Пересылка сведений о оповещении OT в локальной среде
Оповещения Microsoft Defender для Интернета вещей повышают безопасность сети и операции с подробными сведениями о событиях, зарегистрированных в сети в режиме реального времени. Оповещения OT активируются, когда сетевые датчики OT обнаруживают изменения или подозрительные действия в сетевом трафике, который требует вашего внимания.
В этой статье описывается настройка датчика OT или локального консоль управления для пересылки оповещений в партнерские службы, серверы системного журнала, адреса электронной почты и многое другое. Сведения о переадресации оповещений включают такие сведения:
- Дата и время оповещения
- Подсистема, обнаружившая событие
- Заголовок оповещения и описательное сообщение
- Серьезность оповещения
- Имя и IP-адрес исходного и целевого объекта
- Обнаружен подозрительный трафик
- – отключенных датчиках;
- – сбоях при удаленном резервном копировании.
Примечание.
Правила переадресации оповещений выполняются только при активации оповещений после создания правила пересылки. Оповещения, уже созданные в системе до создания правила пересылки, не затрагиваются правилом.
Необходимые компоненты
В зависимости от того, где вы хотите создать правила пересылки оповещений, необходимо установить сетевой датчик OT или локальный консоль управления с доступом как Администратор пользователя.
Дополнительные сведения см. в разделе "Установка программного обеспечения мониторинга без агента OT" и локальных пользователей и ролей для мониторинга OT с помощью Defender для Интернета вещей.
Кроме того, необходимо определить параметры SMTP на датчике OT или локальном консоль управления.
Дополнительные сведения см. в разделе "Настройка параметров почтового сервера SMTP" на датчике OT и настройка параметров почтового сервера SMTP в локальной консоль управления.
Создание правил пересылки на датчике OT
Войдите в датчик OT и выберите "Переадресация " в меню >слева + Создать новое правило.
В области "Добавление правила пересылки" введите понятное имя правила, а затем определите условия и действия правила следующим образом:
Имя Описание Минимальный уровень оповещений Выберите минимальный уровень серьезности оповещений, который требуется перенаправить.
Например, при выборе дополнительных оповещений и любых оповещений выше этого уровня серьезности перенаправляются.Обнаружен любой протокол Переключение на перенаправление оповещений из всего трафика протокола или отключение и выбор определенных протоколов, которые требуется включить. Трафик, обнаруженный любым обработчиком Переключение на перенаправление оповещений со всех подсистем аналитики или отключение и выбор определенных обработчиков, которые требуется включить. Действия Выберите тип сервера, на который нужно перенаправить оповещения, а затем определите другие необходимые сведения для этого типа сервера.
Чтобы добавить несколько серверов в одно правило, нажмите кнопку +Добавить сервер и добавьте дополнительные сведения.
Дополнительные сведения см. в разделе "Настройка действий правила пересылки оповещений".Когда вы закончите настройку правила, нажмите кнопку "Сохранить". Правило отображается на странице пересылки .
Проверьте созданное правило:
- Выберите меню параметров (...) для сообщения о отправке тестового сообщения правила>.
- Перейдите в целевую службу, чтобы убедиться, что получена информация, отправленная датчиком.
Изменение или удаление правил пересылки на датчике OT
Чтобы изменить или удалить существующее правило:
Войдите в датчик OT и выберите "Переадресация " в меню слева.
Выберите меню параметров (...) для правила, а затем выполните одно из следующих действий:
При необходимости выберите "Изменить" и обновите поля. По завершении выберите Сохранить.
Нажмите кнопку "Удалить>да", чтобы подтвердить удаление.
Создание правил пересылки в локальной консоль управления
Чтобы создать правило переадресации в консоли управления, выполните приведенные ниже действия.
Войдите в локальную консоль управления и выберите "Переадресация" в меню слева.
+ Нажмите кнопку в правом верхнем углу, чтобы создать новое правило.
В окне "Создание правила пересылки" введите понятное имя правила, а затем определите условия и действия правила следующим образом:
Имя Описание Минимальный уровень оповещений В правом верхнем углу диалогового окна используйте раскрывающийся список, чтобы выбрать минимальный уровень серьезности оповещений, который требуется перенаправить.
