Ускорение рабочих процессов оповещений OT

  • Статья

Примечание.

Эти функции работают в режиме предварительной версии. Дополнительные условия использования предварительной версии Azure включают прочие юридические условия, применимые к функциям Azure, которые находятся в бета-версии, предварительной версии или еще не являются общедоступными по другим причинам.

Оповещения Microsoft Defender для Интернета вещей повышают безопасность сети и операции с подробными сведениями о событиях, зарегистрированных в сети в режиме реального времени. Оповещения OT активируются, когда сетевые датчики OT обнаруживают изменения или подозрительные действия в сетевом трафике, который требует вашего внимания.

В этой статье описаны следующие методы снижения усталости сетевых оповещений OT в вашей команде:

  • Создайте правила подавления из портал Azure, чтобы уменьшить количество оповещений, инициируемых датчиками. Если вы работаете в среде с воздушным подключением, создайте правила исключения оповещений в локальной консоль управления.

  • Создавайте комментарии оповещений для команд, добавляя их в отдельные оповещения, упрощая взаимодействие и сохранение записей в оповещениях.

  • Создание настраиваемых правил генерации оповещений для идентификации определенного трафика в сети

Необходимые компоненты

Прежде чем использовать процедуры на этой странице, обратите внимание на следующие предварительные требования:

Действие У вас должно быть ...
Создание правил подавления оповещений в портал Azure Подписка Defender для Интернета вещей с по крайней мере одним облачным датчиком OT и доступом в качестве Администратор безопасности, участника или владельца.
Создание списка разрешений DNS на датчике OT Сетевой датчик OT установлен и доступ к датчику в качестве пользователя по умолчанию Администратор.
Создание комментариев оповещений на датчике OT Сетевой датчик OT установлен и доступ к датчику, как любой пользователь с Администратор ролью.
Создание пользовательских правил генерации оповещений на датчике OT Сетевой датчик OT установлен и доступ к датчику, как любой пользователь с Администратор ролью.
Создание правил исключения оповещений в локальной консоль управления Локальный консоль управления установлен и доступ к локальной консоль управления как любой пользователь с ролью Администратор.

Дополнительные сведения см. в разделе:

Подавление неуместных оповещений

Настройте датчики OT для подавления оповещений для определенного трафика в сети, который в противном случае активирует оповещение. Например, если все устройства OT, отслеживаемые определенным датчиком, проходят процедуры обслуживания в течение двух дней, может потребоваться определить правило для подавления всех оповещений, созданных этим датчиком в течение периода обслуживания.

  • Для облачных подключенных датчиков OT создайте правила подавления оповещений в портал Azure, чтобы игнорировать указанный трафик в сети, который в противном случае активирует оповещение.

  • Для локально управляемых датчиков создайте правила исключения оповещений в локальной консоль управления с помощью пользовательского интерфейса или API.

Внимание

Правила, настроенные на портал Azure, переопределяют все правила, настроенные для того же датчика в локальной консоль управления. Если в настоящее время вы используете правила исключения оповещений в локальной консоль управления, рекомендуется перенести их в портал Azure в качестве правил подавления перед началом работы.

Создание правил подавления оповещений в портал Azure (общедоступная предварительная версия)

В этом разделе описывается создание правила подавления оповещений на портал Azure и поддерживается только для облачных датчиков.

Чтобы создать правило подавления оповещений:

  1. В Defender для Интернета вещей в портал Azure выберите правила подавления оповещений>.

  2. На странице правил подавления (предварительная версия) нажмите кнопку +Создать.

  3. На вкладке "Создание правила подавления" введите следующие сведения:

    1. В раскрывающемся списке выберите подписку Azure.

    2. Введите понятное имя правила и необязательное описание.

    3. Переключение на включено , чтобы правило запускалось как настроено. Вы также можете оставить этот параметр отключенным, чтобы начать использовать правило только позже.

