Microsoft Defender för IoT-aviseringar
Microsoft Defender för IoT-aviseringar förbättrar nätverkets säkerhet och åtgärder med realtidsinformation om händelser som loggas i nätverket. Aviseringar utlöses när OT-nätverkssensorer identifierar ändringar eller misstänkt aktivitet i nätverkstrafik som behöver din uppmärksamhet.
Till exempel:
Använd informationen som visas på sidan Aviseringar , eller på en aviseringsinformationssida, för att undersöka och vidta åtgärder som åtgärdar eventuella risker för nätverket, antingen från relaterade enheter eller nätverksprocessen som utlöste aviseringen.
Dricks
Använd åtgärdssteg för aviseringar för att hjälpa SOC-teamen att förstå möjliga problem och lösningar. Vi rekommenderar att du granskar rekommenderade reparationssteg innan du uppdaterar en aviseringsstatus eller vidtar åtgärder på enheten eller nätverket.
Alternativ för aviseringshantering
Defender for IoT-aviseringar är tillgängliga i Azure-portalen, OT-nätverkssensorkonsoler och den lokala hanteringskonsolen. Med Enterprise IoT-säkerhet är aviseringar också tillgängliga för Enterprise IoT-enheter som identifierats av Defender för Endpoint i Microsoft 365 Defender.
Du kan visa aviseringsinformation, undersöka aviseringskontext och sortera och hantera aviseringsstatusar från någon av dessa platser, men varje plats erbjuder även extra aviseringsåtgärder. I följande tabell beskrivs de aviseringar som stöds för varje plats och de extra åtgärder som endast är tillgängliga från den platsen:
| Plats | beskrivning | Extra aviseringsåtgärder |
|---|---|---|
| Azure-portalen | Aviseringar från alla molnanslutna OT-sensorer | – Visa relaterade MITRE ATT&CK-taktiker och tekniker – Använd färdiga arbetsböcker för att få insyn i aviseringar med hög prioritet – Visa aviseringar från Microsoft Sentinel och kör djupare undersökningar med Microsoft Sentinel-spelböcker och arbetsböcker. |
| OT-nätverkssensorkonsoler | Aviseringar som genereras av ot-sensorn | – Visa aviseringens källa och mål på enhetskartan – Visa relaterade händelser på händelsetidslinjen – Vidarebefordra aviseringar direkt till partnerleverantörer – Skapa aviseringskommentar – Skapa anpassade aviseringsregler – Aviseringar som inte är läsna |
| En lokal hanteringskonsol | Aviseringar som genereras av anslutna OT-sensorer | – Vidarebefordra aviseringar direkt till partnerleverantörer – Skapa regler för aviseringsundantag |
| Microsoft 365 Defender | Aviseringar som genererats för Enterprise IoT-enheter som identifierats av Microsoft Defender för Endpoint | – Hantera aviseringsdata tillsammans med andra Microsoft 365 Defender-data, inklusive avancerad jakt |
Dricks
Alla aviseringar som genereras från olika sensorer i samma zon inom en tidsram på 10 minuter, med samma typ, status, aviseringsprotokoll och associerade enheter, visas som en enda enhetlig avisering.
- Tidsramen på 10 minuter baseras på aviseringens första identifieringstid .
- Den enda enhetliga aviseringen visar en lista över alla sensorer som identifierade aviseringen.
- Aviseringar kombineras baserat på aviseringsprotokollet och inte enhetsprotokollet.
Mer information finns i:
- Kvarhållning av aviseringsdata
- Påskynda arbetsflöden för OT-aviseringar
- Aviseringsstatusar och alternativ för sortering
- Planera OT-webbplatser och zoner
Aviseringsalternativen varierar också beroende på din plats och användarroll. Mer information finns i Användarroller och behörigheter för Azure och Lokala användare och roller.
Fokuserade aviseringar i OT/IT-miljöer
Organisationer där sensorer distribueras mellan OT- och IT-nätverk hanterar många aviseringar, relaterade till både OT- och IT-trafik. Mängden aviseringar, varav vissa är irrelevanta, kan orsaka varningströtthet och påverka övergripande prestanda. För att hantera dessa utmaningar styr Defender for IoT:s identifieringsprincip sina olika aviseringsmotorer för att fokusera på aviseringar med affärspåverkan och relevans för ett OT-nätverk och minska IT-relaterade aviseringar med lågt värde. Till exempel är aviseringen obehörig internetanslutning mycket relevant i ett OT-nätverk, men har relativt lågt värde i ett IT-nätverk.
Om du vill fokusera aviseringarna som utlöses i dessa miljöer utlöser alla aviseringsmotorer, förutom motorn för skadlig kod , endast aviseringar om de identifierar ett relaterat OT-undernät eller protokoll. Men för att upprätthålla utlösande av aviseringar som indikerar kritiska scenarier:
- Malware-motorn utlöser aviseringar om skadlig kod oavsett om aviseringarna är relaterade till OT- eller IT-enheter.
