Vidarebefordra information om lokala OT-aviseringar

Microsoft Defender för IoT-aviseringar förbättrar nätverkets säkerhet och åtgärder med realtidsinformation om händelser som loggas i nätverket. OT-aviseringar utlöses när OT-nätverkssensorer identifierar ändringar eller misstänkt aktivitet i nätverkstrafik som behöver din uppmärksamhet.

Den här artikeln beskriver hur du konfigurerar din OT-sensor eller lokala hanteringskonsol för att vidarebefordra aviseringar till partnertjänster, syslog-servrar, e-postadresser med mera. Vidarebefordrad aviseringsinformation innehåller information som:

  • Datum och tid för aviseringen
  • Motor som identifierade händelsen
  • Aviseringsrubrik och beskrivande meddelande
  • Allvarlighetsgrad för avisering
  • Käll- och målnamn och IP-adress
  • Misstänkt trafik har identifierats
  • Frånkopplade sensorer
  • Fel vid fjärrsäkerhetskopiering

Kommentar

Vidarebefordran av aviseringsregler körs endast på aviseringar som utlöses när vidarebefordringsregeln har skapats. Aviseringar som redan finns i systemet från innan vidarebefordringsregeln skapades påverkas inte av regeln.

Förutsättningar

Skapa regler för vidarebefordran på en OT-sensor

  1. Logga in på OT-sensorn och välj Vidarebefordran på den vänstra menyn >+ Skapa ny regel.

  2. I fönstret Lägg till vidarebefordringsregel anger du ett beskrivande regelnamn och definierar sedan regelvillkor och åtgärder enligt följande:

    Name beskrivning
    Minimal aviseringsnivå Välj den lägsta allvarlighetsgrad för aviseringar som du vill vidarebefordra.

    Om du till exempel väljer Mindre vidarebefordras mindre aviseringar och eventuella aviseringar över den här allvarlighetsnivån.
    Alla protokoll har identifierats Växla på för att vidarebefordra aviseringar från all protokolltrafik eller växla av och välj de specifika protokoll som du vill inkludera.
    Trafik identifierad av alla motorer Växla på för att vidarebefordra aviseringar från alla analysmotorer, eller växla bort och välj de specifika motorer som du vill inkludera.
    Åtgärder Välj den typ av server som du vill vidarebefordra aviseringar till och definiera sedan annan nödvändig information för den servertypen.

    Om du vill lägga till flera servrar i samma regel väljer du + Lägg till server och lägger till mer information.

    Mer information finns i Konfigurera regelåtgärder för vidarebefordran av aviseringar.
  3. När du är klar med att konfigurera regeln väljer du Spara. Regeln visas på sidan Vidarebefordran .

  4. Testa regeln som du har skapat:

    1. Välj alternativmenyn (...) för regeln >Skicka testmeddelande.
    2. Gå till måltjänsten för att kontrollera att informationen som skickades av sensorn togs emot.

Redigera eller ta bort vidarebefordransregler på en OT-sensor

Så här redigerar eller tar du bort en befintlig regel:

  1. Logga in på OT-sensorn och välj Vidarebefordran på den vänstra menyn.

  2. Välj alternativmenyn (...) för regeln och gör sedan något av följande:

Skapa vidarebefordransregler i en lokal hanteringskonsol

Så här skapar du en vidarebefordringsregel i hanteringskonsolen:

  1. Logga in på den lokala hanteringskonsolen och välj Vidarebefordran på den vänstra menyn.

  2. + Välj knappen längst upp till höger för att skapa en ny regel.

  3. I fönstret Skapa vidarebefordransregel anger du ett beskrivande namn för regeln och definierar sedan regelvillkor och åtgärder enligt följande:

    Name beskrivning
    Minimal aviseringsnivå Längst upp till höger i dialogrutan använder du listrutan för att välja den lägsta allvarlighetsgrad för aviseringar som du vill vidarebefordra.

    Om du till exempel väljer Mindre vidarebefordras mindre aviseringar och eventuella aviseringar över den här allvarlighetsnivån.
    Protokoll Välj Alla om du vill vidarebefordra aviseringar från all protokolltrafik eller välj Specifik för att endast lägga till specifika protokoll.
    Motorer Välj Alla för att vidarebefordra aviseringar som utlöses av alla sensoranalysmotorer eller välj Specifik för att endast lägga till specifika motorer.
    Systemaviseringar Välj alternativet Rapportera systemaviseringar för att meddela om frånkopplade sensorer eller fel vid fjärrsäkerhetskopiering.
    Aviseringsaviseringar Välj alternativet Rapportaviseringar för att meddela om en aviserings datum och tid, rubrik, allvarlighetsgrad, käll- och målnamn och IP-adress, misstänkt trafik och motorn som identifierade händelsen.
    Åtgärder Välj Lägg till för att lägga till en åtgärd som ska tillämpas och ange de parametrar som krävs för den valda åtgärden. Upprepa efter behov för att lägga till flera åtgärder.

