Meneruskan informasi pemberitahuan OT lokal
Pemberitahuan Pertahanan Microsoft untuk IoT meningkatkan keamanan dan operasi jaringan Anda dengan detail real time tentang peristiwa yang dicatat di jaringan Anda. Pemberitahuan OT dipicu ketika sensor jaringan OT mendeteksi perubahan atau aktivitas mencurigakan dalam lalu lintas jaringan yang membutuhkan perhatian Anda.
Artikel ini menjelaskan cara mengonfigurasi sensor OT atau konsol manajemen lokal Anda untuk meneruskan pemberitahuan ke layanan mitra, server syslog, alamat email, dan lainnya. Informasi pemberitahuan yang diteruskan mencakup detail seperti:
- Tanggal dan waktu pemberitahuan
- Mesin yang mendeteksi kejadian
- Judul pemberitahuan dan pesan deskriptif
- Tingkat keparahan peringatan
- Nama dan alamat IP sumber dan tujuan
- Lalu lintas yang mencurigakan terdeteksi
- Sensor terputus
- Kegagalan cadangan jarak jauh
Catatan
Aturan pemberitahuan penerusan hanya berjalan pada pemberitahuan yang dipicu setelah aturan penerusan dibuat. Pemberitahuan yang sudah ada dalam sistem dari sebelum aturan penerusan dibuat tidak terpengaruh oleh aturan.
Prasyarat
Bergantung pada tempat Anda ingin membuat aturan pemberitahuan penerusan, Anda harus menginstal sensor jaringan OT atau konsol manajemen lokal, dengan akses sebagai pengguna Admin.
Untuk informasi selengkapnya, lihat Menginstal perangkat lunak pemantauan tanpa agen OT dan Pengguna dan peran lokal untuk pemantauan OT dengan Defender for IoT.
Anda juga perlu menentukan pengaturan SMTP pada sensor OT atau konsol manajemen lokal.
Untuk informasi selengkapnya, lihat Mengonfigurasi pengaturan server email SMTP pada sensor OT dan Mengonfigurasi pengaturan server email SMTP di konsol manajemen lokal.
Membuat aturan penerusan pada sensor OT
Masuk ke sensor OT dan pilih Penerusan di menu> sebelah kiri + Buat aturan baru.
Di panel Tambahkan aturan penerusan, masukkan nama aturan yang bermakna, lalu tentukan kondisi dan tindakan aturan sebagai berikut:
Nama Deskripsi Tingkat pemberitahuan minimal Pilih tingkat keparahan pemberitahuan minimum yang ingin Anda teruskan.
Misalnya, jika Anda memilih Pemberitahuan minor, minor, dan pemberitahuan apa pun di atas tingkat keparahan ini akan diteruskan.Protokol apa pun yang terdeteksi Alihkan untuk meneruskan pemberitahuan dari semua lalu lintas protokol atau matikan dan pilih protokol tertentu yang ingin Anda sertakan. Lalu lintas yang terdeteksi oleh mesin apa pun Aktifkan untuk meneruskan pemberitahuan dari semua mesin analitik, atau matikan dan pilih mesin tertentu yang ingin Anda sertakan. Tindakan Pilih jenis server yang ingin Anda teruskan pemberitahuannya, lalu tentukan informasi lain yang diperlukan untuk jenis server tersebut.
Untuk menambahkan beberapa server ke aturan yang sama, pilih + Tambahkan server dan tambahkan detail selengkapnya.
Untuk informasi selengkapnya, lihat Mengonfigurasi tindakan aturan penerusan pemberitahuan.Setelah selesai mengonfigurasi aturan, pilih Simpan. Aturan tercantum di halaman Penerusan .
Uji aturan yang telah Anda buat:
- Pilih menu opsi (...) untuk aturan> Anda Kirim Pesan Uji.
- Buka layanan target untuk memverifikasi bahwa informasi yang dikirim oleh sensor diterima.
Mengedit atau menghapus aturan penerusan pada sensor OT
Untuk mengedit atau menghapus aturan yang sudah ada:
Masuk ke sensor OT Anda dan pilih Penerusan di menu sebelah kiri.
Pilih menu opsi (...) untuk aturan Anda, lalu lakukan salah satu hal berikut ini:
Pilih Edit dan perbarui bidang sesuai kebutuhan. Jika sudah selesai, pilih Simpan.