- De andra motorerna innehåller undantag för kritiska scenarier. Till exempel utlöser driftmotorn aviseringar relaterade till sensortrafik, oavsett om aviseringen är relaterad till OT- eller IT-trafik.
Hantera OT-aviseringar i en hybridmiljö
Användare som arbetar i hybridmiljöer kan hantera OT-aviseringar i Defender för IoT på Azure-portalen, OT-sensorn och en lokal hanteringskonsol.
Kommentar
Sensorkonsolen visar fältet Senaste identifiering i realtid, men Det kan ta upp till en timme att visa den uppdaterade tiden i Defender för IoT i Azure-portalen. Detta förklarar ett scenario där den senaste identifieringstiden i sensorkonsolen inte är samma som den senaste identifieringstiden i Azure-portalen.
Aviseringsstatusar synkroniseras annars helt mellan Azure-portalen och OT-sensorn och mellan sensorn och den lokala hanteringskonsolen. Det innebär att oavsett var du hanterar aviseringen i Defender för IoT uppdateras aviseringen även på andra platser.
Om du ställer in en aviseringsstatus på Stängd eller Avstängd på en sensor eller lokal hanteringskonsol uppdateras aviseringsstatusen till Stängd på Azure-portalen. I den lokala hanteringskonsolen kallas statusen Stängd avisering bekräftad.
Dricks
Om du arbetar med Microsoft Sentinel rekommenderar vi att du konfigurerar integreringen så att den även synkroniserar aviseringsstatus med Microsoft Sentinel och sedan hanterar aviseringsstatusar tillsammans med relaterade Microsoft Sentinel-incidenter.
Mer information finns i Självstudie: Undersöka och identifiera hot för IoT-enheter.
Enterprise IoT-aviseringar och Microsoft Defender för Endpoint
Om du använder Enterprise IoT-säkerhet i Microsoft 365 Defender är aviseringar för Enterprise IoT-enheter som identifierats av Microsoft Defender för Endpoint endast tillgängliga i Microsoft 365 Defender. Många nätverksbaserade identifieringar från Microsoft Defender för Endpoint är relevanta för Enterprise IoT-enheter, till exempel aviseringar som utlöses av genomsökningar som involverar hanterade slutpunkter.
Mer information finns i Skydda IoT-enheter i företaget och aviseringskön i Microsoft 365 Defender.
Påskynda arbetsflöden för OT-aviseringar
Nya aviseringar stängs automatiskt om ingen identisk trafik identifieras 90 dagar efter den första identifieringen. Om identisk trafik identifieras inom de första 90 dagarna återställs antalet 90 dagar.
Förutom standardbeteendet kanske du vill hjälpa dina SOC- och OT-hanteringsteam att sortera och åtgärda aviseringar snabbare. Logga in på en OT-sensor eller en lokal hanteringskonsol som administratörsanvändare för att använda följande alternativ:
Skapa anpassade aviseringsregler. Endast OT-sensorer.
Lägg till anpassade aviseringsregler för att utlösa aviseringar för specifik aktivitet i nätverket som inte omfattas av färdiga funktioner.
För en miljö som kör MODBUS kan du till exempel lägga till en regel för att identifiera alla skriftliga kommandon i ett minnesregister på en specifik IP-adress och ethernet-mål.
Mer information finns i Skapa anpassade aviseringsregler på en OT-sensor.
Skapa aviseringskommentar. Endast OT-sensorer.
Skapa en uppsättning aviseringskommenter som andra OT-sensoranvändare kan lägga till i enskilda aviseringar, med information som anpassade åtgärdssteg, kommunikation till andra teammedlemmar eller andra insikter eller varningar om händelsen.
Gruppmedlemmar kan återanvända dessa anpassade kommentarer när de sorterar och hanterar aviseringsstatusar. Aviseringskommentare visas i ett kommentarsområde på en aviseringsinformationssida. Till exempel:
Mer information finns i Skapa aviseringskommentare på en OT-sensor.
Skapa regler för aviseringsundantag: Endast lokala hanteringskonsoler.
Om du arbetar med en lokal hanteringskonsol definierar du regler för aviseringsundantag för att ignorera händelser i flera sensorer som uppfyller specifika kriterier. Du kan till exempel skapa en regel för aviseringsundantag för att ignorera alla händelser som utlöser irrelevanta aviseringar under ett specifikt underhållsperiod.
Aviseringar som ignoreras av undantagsregler visas inte i Azure-portalen, sensorn eller den lokala hanteringskonsolen eller i händelseloggarna.
Mer information finns i Skapa regler för aviseringsundantag i en lokal hanteringskonsol.
Vidarebefordra aviseringsdata till partnersystem till partner-SIEM:er, syslog-servrar, angivna e-postadresser med mera.
Stöds från både OT-sensorer och lokala hanteringskonsoler. Mer information finns i Vidarebefordra aviseringsinformation.