    4. В области "Подавление по диапазону времени" переключитесь на дату окончания срока действия, чтобы определить определенную дату начала и окончания правила. Выберите " Добавить диапазон ", чтобы добавить несколько диапазонов времени.

    5. В области "Применить" выберите, следует ли применять правило ко всем датчикам подписки или только на определенных сайтах или датчиках. Если выбрать "Применить" для пользовательского выбора, выберите сайты и/или датчики, в которых будет выполняться правило.

      При выборе определенного сайта правило применяется ко всем существующим и будущим датчикам, связанным с сайтом.

    6. Нажмите кнопку "Далее " и подтвердите сообщение переопределения.

  4. На вкладке "Условия создания правилаподавления":

    1. В раскрывающемся списке "Имя оповещения" выберите одно или несколько оповещений для правила. Выбор имени обработчика оповещений вместо определенного имени правила применяется к правилу для всех существующих и будущих оповещений, связанных с этим механизмом.

    2. При необходимости отфильтруйте правило дальше, определив дополнительные условия, такие как трафик, поступающий из определенных источников, в определенные назначения или в определенных подсетях. При указании подсетей в качестве условий обратите внимание, что подсети ссылаются как на исходные, так и на конечные устройства.

    3. После завершения настройки условий правила нажмите кнопку "Далее".

  5. На вкладке "Создание правила подавления" просмотрите сведения о создаваемом правиле и нажмите кнопку "Создать".

Правило добавляется в список правил подавления на странице правил подавления (предварительная версия). Выберите правило, чтобы изменить или удалить его по мере необходимости.

Совет

Если вам нужно экспортировать правила подавления, нажмите кнопку "Экспорт " на панели инструментов. Все настроенные правила экспортируются в один. CSV-файл, который можно сохранить локально.

Перенос правил подавления из локальной консоль управления (общедоступная предварительная версия)

Если в настоящее время вы используете локальный консоль управления с облачными датчиками, рекомендуется перенести все правила исключения в портал Azure в качестве правил подавления, прежде чем приступить к созданию новых правил подавления. Все правила подавления, настроенные в портал Azure переопределяют правила исключения оповещений, которые существуют для одних и того же датчика в локальной консоль управления.

Чтобы экспортировать правила исключения оповещений и импортировать их в портал Azure:

  1. Войдите в локальную консоль управления и выберите "Исключение оповещений".

  2. На странице исключения оповещений выберите "Экспорт", чтобы экспортировать правила в . CSV-файл.

  3. В Defender для Интернета вещей в портал Azure выберите правила подавления оповещений>.

  4. На странице правил подавления (предварительная версия) выберите "Перенести локальные правила диспетчера", а затем перейдите к и выберите . CSV-файл, скачанный из локальной консоль управления.

  5. В области правил подавления миграции просмотрите отправленный список правил подавления, которые вы хотите перенести, а затем выберите "Утвердить миграцию".

  6. Подтвердите переопределение сообщения.

Правила добавляются в список правил подавления на странице правил подавления (предварительная версия). Выберите правило, чтобы изменить или удалить его по мере необходимости.

Создание правил исключения оповещений в локальной консоль управления

Рекомендуется создавать правила исключения оповещений в локальной консоль управления только для локальных управляемых датчиков. Для подключенных к облаку датчиков все правила подавления, созданные на портал Azure, переопределяют правила исключения, созданные в локальной консоль управления для этого датчика.

Чтобы создать правило исключения оповещений:

  1. Войдите в локальную консоль управления и выберите исключение оповещений в меню слева.

  2. На странице исключения оповещений нажмите + кнопку в правом верхнем углу, чтобы добавить новое правило.

  3. В диалоговом окне "Создание правила исключения" введите следующие сведения:

    Имя Описание
    Имя Введите понятное имя правила. Имя не может содержать кавычки (").
    По периоду времени Выберите часовой пояс и определенный период времени, который требуется активировать правило исключения, а затем нажмите кнопку ADD.

