Alerty usługi Microsoft Defender dla IoT
Alerty usługi Microsoft Defender dla IoT zwiększają bezpieczeństwo sieci i operacje dzięki szczegółowymi informacjami o zdarzeniach zarejestrowanych w sieci w czasie rzeczywistym. Alerty są wyzwalane, gdy czujniki sieciowe OT wykrywają zmiany lub podejrzane działania w ruchu sieciowym, który wymaga twojej uwagi.
Na przykład:
Użyj szczegółów wyświetlanych na stronie Alerty lub na stronie szczegółów alertu, aby zbadać i podjąć działania, które korygują wszelkie ryzyko dla sieci, z powiązanych urządzeń lub procesu sieciowego, który wyzwolił alert.
Napiwek
Skorzystaj z kroków korygowania alertów, aby ułatwić zespołom SOC zrozumienie możliwych problemów i rozwiązań. Zalecamy przejrzenie zalecanych kroków korygowania przed zaktualizowaniem stanu alertu lub podjęciem akcji na urządzeniu lub w sieci.
Opcje zarządzania alertami
Alerty usługi Defender dla IoT są dostępne w witrynie Azure Portal, konsolach czujników sieci OT i lokalnej konsoli zarządzania. W przypadku zabezpieczeń IoT dla przedsiębiorstw alerty są również dostępne dla urządzeń IoT w przedsiębiorstwie wykrytych przez usługę Defender dla punktu końcowego w usłudze Microsoft 365 Defender.
Chociaż można wyświetlić szczegóły alertu, zbadać kontekst alertu i sklasyfikować stan alertów oraz zarządzać nimi z dowolnej z tych lokalizacji, każda lokalizacja oferuje również dodatkowe akcje alertów. W poniższej tabeli opisano alerty obsługiwane dla każdej lokalizacji oraz dodatkowe akcje dostępne tylko w tej lokalizacji:
| Lokalizacja | opis | Dodatkowe akcje alertów |
|---|---|---|
| Witryna Azure Portal | Alerty ze wszystkich czujników OT połączonych z chmurą | - Wyświetlanie powiązanej taktyki i technik MITRE ATT&CK — Użyj wbudowanych skoroszytów, aby uzyskać wgląd w alerty o wysokim priorytcie — Wyświetlanie alertów z usługi Microsoft Sentinel i wykonywanie bardziej szczegółowych badań za pomocą podręczników i skoroszytów usługi Microsoft Sentinel. |
| Konsole czujników sieci OT | Alerty generowane przez ten czujnik OT | — Wyświetlanie źródła i miejsca docelowego alertu na mapie urządzenia - Wyświetlanie powiązanych zdarzeń na osi czasu zdarzenia — Przekazywanie alertów bezpośrednio do dostawców partnerów - Tworzenie komentarzy alertów — Tworzenie niestandardowych reguł alertów — Odwiedz alerty |
| Lokalna konsola zarządzania | Alerty generowane przez połączone czujniki OT | — Przekazywanie alertów bezpośrednio do dostawców partnerów — Tworzenie reguł wykluczeń alertów |
| Microsoft 365 Defender | Alerty generowane dla urządzeń IoT w przedsiębiorstwie wykrytych przez Ochrona punktu końcowego w usłudze Microsoft Defender | — Zarządzanie danymi alertów wraz z innymi danymi usługi Microsoft 365 Defender, w tym zaawansowanym wyszukiwaniem zagrożeń |
Napiwek
Wszystkie alerty generowane z różnych czujników w tej samej strefie w ramach 10-minutowego przedziału czasu, z tym samym typem, stanem, protokołem alertu i skojarzonymi urządzeniami, są wyświetlane jako pojedynczy, ujednolicony alert.
- 10-minutowy przedział czasu jest oparty na pierwszym wykryciu alertu.
- Pojedynczy, ujednolicony alert zawiera listę wszystkich czujników, które wykryły alert.
- Alerty są łączone na podstawie protokołu alertu, a nie protokołu urządzenia.
Aby uzyskać więcej informacji, zobacz:
- Przechowywanie danych alertów
- Przyspieszanie przepływów pracy alertów OT
- Stany alertów i opcje klasyfikacji
- Planowanie lokacji i stref OT
Opcje alertów różnią się również w zależności od twojej lokalizacji i roli użytkownika. Aby uzyskać więcej informacji, zobacz Role i uprawnienia użytkownika platformy Azure oraz użytkownicy i role lokalne.