    Mer information finns i Konfigurera regelåtgärder för vidarebefordran av aviseringar.
  4. När du är klar med att konfigurera regeln väljer du SPARA. Regeln visas på sidan Vidarebefordran .

  5. Testa regeln som du har skapat:

    1. På raden för regeln väljer du knappen testa den här vidarebefordranregeln . Ett meddelande visas om meddelandet har skickats.
    2. Gå till ditt partnersystem för att kontrollera att informationen som skickades av sensorn togs emot.

Redigera eller ta bort vidarebefordransregler i en lokal hanteringskonsol

Så här redigerar eller tar du bort en befintlig regel:

  1. Logga in på den lokala hanteringskonsolen och välj Vidarebefordran på den vänstra menyn.

  2. Leta upp raden för regeln och välj sedan knappen Redigera eller Ta bort.

Konfigurera regelåtgärder för vidarebefordran av aviseringar

I det här avsnittet beskrivs hur du konfigurerar inställningar för vidarebefordran av regelåtgärder som stöds, antingen på en OT-sensor eller den lokala hanteringskonsolen.

E-postadressåtgärd

Konfigurera en e-poståtgärd för att vidarebefordra aviseringsdata till den konfigurerade e-postadressen.

I området Åtgärder anger du följande information:

Name beskrivning
Server Välj E-postmeddelande.
E-post Ange den e-postadress som du vill vidarebefordra aviseringarna till. Varje regel stöder en enda e-postadress.
Tidszon Välj den tidszon som du vill använda för aviseringsidentifieringen i målsystemet.

Syslog-serveråtgärder

Konfigurera en Syslog-serveråtgärd för att vidarebefordra aviseringsdata till den valda typen av Syslog-server.

I området Åtgärder anger du följande information:

Name beskrivning
Server Välj någon av följande typer av syslog-format:

- SYSLOG Server (CEF-format)
- SYSLOG Server (LEEF-format)
- SYSLOG Server (objekt)
- SYSLOG Server (textmeddelande)
Värdport / Ange syslog-serverns värdnamn och port
Tidszon Välj den tidszon som du vill använda för aviseringsidentifieringen i målsystemet.
Protokoll Stöds endast för textmeddelanden. Välj TCP eller UDP.
Aktivera kryptering Stöds endast för CEF-format. Växla på för att konfigurera en TLS-krypteringscertifikatfil, nyckelfil och lösenfras.

I följande avsnitt beskrivs syslog-utdatasyntaxen för varje format.

Utdatafält för Syslog-textmeddelande

Name beskrivning
Prioritet Användare. Varning
Meddelande CyberX-plattformsnamn: Sensornamnet.
Microsoft Defender för IoT-avisering: Aviseringens rubrik.
Typ: Typen av avisering. Kan vara protokollöverträdelse, principöverträdelse, skadlig kod, avvikelse eller drift.
Allvarlighetsgrad: Aviseringens allvarlighetsgrad. Kan vara Varning, Mindre, Större eller Kritisk.
Källa: Källans enhetsnamn.
Käll-IP: Källenhetens IP-adress.
Protokoll (valfritt): Det identifierade källprotokollet.
Adress (valfritt): Källans protokolladress.
Mål: Målenhetens namn.
Mål-IP: IP-adressen för målenheten.
Protokoll (valfritt): Det identifierade målprotokollet.
Adress (valfritt): Målprotokolladressen.
Meddelande: Meddelandet om aviseringen.
Aviseringsgrupp: Aviseringsgruppen som är associerad med aviseringen.
UUID (valfritt): UUID-aviseringen.