    Используйте этот параметр для создания отдельных правил для разных часовых поясов. Например, может потребоваться применить правило исключения с 8:00 по 10:00 в трех различных часовых поясах. В таком случае создайте три отдельных правила исключения, в которых будет указан один и тот же период времени и соответствующие часовые пояса.
    По адресу устройства Выберите и введите следующие значения, а затем нажмите кнопку ADD:

    — Выберите, является ли указанное устройство источником, назначением или исходным и целевым устройством.
    — выберите, является ли адрес IP-адресом, MAC-адресом или подсетью.
    — Введите значение IP-адреса, MAC-адреса или подсети.
    По заголовку оповещения Выберите одно или несколько оповещений, которые нужно добавить в правило исключения, а затем нажмите кнопку ADD. Чтобы найти названия оповещений, введите все или часть заголовка оповещения и выберите нужный из раскрывающегося списка.
    По имени датчика Выберите один или несколько датчиков, которые нужно добавить в правило исключения, а затем нажмите кнопку ADD. Чтобы найти имена датчиков, введите все или часть имени датчика и выберите нужный из раскрывающегося списка.

    Внимание

    Правила исключения оповещений основаны AND , что означает, что оповещения исключаются только при соблюдении всех условий правила. Если условие правила не определено, все параметры включаются. Например, если в правило не указано имя датчика, правило применяется ко всем датчикам.

    Сводка параметров правила отображается в нижней части диалогового окна.

  4. Проверьте сводку правил, показанную в нижней части диалогового окна "Создание правила исключения", а затем нажмите кнопку SAVE

Создание правил исключения оповещений с помощью API:

Используйте API Defender для Интернета вещей для создания локальных консоль управления правил исключения оповещений из внешней системы билетов или другой системы, которая управляет процессами обслуживания сети.

Используйте API maintenanceWindow (создание исключений оповещений), чтобы определить датчики, подсистемы аналитики, время начала и время окончания, чтобы применить правило. Правила исключения, созданные с помощью API, отображаются в локальной консоль управления только для чтения.

Дополнительные сведения см . в справочнике по API Defender для Интернета вещей.

Разрешить подключения к Интернету в сети OT

Уменьшите количество несанкционированных оповещений в Интернете, создав список разрешений доменных имен на датчике OT. При настройке списка разрешений DNS датчик проверка каждую несанкционированную попытку подключения к Интернету перед активацией оповещения. Если полное доменное имя домена входит в список разрешений, датчик не активирует оповещение и автоматически разрешает трафик.

Все пользователи датчика OT могут просматривать настроенный список доменов в отчете интеллектуального анализа данных, включая полные доменные имена, разрешенные IP-адреса и время последнего разрешения.

Чтобы определить список разрешений DNS, выполните следующее:

  1. Войдите в датчик OT от имени администратора и выберите страницу поддержки .

  2. В поле поиска найдите DNS и найдите подсистему с описанием списка разрешений домена Интернета.

  3. Выберите "Изменить" для строки списка разрешенных доменов Интернета. Например:

    Снимок экрана: изменение конфигураций для DNS в консоли датчика.

  4. В поле "Полное доменное имя списка разрешений" области> "Изменение конфигурации" введите одно или несколько доменных имен. Разделите несколько доменных имен запятыми. Датчик не создаст оповещения для несанкционированного подключения к Интернету в настроенных доменах.

  5. Нажмите кнопку Отправить, чтобы сохранить изменения.

Чтобы просмотреть текущий список разрешений в отчете интеллектуального анализа данных, выполните следующие действия.

При выборе категории в пользовательском отчете по интеллектуальному анализу данных обязательно выберите список разрешений домена Интернета в категории DNS .

Например:

Снимок экрана: создание пользовательского отчета интеллектуального анализа данных для списка разрешений в консоли датчика.

В созданном отчете интеллектуального анализа данных отображается список разрешенных доменов и каждого IP-адреса, разрешаемого для этих доменов. Отчет также включает TTL в секундах, в течение которых эти IP-адреса не будут активировать оповещение о подключении к Интернету. Например:

Снимок экрана: отчет о интеллектуальном анализе данных в списке разрешений в консоли датчика.