Alerty ukierunkowane w środowiskach OT/IT
Organizacje, w których czujniki są wdrażane między sieciami OT i IT, zajmują się wieloma alertami związanymi zarówno z ruchem OT, jak i IT. Ilość alertów, z których niektóre są nieistotne, mogą powodować zmęczenie alertów i wpływać na ogólną wydajność. Aby sprostać tym wyzwaniom, zasady wykrywania usługi Defender dla IoT kierują swoje różne aparaty alertów, aby skupić się na alertach mających wpływ na działalność biznesową i istotności sieci OT oraz zmniejszyć alerty związane z it o niskiej wartości. Na przykład alert nieautoryzowanej łączności z Internetem jest bardzo istotny w sieci OT, ale ma stosunkowo niską wartość w sieci IT.
Aby skoncentrować alerty wyzwalane w tych środowiskach, wszystkie aparaty alertów, z wyjątkiem aparatu złośliwego oprogramowania , wyzwalają alerty tylko wtedy, gdy wykrywają powiązaną podsieć lub protokół OT. Jednak aby zachować wyzwalanie alertów wskazujących krytyczne scenariusze:
- Aparat złośliwego oprogramowania wyzwala alerty złośliwego oprogramowania niezależnie od tego, czy alerty są powiązane z urządzeniami OT, czy IT.
- Inne aparaty obejmują wyjątki dla scenariuszy krytycznych. Na przykład aparat operacyjny wyzwala alerty związane z ruchem czujników, niezależnie od tego, czy alert jest związany z ruchem OT, czy IT.
Zarządzanie alertami OT w środowisku hybrydowym
Użytkownicy pracujący w środowiskach hybrydowych mogą zarządzać alertami OT w usłudze Defender for IoT w witrynie Azure Portal, czujniku OT i lokalnej konsoli zarządzania.
Uwaga
Podczas gdy konsola czujnika wyświetla pole Ostatnie wykrywanie alertu w czasie rzeczywistym, usługa Defender dla IoT w witrynie Azure Portal może potrwać do jednej godziny, aby wyświetlić zaktualizowany czas. W tym artykule wyjaśniono scenariusz, w którym czas ostatniego wykrywania w konsoli czujnika nie jest taki sam jak czas ostatniego wykrywania w witrynie Azure Portal.
Stany alertów są w przeciwnym razie w pełni synchronizowane między witryną Azure Portal a czujnikiem OT oraz między czujnikiem a lokalną konsolą zarządzania. Oznacza to, że niezależnie od tego, gdzie zarządzasz alertem w usłudze Defender dla IoT, alert jest również aktualizowany w innych lokalizacjach.
Ustawienie stanu alertu na Zamknięte lub Wyciszone w czujniku lub lokalnej konsoli zarządzania aktualizuje stan alertu na Zamknięty w witrynie Azure Portal. W lokalnej konsoli zarządzania stan zamkniętego alertu nosi nazwę Potwierdzono.
Napiwek
Jeśli pracujesz z usługą Microsoft Sentinel, zalecamy skonfigurowanie integracji w celu synchronizowania stanu alertu z usługą Microsoft Sentinel, a następnie zarządzania stanami alertów wraz z powiązanymi zdarzeniami usługi Microsoft Sentinel.
Aby uzyskać więcej informacji, zobacz Samouczek: badanie i wykrywanie zagrożeń dla urządzeń IoT.
Alerty i Ochrona punktu końcowego w usłudze Microsoft Defender IoT dla przedsiębiorstw
Jeśli używasz zabezpieczeń IoT przedsiębiorstwa w usłudze Microsoft 365 Defender, alerty dotyczące urządzeń IoT w przedsiębiorstwie wykrytych przez Ochrona punktu końcowego w usłudze Microsoft Defender są dostępne tylko w usłudze Microsoft 365 Defender. Wiele wykryć opartych na sieci z Ochrona punktu końcowego w usłudze Microsoft Defender jest istotnych dla urządzeń IoT przedsiębiorstwa, takich jak alerty wyzwalane przez skanowania obejmujące zarządzane punkty końcowe.
Aby uzyskać więcej informacji, zobacz Zabezpieczanie urządzeń IoT w przedsiębiorstwie i kolejki Alerty w usłudze Microsoft 365 Defender.