Pilih Hapus>Ya untuk mengonfirmasi penghapusan.
Membuat aturan penerusan di konsol manajemen lokal
Untuk membuat aturan penerusan di konsol manajemen:
Masuk ke konsol manajemen lokal dan pilih Penerusan di menu sebelah kiri.
Pilih tombol + di kanan atas untuk membuat aturan baru.
Di jendela Buat Aturan Penerusan, masukkan nama yang bermakna untuk aturan, lalu tentukan kondisi dan tindakan aturan sebagai berikut:
Nama Deskripsi Tingkat pemberitahuan minimal Di kanan atas dialog, gunakan daftar dropdown untuk memilih tingkat keparahan pemberitahuan minimum yang ingin Anda teruskan.
Misalnya, jika Anda memilih Pemberitahuan minor, minor, dan pemberitahuan apa pun di atas tingkat keparahan ini akan diteruskan.Protokol Pilih Semua untuk meneruskan pemberitahuan dari semua lalu lintas protokol, atau pilih Spesifik untuk menambahkan protokol tertentu saja. Mesin Pilih Semua untuk meneruskan pemberitahuan yang dipicu oleh semua mesin analitik sensor, atau pilih Spesifik untuk menambahkan mesin tertentu saja. Pemberitahuan Sistem Pilih opsi Pemberitahuan Sistem Laporan untuk memberi tahu tentang sensor yang terputus atau kegagalan pencadangan jarak jauh. Pemberitahuan Pemberitahuan Pilih opsi Pemberitahuan Pemberitahuan Laporan untuk memberi tahu tentang tanggal dan waktu, judul, tingkat keparahan, nama sumber dan tujuan dan alamat IP, lalu lintas mencurigakan, dan mesin yang mendeteksi peristiwa. Tindakan Pilih Tambahkan untuk menambahkan tindakan untuk menerapkan dan memasukkan nilai parameter apa pun yang diperlukan untuk tindakan yang dipilih. Ulangi sesuai kebutuhan untuk menambahkan beberapa tindakan.
Untuk informasi selengkapnya, lihat Mengonfigurasi tindakan aturan penerusan pemberitahuan.Setelah selesai mengonfigurasi aturan, pilih SIMPAN. Aturan tercantum di halaman Penerusan .
Uji aturan yang telah Anda buat:
- Pada baris untuk aturan Anda, pilih
tombol uji aturan penerusan ini. Pemberitahuan keberhasilan ditampilkan jika pesan berhasil dikirim. - Buka sistem mitra Anda untuk memverifikasi bahwa informasi yang dikirim oleh sensor diterima.
- Pada baris untuk aturan Anda, pilih
Mengedit atau menghapus aturan penerusan di konsol manajemen lokal
Untuk mengedit atau menghapus aturan yang sudah ada:
Masuk ke konsol manajemen lokal Anda dan pilih Penerusan di menu sebelah kiri.
Temukan baris untuk aturan Anda lalu pilih tombol
Edit atau
Hapus.Jika Anda mengedit aturan, perbarui bidang sesuai kebutuhan dan pilih SIMPAN.
Jika Anda menghapus aturan, pilih KONFIRMASI untuk mengonfirmasi penghapusan.
Mengonfigurasi tindakan aturan penerusan pemberitahuan
Bagian ini menjelaskan cara mengonfigurasi pengaturan untuk tindakan aturan penerusan yang didukung, baik pada sensor OT atau konsol manajemen lokal.
Tindakan alamat email
Konfigurasikan tindakan Email untuk meneruskan data pemberitahuan ke alamat email yang dikonfigurasi.
Di area Tindakan, masukkan detail berikut ini:
| Nama | Deskripsi |
|---|---|
| Server | Pilih Email. |
| Masukkan alamat email yang ingin Anda teruskan pemberitahuannya. Setiap aturan mendukung satu alamat email. | |
| Zona waktu | Pilih zona waktu yang ingin Anda gunakan untuk deteksi pemberitahuan di sistem target. |
Tindakan server Syslog
Konfigurasikan tindakan server Syslog untuk meneruskan data pemberitahuan ke jenis server Syslog yang dipilih.