Aviseringsstatusar och alternativ för sortering
Använd följande aviseringsstatusar och sorteringsalternativ för att hantera aviseringar i Defender för IoT.
När du sorterar en avisering bör du tänka på att vissa aviseringar kan återspegla giltiga nätverksändringar, till exempel en auktoriserad enhet som försöker komma åt en ny resurs på en annan enhet.
Alternativ för sortering från OT-sensorn och den lokala hanteringskonsolen är endast tillgängliga för OT-aviseringar, men alternativ som är tillgängliga på Azure-portalen är tillgängliga för både OT- och Enterprise IoT-aviseringar.
Använd följande tabell för att lära dig mer om varje alternativ för aviseringsstatus och sortering.
| Status/sorteringsåtgärd | Tillgänglig på | beskrivning |
|---|---|---|
| New | – Azure-portalen – OT-nätverkssensorer – Lokal hanteringskonsol |
Nya aviseringar är aviseringar som ännu inte har granskats eller undersökts av teamet. Ny trafik som identifieras för samma enheter genererar ingen ny avisering, men läggs till i den befintliga aviseringen. I den lokala hanteringskonsolen kallas nya aviseringar för Ej betrodda. Obs! Du kan se flera, nya eller obemärkta aviseringar med samma namn. I sådana fall utlöses varje separat avisering av separat trafik på olika uppsättningar enheter. |
| Aktiv | – Endast Azure-portalen | Ange en avisering till Aktiv för att indikera att en undersökning pågår, men att aviseringen ännu inte kan stängas eller på annat sätt sorteras. Den här statusen har ingen effekt någon annanstans i Defender för IoT. |
| Stängt | – Azure-portalen – OT-nätverkssensorer – Lokal hanteringskonsol |
Stäng en avisering för att ange att den är helt undersökt och du vill bli avisering igen nästa gång samma trafik identifieras. När du stänger en avisering läggs den till i tidslinjen för sensorhändelsen. I den lokala hanteringskonsolen kallas Nya aviseringar för Bekräftad. |
| Läs | – Azure-portalen – OT-nätverkssensorer – Lokal hanteringskonsol Avläsning av en avisering är endast tillgängligt på OT-sensorn. |
Lär dig en avisering när du vill stänga den och lägga till den som tillåten trafik, så att du inte aviseras igen nästa gång samma trafik identifieras. Till exempel när sensorn identifierar ändringar i den inbyggda programvarans version efter standardunderhållsprocedurer, eller när en ny, förväntad enhet läggs till i nätverket. När du lär dig en avisering stängs aviseringen och ett objekt läggs till i tidslinjen för sensorhändelsen. Identifierad trafik ingår i datautvinningsrapporter, men inte vid beräkning av andra OT-sensorrapporter. Inlärningsaviseringar är endast tillgängliga för valda aviseringar, främst de som utlöses av princip- och avvikelsemotoraviseringar . |
| Mute | – OT-nätverkssensorer – Lokal hanteringskonsol Det går bara att slå på en avisering på OT-sensorn. |
Stäng av en avisering när du vill stänga den och inte se igen för samma trafik, men utan att lägga till aviseringen tillåten trafik. Till exempel när driftmotorn utlöser en avisering som anger att PLC-läget har ändrats på en enhet. Det nya läget kan tyda på att PLC inte är säkert, men efter undersökningen är det fastställt att det nya läget är acceptabelt. Om du stänger av en avisering stängs den, men ett objekt läggs inte till i tidslinjen för sensorhändelsen. Identifierad trafik ingår i datautvinningsrapporter, men inte vid beräkning av data för andra sensorrapporter. Att stänga av en avisering är endast tillgängligt för valda aviseringar, främst sådana som utlöses av motorerna Anomaly, Protocol Violation eller Operational. |
Dricks
Om du vet i förväg vilka händelser som är irrelevanta för dig, till exempel under ett underhållsperiod, eller om du inte vill spåra händelsen i händelsetidslinjen, skapar du en regel för aviseringsundantag i en lokal hanteringskonsol i stället.
Mer information finns i Skapa regler för aviseringsundantag i en lokal hanteringskonsol.
Sortera OT-aviseringar under inlärningsläge
Inlärningsläget refererar till den första perioden efter att en OT-sensor har distribuerats, när ot-sensorn lär sig nätverkets baslinjeaktivitet, inklusive enheterna och protokollen i nätverket, och de regelbundna filöverföringar som sker mellan specifika enheter.
Använd inlärningsläget för att utföra en inledande triage på aviseringarna i nätverket och lär dig de som du vill markera som auktoriserad, förväntad aktivitet. Den inlärda trafiken genererar inte nya aviseringar nästa gång samma trafik identifieras.
Mer information finns i Skapa en inlärd baslinje för OT-aviseringar.
Nästa steg
Granska aviseringstyper och meddelanden som hjälper dig att förstå och planera reparationsåtgärder och spelboksintegreringar. Mer information finns i Aviseringstyper och beskrivningar för OT-övervakning.