Создание комментариев оповещений на датчике OT

  1. Войдите в датчик OT и выберите "Комментарии к оповещениям мониторинга>System Параметры> Network".

  2. В области "Комментарии оповещений" в поле "Описание" введите новый комментарий и нажмите кнопку "Добавить". Новый комментарий появится в списке "Описание " под полем.

    Например:

    Снимок экрана: панель комментариев оповещений на датчике OT.

  3. Нажмите кнопку "Отправить ", чтобы добавить комментарий в список доступных комментариев в каждом оповещении датчика.

Пользовательские комментарии доступны в каждом оповещении датчика для добавления участников команды. Дополнительные сведения см. в разделе "Добавление комментариев оповещений".

Создание пользовательских правил генерации оповещений на датчике OT

Добавьте настраиваемые правила генерации оповещений для определенных действий в сети, которые не охватываются встроенными функциями.

Например, для среды под управлением MODBUS можно добавить правило для обнаружения любых записанных команд в регистр памяти для определенного IP-адреса и назначения Ethernet.

Чтобы создать настраиваемое правило генерации оповещений:

  1. Войдите в датчик OT и выберите "Настраиваемые правила генерации оповещений>" и "Создать правило".

  2. В области создания настраиваемого правила генерации оповещений определите следующие поля:

    Имя Описание
    Имя оповещения Введите понятное имя для оповещения.
    Протокол оповещений Выберите протокол, который нужно обнаружить.
    В определенных случаях выберите один из следующих протоколов:

    — Для события обработки данных или структуры базы данных выберите TNS или TDS.
    — Для события файла выберите HTTP, DELTAV, S МБ или FTP в зависимости от типа файла.
    — Для события скачивания пакета выберите HTTP.
    — Для события открытых портов (удаленных) выберите TCP или UDP в зависимости от типа порта.

    Чтобы создать правила, отслеживающие определенные изменения в одном из протоколов OT, например S7 или CIP, используйте все параметры, найденные в этом протоколе, например tag или sub-function.
    Сообщение Определите сообщение, которое нужно отображать при активации оповещения. Сообщения с предупреждениями поддерживают алфавитно-цифровые символы и все обнаруженные переменные трафика.

    Например, может потребоваться включить обнаруженные исходный и конечный адреса. Чтобы добавить переменные в сообщение оповещения, используйте фигурные скобки ({}).
    Направление Введите исходный или конечный IP-адрес, по которому нужно обнаружить трафик.
    Условия Определите одно или несколько условий, которые должны быть выполнены для активации оповещения.

    — Выберите + знак, чтобы создать набор условий с несколькими условиями, которые используют оператор AND . Знак + включен только после выбора значения протокола генерации оповещений.
    — При выборе MAC-адреса или IP-адреса в качестве переменной необходимо преобразовать значение из точечного десятичного адреса в десятичный формат.

    Чтобы создать настраиваемое правило генерации оповещений, необходимо добавить хотя бы одно условие.
    Обнаружены Определите дату и/или диапазон времени для трафика, который нужно обнаружить. Настройте диапазон дней и времени, чтобы соответствовать часам обслуживания или задать рабочие часы.
    Действие Определите действие, которое должно автоматически выполняться Defender для Интернета вещей при активации оповещения.
    Создайте оповещение или событие Defender для Интернета вещей с указанным уровнем серьезности.
    PCAP включен Если вы выбрали для создания события, снимите параметр PCAP, включенный по мере необходимости. Если вы решили создать оповещение, PCAP всегда включается и не может быть удален.

    Например:

    Снимок экрана: панель

  3. Нажмите кнопку "Сохранить ", когда вы закончите сохранить правило.