Di area Tindakan, masukkan detail berikut ini:
| Nama | Deskripsi |
|---|---|
| Server | Pilih salah satu jenis format syslog berikut: - Server SYSLOG (Format CEF) - Server SYSLOG (Format LEEF) - Server SYSLOG (Objek) - Server SYSLOG (Pesan Teks) |
| Port Host / | Masukkan nama host dan port server syslog |
| Zona waktu | Pilih zona waktu yang ingin Anda gunakan untuk deteksi pemberitahuan di sistem target. |
| Protokol | Didukung hanya untuk pesan teks. Pilih TCP atau UDP. |
| Aktifkan enkripsi | Didukung hanya untuk format CEF. Aktifkan untuk mengonfigurasi file sertifikat enkripsi TLS, file kunci, dan frasa sandi. |
Bagian berikut menjelaskan sintaks output syslog untuk setiap format.
Bidang output pesan teks Syslog
| Nama | Deskripsi |
|---|---|
| Prioritas | Pengguna. Peringatan |
| Pesan | Nama platform CyberX: Nama sensor. Pemberitahuan Pertahanan Microsoft untuk IoT: Judul pemberitahuan. Jenis: Jenis peringatan. Dapat menjadi Pelanggaran protokol, Pelanggaran Kebijakan, Malware, Anomali, atau Operasional. Tingkat keparahan: Tingkat keparahan peringatan. Dapat menjadi Peringatan, Minor, Mayor, atau Kritis. Sumber: Nama perangkat sumber. IP Sumber: Alamat IP perangkat sumber. Protokol (Opsional): Protokol sumber yang terdeteksi. Alamat (Opsional): Alamat protokol sumber. Tujuan: Nama perangkat tujuan. IP Tujuan: Alamat IP perangkat tujuan. Protokol (Opsional): Protokol tujuan yang terdeteksi. Alamat (Opsional): Alamat protokol tujuan. Pesan: Pesan peringatan. Grup pemberitahuan: Grup pemberitahuan yang terkait dengan pemberitahuan. UUID (Opsional): UUID pemberitahuan. |
Bidang output objek Syslog
| Nama | Deskripsi |
|---|---|
| Prioritas | User.Alert |
| Tanggal dan Waktu | Tanggal dan waktu komputer server syslog menerima informasi. |
| Nama host | IP Sensor |
| Pesan | Nama sensor: Nama appliance. Waktu peringatan: Waktu peringatan terdeteksi: Dapat bervariasi dari waktu komputer server syslog, dan bergantung pada konfigurasi zona waktu aturan penerusan. Judul pemberitahuan: Judul pemberitahuan. Pesan pemberitahuan: Pesan pemberitahuan. Tingkat keparahan peringatan: Tingkat keparahan peringatan: teguran, Minor, Mayor. atau Kritis. Jenis pemberitahuan: Pelanggaran Protokol, Pelanggaran Kebijakan, Malware, Anomali, atau Operasional. protokol: Protokol peringatan. Source_MAC:Alamat IP, nama, vendor, atau OS perangkat sumber. Destination_MAC: Alamat IP, nama, vendor, atau OS tujuan. Jika data hilang, nilainya adalah N/A. alert_group: Grup pemberitahuan yang terkait dengan pemberitahuan tersebut. |
Bidang output Syslog CEF
| Nama | Deskripsi |
|---|---|
| Prioritas | User.Alert |
| Tanggal dan waktu | Tanggal dan waktu sensor mengirim informasi, dalam format UTC |
| Nama host | Nama host sensor |
| Pesan | CEF:0 Pertahanan Microsoft untuk IoT/CyberX Nama sensor Versi sensor Pemberitahuan Pertahanan Microsoft untuk IoT Judul pemberitahuan Indikasi bilangan bulat tingkat keparahan. 1=Peringatan, 4=Minor, 8=Mayor, atau 10=Kritis. msg= Pesan pemberitahuan. protocol= Protokol pemberitahuan. tingkat keparahan= Peringatan, Minor, Mayor, atau Kritis. type= Pelanggaran Protokol, Pelanggaran Kebijakan, Malware, Anomali, atau Operasional. UUID= UUID pemberitahuan (Opsional) start= Waktu pemberitahuan terdeteksi. Mungkin berbeda dari waktu komputer server syslog, dan tergantung pada konfigurasi zona waktu aturan penerusan. src_ip= Alamat IP perangkat sumber. (Opsional) src_mac= Alamat MAC perangkat sumber. (Opsional) dst_ip= Alamat IP perangkat tujuan. (Opsional) dst_mac= Alamat MAC perangkat tujuan. (Opsional) cat= Grup pemberitahuan yang terkait dengan pemberitahuan. |