Utdatafält för Syslog-objekt

Name beskrivning
Prioritet User.Alert
Datum och tid Datum och tid då syslog-serverdatorn tog emot informationen.
Värdnamn Sensor-IP
Meddelande Sensornamn: Namnet på installationen.
Aviseringstid: Den tid då aviseringen identifierades: Kan variera från tidpunkten för syslog-serverdatorn och beror på tidszonskonfigurationen för vidarebefordringsregeln.
Aviseringsrubrik: Aviseringens rubrik.
Aviseringsmeddelande: Meddelandet om aviseringen.
Allvarlighetsgrad för avisering: Allvarlighetsgraden för aviseringen: Varning, Mindre, Större eller Kritisk.
Aviseringstyp: Protokollöverträdelse, principöverträdelse, skadlig kod, avvikelse eller drift.
Protokoll: Protokollet för aviseringen.
Source_MAC: IP-adress, namn, leverantör eller operativsystem för källenheten.
Destination_MAC: IP-adress, namn, leverantör eller operativsystem för målet. Om data saknas är värdet N/A.
alert_group: Aviseringsgruppen som är associerad med aviseringen.

Syslog CEF-utdatafält

Name beskrivning
Prioritet User.Alert
Datum och tid Datum och tid då sensorn skickade informationen i UTC-format
Värdnamn Sensorvärdnamn
Meddelande CEF:0
Microsoft Defender för IoT/CyberX
Sensornamn
Sensorversion
Microsoft Defender för IoT-avisering
Aviseringsrubrik
Heltalsindikator för allvarlighetsgrad. 1=Varning, 4=Mindre, 8=Större eller 10=Kritisk.
msg= Meddelandet om aviseringen.
protocol= Protokollet för aviseringen.
severity= Warning, Minor, Major eller Critical.
type= Protokollöverträdelse, principöverträdelse, skadlig kod, avvikelse eller drift.
UUID= UUID för aviseringen (valfritt)
start= Den tid då aviseringen identifierades.
Kan variera från tidpunkten för syslog-serverdatorn och beror på tidszonskonfigurationen för vidarebefordringsregeln.
src_ip= IP-adress för källenheten. (Valfritt)
src_mac= MAC-adressen för källenheten. (Valfritt)
dst_ip= IP-adress för målenheten. (Valfritt)
dst_mac= MAC-adressen för målenheten. (Valfritt)
cat= Aviseringsgruppen som är associerad med aviseringen.

Syslog LEEF-utdatafält

Name beskrivning
Prioritet User.Alert
Datum och tid Datum och tid då sensorn skickade informationen i UTC-format
Värdnamn Sensor-IP
Meddelande Sensornamn: Namnet på Microsoft Defender för IoT-installationen.
LEEF:1.0
Microsoft Defender för IoT
Sensor
Sensorversion
Microsoft Defender för IoT-avisering
title: Aviseringens rubrik.
msg: Meddelandet om aviseringen.
protokoll: Protokollet för aviseringen.
allvarlighetsgrad: Varning, Mindre, Större eller Kritisk.
typ: Typen av avisering: Protokollöverträdelse, Principöverträdelse, Skadlig kod, avvikelse eller drift.
start: Tidpunkten för aviseringen. Det kan skilja sig från tidpunkten för syslog-serverdatorn och beror på tidszonskonfigurationen.
src_ip: KÄLLENHETENs IP-adress.
dst_ip: MÅLenhetens IP-adress.
cat: Aviseringsgruppen som är associerad med aviseringen.

Webhook-serveråtgärd

Stöds endast från den lokala hanteringskonsolen

Konfigurera en Webhook-åtgärd för att konfigurera en integrering som prenumererar på Defender för IoT-aviseringshändelser. Skicka till exempel aviseringsdata till en webhook-server för att uppdatera ett externt SIEM-system, SOAR-system eller incidenthanteringssystem.

När du har konfigurerat aviseringar som ska vidarebefordras till en webhook-server och en aviseringshändelse utlöses, skickar den lokala hanteringskonsolen en HTTP POST-nyttolast till den konfigurerade webhooks-URL:en.

I området Åtgärder anger du följande information:

Name beskrivning
Server Välj Webhook.
URL Ange webhook-serverns URL.
Nyckel/värde Ange nyckel/värde-par för att anpassa HTTP-huvudet efter behov. Exempel på tecken som stöds är:
- Nycklar kan bara innehålla bokstäver, siffror, bindestreck och understreck.
- Värden kan bara innehålla ett inledande och/eller avslutande blanksteg.