Например, при выборе дополнительных оповещений и любых оповещений выше этого уровня серьезности перенаправляются.Протоколы Выберите "Все " для пересылки оповещений из всего трафика протокола или выберите "Конкретный ", чтобы добавить только определенные протоколы. Двигателей Выберите "Все " для пересылки оповещений, активированных всеми обработчиками аналитики датчиков, или выберите "Конкретные ", чтобы добавить только определенные обработчики. Системные уведомления Выберите параметр "Уведомления системы отчетов", чтобы уведомить об отключенных датчиках или сбоях удаленного резервного копирования. Уведомления Выберите параметр "Уведомления об оповещениях отчета", чтобы уведомить о дате и времени оповещения, заголовке, серьезности, исходном и целевом имени и IP-адресе, подозрительном трафике и обработчике, который обнаружил событие. Действия Нажмите кнопку "Добавить", чтобы добавить действие, чтобы применить и ввести все значения параметров, необходимые для выбранного действия. Повторите по мере необходимости, чтобы добавить несколько действий.
Дополнительные сведения см. в разделе "Настройка действий правила пересылки оповещений".Когда вы закончите настройку правила, нажмите кнопку SAVE. Правило отображается на странице пересылки .
Проверьте созданное правило:
- В строке правила нажмите
кнопку проверки этого правила пересылки. Уведомление об успешном выполнении отображается, если сообщение отправлено успешно. - Перейдите в систему партнера, чтобы убедиться, что информация, отправленная датчиком, получена.
- В строке правила нажмите
Изменение или удаление правил пересылки в локальной консоль управления
Чтобы изменить или удалить существующее правило:
Войдите в локальную консоль управления и выберите "Переадресация" в меню слева.
Найдите строку правила и нажмите кнопку
"Изменить" или
"Удалить".При редактировании правила обновите поля по мере необходимости и нажмите кнопку SAVE.
Если вы удаляете правило, нажмите кнопку "ПОДТВЕРДИТЬ ", чтобы подтвердить удаление.
Настройка действий правила пересылки оповещений
В этом разделе описывается настройка параметров для поддерживаемых действий правила пересылки на датчике OT или локальном консоль управления.
Действие с адресом электронной почты
Настройте действие электронной почты для пересылки данных оповещений на настроенный адрес электронной почты.
В области действий введите следующие сведения:
| Имя | Описание |
|---|---|
| Сервер | Выберите Сообщение электронной почты. |
| Эл. почта | Введите адрес электронной почты, в который вы хотите перенаправить оповещения. Каждое правило поддерживает один адрес электронной почты. |
| Часовой пояс | Выберите часовой пояс, который вы хотите использовать для обнаружения оповещений в целевой системе. |
Действия с сервером системного журнала
Настройте действие сервера Syslog для пересылки данных оповещений выбранному типу сервера Syslog.
В области действий введите следующие сведения:
| Имя | Описание |
|---|---|
| Сервер | Выберите один из следующих типов форматов системного журнала: - Сервер SYSLOG (формат CEF) - Сервер SYSLOG (формат LEEF) - Сервер SYSLOG (объект) - Сервер SYSLOG (текстовое сообщение) |
| Порт узла / | Введите имя узла и порт сервера системного журнала |
| Часовой пояс | Выберите часовой пояс, который вы хотите использовать для обнаружения оповещений в целевой системе. |
| Протокол | Поддерживается только для текстовых сообщений. Выберите TCP или UDP. |
| Включение шифрования | Поддерживается только для формата CEF. Переключение на настройку файла сертификата шифрования TLS, файла ключа и парольной фразы. |
В следующих разделах описан синтаксис выходных данных системного журнала для каждого формата.