Przyspieszanie przepływów pracy alertów OT
Nowe alerty są automatycznie zamykane, jeśli po początkowym wykryciu nie zostanie wykryty żaden identyczny ruch. Jeśli w ciągu pierwszych 90 dni zostanie wykryty identyczny ruch, liczba 90 dni zostanie zresetowana.
Oprócz domyślnego zachowania możesz chcieć pomóc zespołom zarządzającym SOC i OT w szybszym klasyfikowaniu i korygowaniu alertów. Zaloguj się do czujnika OT lub lokalnej konsoli zarządzania jako użytkownik Administracja, aby użyć następujących opcji:
Tworzenie niestandardowych reguł alertów. Tylko czujniki OT.
Dodaj niestandardowe reguły alertów, aby wyzwalać alerty dotyczące określonych działań w sieci, które nie są objęte funkcją wbudowaną.
Na przykład w przypadku środowiska z uruchomionym protokołem MODBUS można dodać regułę do wykrywania dowolnych napisanych poleceń do rejestru pamięci na określonym adresie IP i miejscu docelowym ethernetu.
Aby uzyskać więcej informacji, zobacz Tworzenie niestandardowych reguł alertów na czujniku OT.
Tworzenie komentarzy alertów. Tylko czujniki OT.
Utwórz zestaw komentarzy alertów, które inni użytkownicy czujnika OT mogą dodawać do poszczególnych alertów, ze szczegółowymi informacjami, takimi jak niestandardowe kroki ograniczania ryzyka, komunikacja z innymi członkami zespołu lub inne szczegółowe informacje lub ostrzeżenia dotyczące zdarzenia.
Członkowie zespołu mogą ponownie używać tych komentarzy niestandardowych podczas klasyfikowania stanów alertów i zarządzania nimi. Komentarze alertów są wyświetlane w obszarze komentarzy na stronie szczegółów alertu. Na przykład:
Aby uzyskać więcej informacji, zobacz Tworzenie komentarzy alertów dla czujnika OT.
Tworzenie reguł wykluczania alertów: tylko lokalne konsole zarządzania.
Jeśli pracujesz z lokalną konsolą zarządzania, zdefiniuj reguły wykluczania alertów, aby ignorować zdarzenia w wielu czujnikach spełniających określone kryteria. Można na przykład utworzyć regułę wykluczania alertów, aby zignorować wszystkie zdarzenia, które wyzwalałyby nieistotne alerty w określonym oknie obsługi.
Alerty ignorowane przez reguły wykluczania nie są wyświetlane w witrynie Azure Portal, czujniku ani lokalnej konsoli zarządzania ani w dziennikach zdarzeń.
Aby uzyskać więcej informacji, zobacz Tworzenie reguł wykluczania alertów w lokalnej konsoli zarządzania.
Przekazywanie danych alertów do systemów partnerskich do partnerów SIEM, serwerów syslog, określonych adresów e-mail i nie tylko.
Obsługiwane zarówno z czujników OT, jak i lokalnych konsol zarządzania. Aby uzyskać więcej informacji, zobacz Przekazywanie informacji o alertach.
Stany alertów i opcje klasyfikacji
Użyj następujących stanów alertów i opcji klasyfikacji, aby zarządzać alertami w usłudze Defender dla IoT.
Podczas klasyfikowania alertu należy wziąć pod uwagę, że niektóre alerty mogą odzwierciedlać prawidłowe zmiany sieci, takie jak autoryzowane urządzenie próbujące uzyskać dostęp do nowego zasobu na innym urządzeniu.
Podczas klasyfikowania opcji z czujnika OT i lokalnej konsoli zarządzania są dostępne tylko dla alertów OT, opcje dostępne w witrynie Azure Portal są dostępne zarówno dla alertów OT, jak i Enterprise IoT.
Skorzystaj z poniższej tabeli, aby dowiedzieć się więcej na temat każdego stanu alertu i opcji klasyfikacji.
