Melihat dan mengelola peringatan di portal Defender untuk IoT (Pratinjau)

  • Artikel
  • 6 menit untuk membaca

Artikel ini menjelaskan kemampuan peringatan Defender untuk IoT untuk peringatan yang ditampilkan di portal Defender untuk IoT di Azure.

Tentang peringatan

Peringatan Defender untuk IoT memungkinkan Anda meningkatkan keamanan dan pengoperasian jaringan Anda dengan memberi Anda informasi real-time tentang:

  • Penyimpangan dari aktivitas jaringan resmi dan konfigurasi perangkat
  • Protokol dan anomali operasional
  • Lalu lintas malware yang dicurigai

Screenshot of the Alerts page in the Azure portal.

Peringatan yang dipicu oleh Defender untuk IoT ditampilkan di halaman Peringatan di portal Azure. Gunakan halaman Peringatan untuk:

  • Mempelajari kapan peringatan terdeteksi.
  • Menyelidiki peringatan dengan meninjau berbagai informasi peringatan. Ini mungkin termasuk, detail sumber dan tujuan, informasi PCAP, vendor, detail firmware dan OS, dan informasi MITRE ATT&CK.
  • Kelola peringatan dengan melakukan langkah-langkah remediasi pada perangkat atau proses jaringan, atau mengubah status atau tingkat keparahan perangkat.
  • Integrasikan detail peringatan dengan layanan Microsoft lain. Misalnya, dengan playbook dan buku kerja Microsoft Sentinel. Lihat Tentang Integrasi Defender untuk IoT dan Microsoft Sentinel.

Bagaimana halaman Peringatan diisi?

Halaman Peringatan diisi oleh informasi peringatan yang terdeteksi oleh sensor yang disiapkan untuk koneksi cloud ke portal Defender untuk IoT di Azure.

Detail peringatan yang dipicu oleh sensor ini dan digabungkan di halaman Peringatan:

  • Memberikan wawasan komprehensif tentang ancaman, anomali, penyimpangan, dan kesalahan konfigurasi di seluruh jaringan Anda.

  • Membantu tim SOC lebih memahami cara sensor menangani aktivitas di seluruh jaringan.

Jenis dan pesan peringatan

Anda dapat melihat pesan peringatan yang mungkin Anda terima. Meninjau jenis dan pesan peringatan sebelumnya akan membantu Anda merencanakan remediasi dan integrasi dengan playbook.

Untuk informasi selengkapnya, lihat Jenis dan deskripsi peringatan.

Lihat peringatan

Bagian ini menjelaskan informasi yang tersedia di tabel Peringatan.

Untuk melihat informasi peringatan:

  1. Navigasikan ke portal Defender untuk IoT di Azure.

  2. Pilih Peringatan (Pratinjau). Informasi peringatan berikut tersedia secara default.

    Parameter Deskripsi
    Keparahan Tingkat keparahan peringatan yang telah ditentukan yang ditetapkan oleh sensor. Tingkat keparahan dapat diperbarui. Lihat Mengelola status dan tingkat keparahan peringatan untuk detailnya.
    Nama Judul pemberitahuan.
    Situs Situs yang terkait dengan sensor. Nama situs ini ditentukan saat Anda mendaftarkan sensor dengan Microsoft Defender untuk IoT di portal Microsoft. Nama dapat dilihat di halaman Situs dan Sensor di portal. Lihat Melihat sensor yang di-onboarding untuk informasi tentang sensor yang terdaftar.
    Mesin Mesin sensor yang mendeteksi lalu lintas Teknologi Operasional (OT). Untuk mempelajari lebih lanjut tentang mesin, lihat Mesin deteksi. Untuk pembuat perangkat, istilah agen mikro akan ditampilkan.
    Waktu deteksi Pertama kali peringatan terdeteksi. Lalu lintas peringatan dapat terjadi beberapa kali setelah deteksi pertama. Jika Status peringatan Baru, waktu deteksi tidak akan berubah. Jika peringatan Ditutup dan lalu lintas terlihat lagi, waktu deteksi baru akan ditampilkan.
    Status Status peringatan: Baru, Aktif, Tertutup
    Perangkat sumber Alamat IP, MAC, atau nama perangkat.
    Taktik Tahap MITRE ATT&CK.