Изменение настраиваемого правила генерации оповещений

Чтобы изменить настраиваемое правило генерации оповещений, выберите правило, а затем в меню "Параметры" (...) выберите пункт >Изменить. При необходимости измените правило генерации оповещений и сохраните изменения.

Изменения, внесенные в пользовательские правила генерации оповещений, например изменение уровня серьезности или протокола, отслеживаются на странице "Событие временная шкала" на датчике OT.

Дополнительные сведения см. в разделе Отслеживание действий датчика.

Отключение, включение или удаление пользовательских правил генерации оповещений

Отключите пользовательские правила генерации оповещений, чтобы предотвратить их работу без их удаления.

На странице "Пользовательские правила генерации оповещений" выберите одно или несколько правил, а затем выберите "Отключить", "Включить" или "Удалить" на панели инструментов по мере необходимости.

Создание правил исключения оповещений в локальной консоль управления

Создайте правила исключения оповещений, чтобы указать датчикам игнорировать определенный трафик в сети, который в противном случае активирует оповещение.

Например, если вы знаете, что все устройства OT, отслеживаемые определенным датчиком, будут проходить через процедуры обслуживания в течение двух дней, определите правило исключения, которое предписывает Defender для Интернета вещей подавлять оповещения, обнаруженные этим датчиком в течение предопределенного периода.

Чтобы создать правило исключения оповещений:

  1. Войдите в локальную консоль управления и выберите исключение оповещений в меню слева.

  2. На странице исключения оповещений нажмите + кнопку в правом верхнем углу, чтобы добавить новое правило.

  3. В диалоговом окне "Создание правила исключения" введите следующие сведения:

    Имя Описание
    Имя Введите понятное имя правила. Имя не может содержать кавычки (").
    По периоду времени Выберите часовой пояс и определенный период времени, который требуется активировать правило исключения, а затем нажмите кнопку ADD.

    Используйте этот параметр для создания отдельных правил для разных часовых поясов. Например, может потребоваться применить правило исключения с 8:00 по 10:00 в трех различных часовых поясах. В таком случае создайте три отдельных правила исключения, в которых будет указан один и тот же период времени и соответствующие часовые пояса.
    По адресу устройства Выберите и введите следующие значения, а затем нажмите кнопку ADD:

    — Выберите, является ли указанное устройство источником, назначением или исходным и целевым устройством.
    — выберите, является ли адрес IP-адресом, MAC-адресом или подсетью.
    — Введите значение IP-адреса, MAC-адреса или подсети.
    По заголовку оповещения Выберите одно или несколько оповещений, которые нужно добавить в правило исключения, а затем нажмите кнопку ADD. Чтобы найти названия оповещений, введите все или часть заголовка оповещения и выберите нужный из раскрывающегося списка.
    По имени датчика Выберите один или несколько датчиков, которые нужно добавить в правило исключения, а затем нажмите кнопку ADD. Чтобы найти имена датчиков, введите все или часть имени датчика и выберите нужный из раскрывающегося списка.

    Внимание

    Правила исключения оповещений основаны AND , что означает, что оповещения исключаются только при соблюдении всех условий правила. Если условие правила не определено, все параметры включаются. Например, если в правило не указано имя датчика, правило применяется ко всем датчикам.

    Сводка параметров правила отображается в нижней части диалогового окна.

  4. Проверьте сводку правил, показанную в нижней части диалогового окна "Создание правила исключения", а затем нажмите кнопку SAVE

Создание правил исключения оповещений с помощью API

Используйте API Defender для Интернета вещей для создания правил исключения оповещений из внешней системы билетов или другой системы, которая управляет процессами обслуживания сети.

Используйте API maintenanceWindow (создание исключений оповещений), чтобы определить датчики, подсистемы аналитики, время начала и время окончания, чтобы применить правило. Правила исключения, созданные с помощью API, отображаются в локальной консоль управления только для чтения.

Дополнительные сведения см . в справочнике по API Defender для Интернета вещей.

Следующие шаги

Оповещения Microsoft Defender для Интернета вещей