| Akcja stanu/klasyfikacji | Dostępne w dniu | opis |
|---|---|---|
| New | — Azure Portal - Czujniki sieciowe OT — Lokalna konsola zarządzania |
Nowe alerty to alerty, które nie zostały jeszcze sklasyfikowane lub zbadane przez zespół. Nowy ruch wykryty dla tych samych urządzeń nie generuje nowego alertu, ale jest dodawany do istniejącego alertu. W lokalnej konsoli zarządzania nowe alerty są nazywane unacknowledged. Uwaga: może być wyświetlanych wiele alertów o tej samej nazwie, Nowych lub Niezaznaczonych . W takich przypadkach każdy oddzielny alert jest wyzwalany przez oddzielny ruch na różnych zestawach urządzeń. |
| Aktywne | — Tylko witryna Azure Portal | Ustaw alert na Aktywny , aby wskazać, że trwa badanie, ale alert nie może jeszcze zostać zamknięty lub sklasyfikowany w inny sposób. Ten stan nie ma żadnego wpływu w innym miejscu w usłudze Defender dla IoT. |
| Zamknięcie | — Azure Portal - Czujniki sieciowe OT — Lokalna konsola zarządzania |
Zamknij alert, aby wskazać, że jest on w pełni zbadany i chcesz ponownie otrzymywać alerty przy następnym wykryciu tego samego ruchu. Zamknięcie alertu powoduje dodanie go do osi czasu zdarzenia czujnika. W lokalnej konsoli zarządzania nowe alerty są nazywane Potwierdzono. |
| Dowiedz się więcej | — Azure Portal - Czujniki sieciowe OT — Lokalna konsola zarządzania Odwiedzenie alertu jest dostępne tylko w czujniku OT. |
Dowiedz się, jak zamknąć alert i dodać go jako dozwolony ruch, aby nie otrzymywać alertów ponownie przy następnym wykryciu tego samego ruchu. Na przykład gdy czujnik wykryje zmiany wersji oprogramowania układowego zgodnie ze standardowymi procedurami konserwacji lub gdy nowe, oczekiwane urządzenie zostanie dodane do sieci. Edukacja alert zamyka alert i dodaje element do osi czasu zdarzenia czujnika. Wykryty ruch jest uwzględniany w raportach wyszukiwania danych, ale nie podczas obliczania innych raportów czujników OT. Edukacja alerty są dostępne tylko dla wybranych alertów, głównie tych wyzwalanych przez Alerty dotyczące zasad i aparatu anomalii. |
| Wycisz | - Czujniki sieciowe OT — Lokalna konsola zarządzania Anulowanie wyciszenia alertu jest dostępne tylko na czujniku OT. |
Wycisz alert, gdy chcesz go zamknąć i nie widzisz go ponownie dla tego samego ruchu, ale bez dodawania dozwolonego ruchu alertu. Na przykład gdy silnik operacyjny wyzwala alert wskazujący, że tryb PLC został zmieniony na urządzeniu. Nowy tryb może wskazywać, że sterownik PLC nie jest bezpieczny, ale po zbadaniu ustalono, że nowy tryb jest akceptowalny. Wyciszenie alertu powoduje jego zamknięcie, ale nie dodaje elementu do osi czasu zdarzenia czujnika. Wykryty ruch jest uwzględniany w raportach wyszukiwania danych, ale nie podczas obliczania danych dla innych raportów czujników. Wyciszenie alertu jest dostępne tylko dla wybranych alertów, głównie tych wyzwalanych przez aparaty anomalii, naruszenia protokołu lub aparatów operacyjnych . |
Napiwek
Jeśli wiesz wcześniej, które zdarzenia są nieistotne dla Ciebie, takie jak w oknie obsługi, lub jeśli nie chcesz śledzić zdarzenia na osi czasu zdarzenia, utwórz regułę wykluczania alertów w lokalnej konsoli zarządzania.
Aby uzyskać więcej informacji, zobacz Tworzenie reguł wykluczania alertów w lokalnej konsoli zarządzania.
Klasyfikowanie alertów OT podczas trybu uczenia
Edukacja tryb odnosi się do początkowego okresu po wdrożeniu czujnika OT, gdy czujnik OT pozna działanie punktu odniesienia sieci, w tym urządzenia i protokoły w sieci, oraz regularne transfery plików, które występują między określonymi urządzeniami.
Użyj trybu uczenia, aby przeprowadzić początkową klasyfikację alertów w sieci, ucząc się tych, które chcesz oznaczyć jako autoryzowane, oczekiwane działanie. Poznany ruch nie generuje nowych alertów przy następnym wykryciu tego samego ruchu.
Aby uzyskać więcej informacji, zobacz Tworzenie poznanego planu bazowego alertów OT.
Następne kroki
Przejrzyj typy alertów i komunikaty, aby ułatwić zrozumienie i planowanie akcji korygowania oraz integracji podręczników. Aby uzyskać więcej informacji, zobacz Ot monitoring alert types and descriptions (Typy alertów i opisy monitorowania ot).