Untuk melihat informasi tambahan:

  1. Pilih Edit Kolom dari halaman Peringatan.

  2. Dalam kotak dialog Edit Kolom, pilih Tambahkan Kolom dan pilih item yang akan ditambahkan. Item berikut tersedia:

    Parameter Deskripsi
    Alamat perangkat sumber Alamat IP perangkat sumber.
    Alamat perangkat tujuan Alamat IP perangkat tujuan.
    Perangkat tujuan Alamat IP, MAC, atau nama perangkat tujuan.
    ID ID peringatan yang unik.
    Protokol Protokol terdeteksi dalam lalu lintas jaringan untuk peringatan ini.
    Sensor Sensor yang mendeteksi peringatan.
    Zona Zona yang ditetapkan ke sensor yang mendeteksi peringatan.
    Kategori Kategori yang terkait dengan peringatan, misalnya pemindaian, masalah operasional, peringatan khusus, perintah ilegal. Memfilter halaman Peringatan menurut kategori membantu Anda menemukan informasi yang penting dengan cepat. Untuk daftar kategori yang tersedia, lihat Menyesuaikan tampilan menurut kategori.
    Jenis Nama internal peringatan.

Menyesuaikan tampilan

Berbagai opsi halaman Peringatan membantu Anda dengan mudah menemukan dan melihat peringatan dan informasi peringatan yang penting bagi Anda.

Untuk memfilter tampilan:

  1. Gunakan opsi Cari, Rentang Waktu, dan Filter di bagian atas halaman Peringatan.

    Screenshot of the filters bar on the Alerts page in the Azure portal.

Untuk mengelompokkan peringatan:

  1. Pilih Kelompokkan berdasarkan di kanan atas halaman Peringatan.
  2. Kelompokkan tampilan berdasarkan:
    • keparahan peringatan
    • nama peringatan
    • situs yang terkait dengan peringatan
    • Mesin yang terkait dengan peringatan

Menyesuaikan tampilan menurut kategori

Gunakan filter kategori untuk menemukan informasi penting bagi Anda dengan cepat. Menggunakan filter kategori juga memberi Anda informasi mengenai jumlah peringatan untuk setiap kategori. Misalnya, 50 peringatan operasional, 13 perubahan firmware atau 23 kegagalan perintah.

Screenshot of the Category filter option in Alerts page in the Azure portal.

Kategori peristiwa audit berikut tersedia:

  • Perilaku Komunikasi Abnormal
  • Perilaku Komunikasi HTTP Abnormal
  • Autentikasi
  • Cadangan
  • Anomali Bandwidth
  • Luapan buffer
  • Kegagalan Perintah
  • Perubahan konfigurasi
  • Peringatan Kustom
  • Penemuan
  • Perubahan firmware
  • Perintah ilegal
  • Akses Internet
  • Kegagalan Operasi
  • Masalah operasional
  • Pemrograman
  • Akses jarak jauh
  • Perintah Restart/Stop
  • Pindai
  • Lalu lintas sensor
  • Kecurigaan akan aktivitas berbahaya
  • Kecurigaan Akan Malware
  • Perilaku Komunikasi yang Tidak Sah
  • Merespons

Memahami perincian jumlah peringatan

Jumlah peringatan yang saat ini terdeteksi muncul di bagian kiri atas halaman Peringatan. Anda mungkin ingin informasi yang lebih spesifik tentang rincian jumlah peringatan, misalnya jumlah peringatan yang terkait dengan tingkat keparahan peringatan, protokol, atau situs tertentu.

Untuk melihat perincian jumlah peringatan:

  1. Pilih Kelompokkan berdasarkan dan pilih grup. Jumlah peringatan ditampilkan untuk setiap grup.

    Screenshot of the Alerts page, filtered by severity.

  2. Atau gunakan opsi Tambahkan filter untuk memilih subjek yang menarik dan pilih Kolom. Penurunan nama kolom menunjukkan peringatan angka yang terkait dengan nama kolom.

    Screenshot of Alert filters showing protocols with count for each protocol.