Bidang output Syslog LEEF
| Nama | Deskripsi |
|---|---|
| Prioritas | User.Alert |
| Tanggal dan waktu | Tanggal dan waktu sensor mengirim informasi, dalam format UTC |
| Nama host | IP Sensor |
| Pesan | Nama sensor: Nama Pertahanan Microsoft untuk alat IoT. LEEF:1.0 Pertahanan Microsoft untuk IoT Sensor Versi sensor Pemberitahuan Pertahanan Microsoft untuk IoT Judul: Judul peringatan. msg: Pesan peringatan. protokol: Protokol pemberitahuan. tingkat keparahan:Teguran, Minor, Mayor, atau Kritis. jenis: Jenis peringatan: Pelanggaran Protokol, Pelanggaran Kebijakan, Malware, Anomali, atau Operasional. mulai: Waktu pemberitahuan. Ini mungkin berbeda dari waktu komputer server syslog, dan tergantung pada konfigurasi zona waktu. src_ip: Alamat IP perangkat sumber. dst_ip: Alamat IP perangkat tujuan. cat: Grup pemberitahuan yang terkait dengan pemberitahuan. |
Tindakan server webhook
Hanya didukung dari konsol manajemen lokal
Konfigurasikan tindakan Webhook untuk mengonfigurasi integrasi yang berlangganan peristiwa pemberitahuan Defender for IoT. Misalnya, kirim data pemberitahuan ke server webhook untuk memperbarui sistem SIEM eksternal, sistem SOAR, atau sistem manajemen insiden.
Saat Anda telah mengonfigurasi pemberitahuan untuk diteruskan ke server webhook dan peristiwa pemberitahuan dipicu, konsol manajemen lokal mengirimkan payload HTTP POST ke URL webhook yang dikonfigurasi.
Di area Tindakan, masukkan detail berikut ini:
| Nama | Deskripsi |
|---|---|
| Server | Pilih Webhook. |
| URL | Masukkan URL server webhook. |
| Kunci / Nilai | Masukkan pasangan kunci/nilai untuk menyesuaikan header HTTP sesuai kebutuhan. Karakter yang didukung meliputi: - Kunci hanya dapat berisi huruf, angka, tanda hubung, dan garis bawah. - Nilai hanya dapat berisi satu spasi di depan dan/atau akhir. |
Webhook diperluas
Hanya didukung dari konsol manajemen lokal
Konfigurasikan tindakan webhook yang diperluas untuk mengirim data tambahan berikut ke server webhook Anda:
- idSensor
- namaSensor
- idZona
- namaZona
- idSitus
- siteName
- sumberDeviceAddress
- tujuanPerangkatAlamat
- remediasiPerbaikan
- Ditangani
- Informasi tambahan
Di area Tindakan, masukkan detail berikut ini:
| Nama | Deskripsi |
|---|---|
| Server | Pilih Webhook diperluas. |
| URL | Masukkan URL data titik akhir. |
| Kunci / Nilai | Masukkan pasangan kunci/nilai untuk menyesuaikan header HTTP sesuai kebutuhan. Karakter yang didukung meliputi: - Kunci hanya dapat berisi huruf, angka, tanda hubung, dan garis bawah. - Nilai hanya dapat berisi satu spasi di depan dan/atau akhir. |
Tindakan NetWitness
Konfigurasikan tindakan NetWitness untuk mengirim informasi pemberitahuan ke server NetWitness.
Di area Tindakan, masukkan detail berikut ini:
| Nama | Deskripsi |
|---|---|
| Server | Pilih NetWitness. |
| Nama host / Port | Masukkan nama host dan port server NetWitness. |
| Zona waktu | Masukkan zona waktu yang ingin Anda gunakan di stempel waktu untuk deteksi pemberitahuan di SIEM. |
Mengonfigurasi aturan penerusan untuk integrasi mitra
Anda mungkin mengintegrasikan Defender for IoT dengan layanan mitra untuk mengirim pemberitahuan atau informasi inventaritas perangkat ke sistem manajemen keamanan atau perangkat lain, atau untuk berkomunikasi dengan firewall sisi mitra.