Webhook utökad

Stöds endast från den lokala hanteringskonsolen

Konfigurera en utökad Webhook-åtgärd för att skicka följande extra data till webhook-servern:

  • sensorID
  • sensorName
  • Zonid
  • Zonnamn
  • siteID
  • Platsnamn
  • sourceDeviceAddress
  • destinationDeviceAddress
  • remediationSteps
  • Hanteras
  • additionalInformation

I området Åtgärder anger du följande information:

Name beskrivning
Server Välj Webhook extended (Webhook extended).
URL Ange url:en för slutpunktsdata.
Nyckel/värde Ange nyckel/värde-par för att anpassa HTTP-huvudet efter behov. Exempel på tecken som stöds är:
- Nycklar kan bara innehålla bokstäver, siffror, bindestreck och understreck.
- Värden kan bara innehålla ett inledande och/eller avslutande blanksteg.

NetWitness-åtgärd

Konfigurera en NetWitness-åtgärd för att skicka aviseringsinformation till en NetWitness-server.

I området Åtgärder anger du följande information:

Name beskrivning
Server Välj NetWitness.
Värdnamn/port Ange NetWitness-serverns värdnamn och port.
Tidszon Ange den tidszon som du vill använda i tidsstämpeln för aviseringsidentifieringen i SIEM.

Konfigurera vidarebefordransregler för partnerintegreringar

Du kanske integrerar Defender för IoT med en partnertjänst för att skicka aviserings- eller enhetsinventeringsinformation till ett annat säkerhets- eller enhetshanteringssystem eller för att kommunicera med brandväggar på partnersidan.

Partnerintegreringar kan hjälpa till att överbrygga tidigare silobaserade säkerhetslösningar, förbättra enhetens synlighet och påskynda systemomfattande åtgärder för att snabbare minska riskerna.

I sådana fall använder du åtgärder som stöds för att ange autentiseringsuppgifter och annan information som krävs för att kommunicera med integrerade partnertjänster.

Mer information finns i:

Konfigurera aviseringsgrupper i partnertjänster

När du konfigurerar vidarebefordransregler för att skicka aviseringsdata till Syslog-servrar, QRadar och ArcSight tillämpas aviseringsgrupper automatiskt och är tillgängliga på dessa partnerservrar.

Aviseringsgrupper hjälper SOC-team att använda dessa partnerlösningar för att hantera aviseringar baserat på företagets säkerhetsprinciper och affärsprioriteringar. Till exempel ordnas aviseringar om nya identifieringar i en identifieringsgrupp , som innehåller eventuella aviseringar om nya enheter, VLAN, användarkonton, MAC-adresser med mera.

Aviseringsgrupper visas i partnertjänster med följande prefix:

Prefix Partnertjänst
cat QRadar, ArcSight, Syslog CEF, Syslog LEEF
Alert Group Syslog-textmeddelanden
alert_group Syslog-objekt

Om du vill använda aviseringsgrupper i integreringen måste du konfigurera dina partnertjänster så att de visar aviseringsgruppens namn.

Som standard grupperas aviseringar på följande sätt:

  • Onormalt kommunikationsbeteende
  • Anpassade aviseringar
  • Fjärråtkomst
  • Onormalt HTTP-kommunikationsbeteende
  • Identifiering
  • Starta om och stoppa kommandon
  • Autentisering
  • Ändring av inbyggd programvara
  • Skanna
  • Otillåtet kommunikationsbeteende
  • Otillåtna kommandon
  • Sensortrafik
  • Bandbreddsavvikelser
  • Internetåtkomst
  • Misstanke om skadlig kod
  • Buffertspill
  • Åtgärdsfel
  • Misstanke om skadlig aktivitet
  • Kommandofel
  • Driftsproblem
  • Konfigurationsändringar
  • Programmering

Kontakta Microsoft Support om du vill ha mer information och skapa anpassade aviseringsgrupper.

Felsöka regler för vidarebefordran

Om dina aviseringsregler för vidarebefordran inte fungerar som förväntat kontrollerar du följande information:

  • Certifikatverifiering. Vidarebefordringsregler för Syslog CEF, Microsoft Sentinel och QRadar stöder kryptering och certifikatverifiering.

    Om dina OT-sensorer eller den lokala hanteringskonsolen är konfigurerade för att verifiera certifikat och certifikatet inte kan verifieras vidarebefordras inte aviseringarna.

    I dessa fall är sensorn eller den lokala hanteringskonsolen sessionens klient och initierare. Certifikat tas vanligtvis emot från servern eller använder asymmetrisk kryptering, där ett specifikt certifikat tillhandahålls för att konfigurera integreringen.

  • Regler för aviseringsundantag. Om du har undantagsregler konfigurerade i den lokala hanteringskonsolen kanske dina sensorer ignorerar de aviseringar som du försöker vidarebefordra. Mer information finns i Skapa regler för aviseringsundantag i en lokal hanteringskonsol.

Nästa steg