Поля выходных данных в текстовом сообщении системного журнала
| Имя | Описание |
|---|---|
| Приоритет | Пользователь. Предупреждение |
| Message | Имя платформы CyberX: имя датчика. Оповещение Microsoft Defender для Интернета вещей: название оповещения. Тип: тип оповещения. Возможные типы: Нарушение протокола, Нарушение политики, Вредоносная программа, Аномалия или Рабочее. Степень серьезности: степень серьезности оповещения. Возможные степени: Предупреждение, Незначительное, Важное или Критическое. Источник: имя исходного устройства. IP-адрес источника: IP-адрес исходного устройства. Протокол (необязательно): обнаруженный исходный протокол. Адрес (необязательно): адрес исходного протокола. Назначение: имя целевого устройства. IP-адрес назначения: IP-адрес целевого устройства. Протокол (необязательно): обнаруженный протокол назначения. Адрес (необязательно): адрес целевого протокола. Сообщение: сообщение оповещения. Группа оповещений: группа оповещений, связанная с оповещением. UUID (необязательно): оповещение UUID. |
Поля выходных данных объекта syslog
| Имя | Описание |
|---|---|
| Приоритет | User.Alert |
| Дата и время | Дата и время получения сведений компьютером сервера системного журнала. |
| Hostname (Имя узла) | IP-адрес датчика |
| Message | Имя датчика: имя устройства. Время оповещения: время, когда было обнаружено оповещение: может отличаться от времени компьютера с сервером системного журнала и зависит от конфигурации часового пояса в правиле переадресации. Заголовок оповещения: заголовок оповещения. Сообщение оповещения: сообщение оповещения. Серьезность оповещения: возможны оповещения степени серьезности Предупреждение, Незначительное, Важное или Критическое. Тип оповещения: Нарушение протокола, Нарушение политики, Вредоносная программа, Аномалия или Рабочее. Протокол: протокол оповещения. Source_MAC: IP-адрес, имя, поставщик или ОС исходного устройства. Destination_MAC: IP-адрес, имя, поставщик или ОС целевого устройства. Если данные отсутствуют, значение равно N/A. alert_group: группа оповещений, связанная с оповещением. |
Поля выходных данных CEF системного журнала
| Имя | Описание |
|---|---|
| Приоритет | User.Alert |
| Дата и время | Дата и время отправки датчиком сведений в формате UTC |
| Hostname (Имя узла) | Имя узла датчика |
| Message | CEF:0 Microsoft Defender для Интернета вещей и КиберX Имя датчика Версия датчика Оповещение Microsoft Defender для Интернета вещей Название оповещения Целочисленные признаки серьезности. 1=Предупреждение, 4=Дополнительный, 8=Основной или 10=Критически важный. msg = сообщение оповещения. protocol = протокол оповещения. серьезность= предупреждение, незначительный, основной или критически важный. type= нарушение протокола, нарушение политики, вредоносные программы, аномалии или операционные функции. UUID= UUID оповещения (необязательно) start= Время обнаружения оповещения. Может отличаться от времени на компьютере с сервером системного журнала и зависит от конфигурации часового пояса в правиле переадресации. src_ip= IP-адрес исходного устройства. (Необязательно) src_mac= MAC-адрес исходного устройства. (Необязательно) dst_ip= IP-адрес целевого устройства. (Необязательно) dst_mac= MAC-адрес целевого устройства. (Необязательно) cat= Группа оповещений, связанная с оповещением. |
Поля выходных данных SYSlog LEEF
| Имя | Описание |
|---|---|
| Приоритет | User.Alert |
| Дата и время | Дата и время отправки датчиком сведений в формате UTC |
| Hostname (Имя узла) | IP-адрес датчика |
| Message | Имя датчика: имя устройства с Microsoft Defender для Интернета вещей. ЛИФ:1.0 Microsoft Defender для Интернета вещей Датчик Версия датчика Оповещение Microsoft Defender для Интернета вещей заголовок: заголовок оповещения. msg: сообщение оповещения. протокол: протокол оповещения. серьезность: Предупреждение, Незначительное, Важное или Критическое. тип: тип оповещения: Нарушение протокола, Нарушение политики, Вредоносная программа, Аномалия или Рабочее. начало: время оповещения. Он может отличаться от времени компьютера сервера системного журнала и зависит от конфигурации часового пояса. src_ip: IP-адрес исходного устройства. dst_ip: IP-адрес целевого устройства. cat: группа оповещений, связанная с оповещением. |
Действие сервера веб-перехватчика
Поддерживается только из локального консоль управления
Настройте действие веб-перехватчика, чтобы настроить интеграцию, которая подписывается на события оповещений Defender для Интернета вещей. Например, отправьте данные оповещений на сервер веб-перехватчика для обновления внешней системы SIEM, системы SOAR или системы управления инцидентами.
При настройке оповещений, которые будут перенаправляться на сервер веб-перехватчика и активируется событие генерации оповещений, локальная консоль управления отправляет полезные данные HTTP POST в настроенный URL-адрес веб-перехватчика.