Integrasi mitra dapat membantu menjelajah solusi keamanan yang sebelumnya di-siloed, meningkatkan visibilitas perangkat, dan mempercepat respons di seluruh sistem untuk mengurangi risiko dengan lebih cepat.
Dalam kasus seperti itu, gunakan Tindakan yang didukung untuk memasukkan kredensial dan informasi lain yang diperlukan untuk berkomunikasi dengan layanan mitra terintegrasi.
Untuk informasi selengkapnya, lihat:
- Mengintegrasikan Fortinet dengan Pertahanan Microsoft untuk IoT
- Mengintegrasikan Qradar dengan Pertahanan Microsoft untuk IoT
Mengonfigurasi grup pemberitahuan di layanan mitra
Saat Anda mengonfigurasi aturan penerusan untuk mengirim data pemberitahuan ke server Syslog, QRadar, dan ArcSight, grup pemberitahuan diterapkan secara otomatis dan tersedia di server mitra tersebut.
Grup pemberitahuan membantu tim SOC menggunakan solusi mitra tersebut untuk mengelola pemberitahuan berdasarkan kebijakan keamanan perusahaan dan prioritas bisnis. Misalnya, pemberitahuan tentang deteksi baru diatur ke dalam grup penemuan , yang mencakup pemberitahuan apa pun tentang perangkat baru, VLAN, akun pengguna, alamat MAC, dan banyak lagi.
Grup pemberitahuan muncul di layanan mitra dengan awalan berikut:
| Awalan | Layanan mitra |
|---|---|
cat |
QRadar, ArcSight, Syslog CEF, Syslog LEEF |
Alert Group |
Pesan teks Syslog |
alert_group |
Objek Syslog |
Untuk menggunakan grup pemberitahuan dalam integrasi Anda, pastikan untuk mengonfigurasi layanan mitra Anda untuk menampilkan nama grup pemberitahuan.
Secara default, pemberitahuan dikelompokkan sebagai berikut:
- Perilaku komunikasi abnormal
- Pemberitahuan kustom
- Akses jarak jauh
- Perilaku komunikasi HTTP abnormal
- Penemuan
- Perintah memulai ulang dan menghentikan
- Autentikasi
- Perubahan firmware
- Pemindaian
- Perilaku komunikasi yang tidak sah
- Perintah ilegal
- Lalu lintas sensor
- Anomali Bandwidth
- Akses internet
- Kecurigaan akan malware
- Luapan buffer
- Kegagalan operasi
- Kecurigaan akan aktivitas berbahaya
- Kegagalan perintah
- Masalah operasional
- Perubahan konfigurasi
- Pemrograman
Untuk informasi selengkapnya dan untuk membuat grup pemberitahuan kustom, hubungi Dukungan Microsoft.
Memecahkan masalah aturan penerusan
Jika aturan pemberitahuan penerusan Anda tidak berfungsi seperti yang diharapkan, periksa detail berikut:
Validasi sertifikat. Aturan penerusan untuk Syslog CEF, Microsoft Sentinel, dan QRadar mendukung enkripsi dan validasi sertifikat.
Jika sensor OT atau konsol manajemen lokal Anda dikonfigurasi untuk memvalidasi sertifikat dan sertifikat tidak dapat diverifikasi, pemberitahuan tidak diteruskan.
Dalam kasus ini, sensor atau konsol manajemen lokal adalah klien dan inisiator sesi. Sertifikat biasanya diterima dari server atau menggunakan enkripsi asimetris, di mana sertifikat tertentu disediakan untuk menyiapkan integrasi.
Aturan pengecualian pemberitahuan. Jika Anda memiliki aturan pengecualian yang dikonfigurasi di konsol manajemen lokal, sensor Anda mungkin mengabaikan pemberitahuan yang ingin Anda teruskan. Untuk informasi selengkapnya, lihat Membuat aturan pengecualian pemberitahuan di konsol manajemen lokal.