringan. Pembelajaran pemberitahuan menutup pemberitahuan dan menambahkan item ke garis waktu peristiwa sensor. Lalu lintas yang terdeteksi disertakan dalam laporan penambangan data, tetapi tidak saat menghitung laporan sensor OT lainnya. Pembelajaran pemberitahuan hanya tersedia untuk pemberitahuan yang dipilih, sebagian besar yang dipicu oleh Pemberitahuan mesin Kebijakan dan Anomali. |
| Matikan Suara | - Sensor jaringan OT - Konsol manajemen lokal Menyalakan suara pemberitahuan hanya tersedia pada sensor OT. |
Matikan suara pemberitahuan saat Anda ingin menutupnya dan tidak melihat lagi untuk lalu lintas yang sama, tetapi tanpa menambahkan lalu lintas yang diizinkan pemberitahuan. Misalnya, ketika mesin Operasional memicu pemberitahuan yang menunjukkan bahwa Mode PLC diubah pada perangkat. Mode baru mungkin menunjukkan bahwa PLC tidak aman, tetapi setelah diselidiki, mode baru dapat diterima. Membisukan pemberitahuan menutupnya, tetapi tidak menambahkan item ke garis waktu peristiwa sensor. Lalu lintas yang terdeteksi disertakan dalam laporan penambangan data, tetapi tidak saat menghitung data untuk laporan sensor lainnya. Membisukan pemberitahuan hanya tersedia untuk pemberitahuan yang dipilih, sebagian besar yang dipicu oleh mesin Anomali, Pelanggaran Protokol, atau Operasional . |
Tip
Jika Anda tahu sebelumnya peristiwa mana yang tidak relevan untuk Anda, seperti selama jendela pemeliharaan, atau jika Anda tidak ingin melacak peristiwa di garis waktu peristiwa, buat aturan pengecualian pemberitahuan di konsol manajemen lokal sebagai gantinya.
Untuk informasi selengkapnya, lihat Membuat aturan pengecualian pemberitahuan di konsol manajemen lokal.
Pemberitahuan Triase OT selama mode pembelajaran
mode Pembelajaran mengacu pada periode awal setelah sensor OT disebarkan, ketika sensor OT Anda mempelajari aktivitas garis besar jaringan Anda, termasuk perangkat dan protokol di jaringan Anda, dan transfer file reguler yang terjadi di antara perangkat tertentu.
Gunakan mode pembelajaran untuk melakukan triase awal pada pemberitahuan di jaringan Anda, mempelajari mereka yang ingin Anda tandai sebagai aktivitas yang diotorisasi dan diharapkan. Lalu lintas yang dipelajari tidak menghasilkan pemberitahuan baru lain kali lalu lintas yang sama terdeteksi.
Untuk informasi selengkapnya, lihat Membuat garis besar pemberitahuan OT yang dipelajari.
Langkah berikutnya
Tinjau jenis pemberitahuan dan pesan untuk membantu Anda memahami dan merencanakan tindakan remediasi dan integrasi playbook. Untuk informasi selengkapnya, lihat Jenis dan deskripsi pemberitahuan pemantauan OT.