Melihat deskripsi peringatan dan detail lainnya

Lihat informasi selengkapnya tentang peringatan, seperti:

  • deskripsi peringatan
  • link ke informasi MITRE ATT&CK terkait
  • detail tentang protokol
  • lalu lintas dan entitas yang terkait dengan peringatan
  • langkah-langkah remediasi peringatan

Untuk melihat detail:

  1. Pilih pemberitahuan.

  2. Panel detail terbuka dengan deskripsi peringatan, sumber, dan informasi tujuan serta detail lainnya.

    Screenshot of an alert selected from Alerts page in the Azure portal.

  3. Untuk melihat detail selengkapnya dan meninjau langkah-langkah remediasi, pilih Tampilkan detail lengkap. Panel Detail Peringatan memberikan informasi lebih lanjut tentang perangkat sumber dan entitas terkait. Link terkait di situs web Kemitraan MITRE juga tersedia.

    Screenshot of a selected alert with full details.

Jika Anda berintegrasi dengan Microsoft Sentinel, detail Peringatan dan informasi entitas akan dikirim ke Microsoft Sentinel.

Langkah-langkah remediasi peringatan

Defender untuk IoT menyediakan langkah-langkah remediasi yang dapat Anda lakukan untuk peringatan. Langkah-langkah remediasi dirancang untuk membantu tim SOC lebih memahami masalah dan resolusi OT.

Untuk melihat remediasi peringatan:

  1. Pilih peringatan dari halaman Peringatan.

  2. Pilih Ambil tindakan dalam kotak dialog yang terbuka.

    Screenshot of a remediation action for a sample alert in the Azure portal.

Mengelola status dan tingkat keparahan peringatan

Anda dapat mengubah status peringatan dan tingkat keparahan untuk satu peringatan atau untuk sekelompok peringatan.

Untuk mengubah status peringatan:

  1. Pilih peringatan atau grup peringatan.
  2. Pilih Ubah status dan pilih status (Baru, Aktif, Tertutup).

Perubahan status tidak tercermin dalam konsol atau sensor pengelolaan lokal.

Untuk mengubah tingkat keparahan peringatan:

  1. Pilih peringatan atau grup peringatan.
  2. Pilih Ubah tingkat keparahan dan pilih tingkat keparahan.

Perubahan tingkat keparahan tidak tercermin dalam konsol atau sensor pengelolaan lokal.

Pengelolaan peringatan lokal

Pengguna yang bekerja dalam penyebaran hibrid mungkin mengelola peringatan di portal Microsoft Defender untuk IoT, halaman Peringatan, dan sensor lokal dan konsol pengelolaan.

Pengguna yang bekerja dengan peringatan di Azure dan lokal harus memahami cara pengelolaan peringatan antara portal dan komponen lokal beroperasi.

Parameter Deskripsi
Aturan Pengecualian Peringatan Aturan Pengecualian Peringatan yang ditentukan dalam konsol pengelolaan lokal memengaruhi aturan yang terdeteksi oleh sensor terkelola. Akibatnya, peringatan yang dikecualikan adalah aturan ini tidak akan ditampilkan di halaman Peringatan. Lihat Membuat aturan pengecualian peringatan untuk informasi selengkapnya.
Mengelola peringatan secara lokal Peringatan Yang Dipelajari, Diakui, atau Dibisukan di konsol pengelolaan lokal atau di sensor tidak diperbarui secara bersamaan di halaman Peringatan di halaman Peringatan Defender untuk IoT Cloud. Ini berarti bahwa peringatan ini akan tetap terbuka di Cloud. Namun peringatan lain tidak akan dipicu dari komponen lokal untuk aktivitas ini.
Mengelola peringatan di halaman Peringatan portal Mengubah status suatu peringatan menjadi Baru, Aktif, atau Tertutup di halaman Peringatan atau mengubah tingkat keparahan peringatan di halaman Peringatan tidak memengaruhi status atau tingkat keparahan peringatan di konsol atau sensor pengelolaan lokal.

Langkah berikutnya

Untuk informasi selengkapnya, lihat Mendapatkan wawasan tentang ancaman global, regional, dan lokal.