В области действий введите следующие сведения:
| Имя | Описание |
|---|---|
| Сервер | Выберите веб-перехватчик. |
| URL-адрес | Введите URL-адрес сервера веб-перехватчика. |
| Ключ / значение | Введите пары "ключ-значение", чтобы настроить заголовок HTTP по мере необходимости. Поддерживаемые символы включают: - Ключи могут содержать только буквы, цифры, дефисы и символы подчеркивания. - Значения могут содержать только одно начальное и /или конечное пространство. |
Расширенный веб-перехватчик
Поддерживается только из локального консоль управления
Настройте расширенное действие веб-перехватчика для отправки следующих дополнительных данных на сервер веб-перехватчика:
- sensorID
- sensorName
- zoneID
- zoneName
- siteID
- siteName
- sourceDeviceAddress
- destinationDeviceAddress
- remediationSteps
- handled
- additionalInformation
В области действий введите следующие сведения:
| Имя | Описание |
|---|---|
| Сервер | Выберите расширенный веб-перехватчик. |
| URL-адрес | Введите URL-адрес данных конечной точки. |
| Ключ / значение | Введите пары "ключ-значение", чтобы настроить заголовок HTTP по мере необходимости. Поддерживаемые символы включают: - Ключи могут содержать только буквы, цифры, дефисы и символы подчеркивания. - Значения могут содержать только одно начальное и /или конечное пространство. |
Действие NetWitness
Настройте действие NetWitness для отправки сведений об оповещении на сервер NetWitness.
В области действий введите следующие сведения:
| Имя | Описание |
|---|---|
| Сервер | Выберите NetWitness. |
| Имя узла / порт | Введите имя узла и порт сервера NetWitness. |
| Часовой пояс | Введите часовой пояс, который вы хотите использовать в метке времени для обнаружения оповещений в SIEM. |
Настройка правил пересылки для интеграции партнеров
Вы можете интегрировать Defender для Интернета вещей с партнерской службой для отправки сведений об оповещении или инвентаризации устройств в другую систему безопасности или управления устройствами или взаимодействовать с брандмауэрами на стороне партнера.
Интеграция партнеров может помочь преодолеть ранее разложенные решения по безопасности, повысить видимость устройств и ускорить реагирование системы на более быстрое снижение рисков.
В таких случаях используйте поддерживаемые действия для ввода учетных данных и других сведений, необходимых для взаимодействия с интегрированными партнерскими службами.
Дополнительные сведения см. в разделе:
- Интеграция Fortinet с Microsoft Defender для Интернета вещей
- Интеграция Qradar с Microsoft Defender для Интернета вещей
Настройка групп оповещений в партнерских службах
При настройке правил пересылки для отправки данных оповещений на серверы Syslog, QRadar и ArcSight группы оповещений автоматически применяются и доступны на этих серверах партнеров.
Группы оповещений помогают командам SOC использовать эти партнерские решения для управления оповещениями на основе корпоративных политик безопасности и бизнес-приоритетов. Например, оповещения о новых обнаружениях организованы в группу обнаружения , которая включает в себя все оповещения о новых устройствах, виртуальных локальных сетях, учетных записях пользователей, MAC-адресах и т. д.
Группы оповещений отображаются в партнерских службах со следующими префиксами:
| Префикс | Служба партнера |
|---|---|
cat |
QRadar, ArcSight, Syslog CEF, Syslog LEEF |
Alert Group |
Текстовые сообщения системного журнала |
alert_group |
Объекты системного журнала |
Чтобы использовать группы оповещений в интеграции, обязательно настройте партнерские службы для отображения имени группы оповещений.
По умолчанию оповещения группируются следующим образом:
- Аномальное поведение связи
- Настраиваемые оповещения
- Удаленный доступ.
- Аномальное поведение связи по HTTP
- Обнаружение
- Команды перезапуска и остановки
- Проверка подлинности
- Изменение встроенного ПО
- Сканировать
- Несанкционированное поведение связи
- Недопустимые команды
- Датчик трафика
- Аномалии пропускной способности
- Доступ к Интернету
- Подозрение на наличие вредоносной программы
- Переполнение буфера
- Сбой при выполнении операции
- Подозрение на наличие вредоносных действий
- Сбои команд
- Проблемы с работоспособностью
- Изменения конфигурации
- Программирование
Для получения дополнительных сведений и создания настраиваемых групп оповещений обратитесь к служба поддержки Майкрософт.
Устранение неполадок с правилами пересылки
Если правила пересылки оповещений не работают должным образом, проверка следующие сведения:
Проверка сертификата. Правила пересылки для syslog CEF, Microsoft Sentinel и QRadar поддерживают шифрование и проверку сертификатов.
Если датчики OT или локальные консоль управления настроены для проверки сертификатов и не удается проверить сертификат, оповещения не перенаправляются.
В таких случаях датчик или локальный консоль управления является клиентом и инициатором сеанса. Сертификаты обычно получают от сервера или используют асимметричное шифрование, где для настройки интеграции предоставляется конкретный сертификат.
Правила исключения оповещений. Если в локальной консоль управления настроены правила исключения, датчики могут игнорировать оповещения, которые вы пытаетесь пересылать. Дополнительные сведения см. в разделе "Создание правил исключения оповещений" в локальной консоль управления.