Şirket içi OT uyarı bilgilerini iletme
IoT için Microsoft Defender uyarıları, ağınızda günlüğe kaydedilen olaylar hakkındaki gerçek zamanlı ayrıntılarla ağ güvenliğinizi ve işlemlerinizi geliştirir. OT ağ algılayıcıları, ağ trafiğinde dikkat edilmesi gereken değişiklikleri veya şüpheli etkinlikleri algıladığında OT uyarıları tetiklenir.
Bu makalede, uyarıları iş ortağı hizmetlerine, syslog sunucularına, e-posta adreslerine ve daha fazlasına iletmek için OT algılayıcınızın veya şirket içi yönetim konsolunuzun nasıl yapılandırıldığı açıklanır. İletilen uyarı bilgileri şunlar gibi ayrıntıları içerir:
- Uyarının tarihi ve saati
- Olayı algılayan altyapı
- Uyarı başlığı ve açıklayıcı ileti
- Uyarı önem derecesi
- Kaynak ve hedef adı ile IP adresi
- Şüpheli trafik algılandı
- Bağlantısı kesilmiş algılayıcılar
- Uzaktan yedekleme hataları
Dekont
İletim uyarı kuralları yalnızca iletme kuralı oluşturulduktan sonra tetiklenen uyarılarda çalıştırılır. İletim kuralı oluşturulmadan önce sistemde bulunan uyarılar kuraldan etkilenmez.
Önkoşullar
İletme uyarı kurallarınızı nerede oluşturmak istediğinize bağlı olarak, Yönetici kullanıcı olarakerişime sahip bir OT ağ algılayıcısı veya şirket içi yönetim konsolu yüklü olmalıdır.
Daha fazla bilgi için bkz. IoT için Defender ile OT izleme için OT aracısız izleme yazılımını ve Şirket içi kullanıcıları ve rolleri yükleme.
AYRıCA OT algılayıcısı veya şirket içi yönetim konsolunda SMTP ayarlarını tanımlamanız gerekir.
Daha fazla bilgi için bkz . OT algılayıcıda SMTP posta sunucusu ayarlarını yapılandırma ve Şirket içi yönetim konsolunda SMTP posta sunucusu ayarlarını yapılandırma.
OT algılayıcısı üzerinde iletme kuralları oluşturma
OT sensöründe oturum açın ve sol taraftaki menüde> İletme + Yeni kural oluştur'u seçin.
İletme kuralı ekle bölmesinde anlamlı bir kural adı girin ve kural koşullarını ve eylemlerini aşağıdaki gibi tanımlayın:
Adı Açıklama En düşük uyarı düzeyi İletmek istediğiniz en düşük uyarı önem düzeyini seçin.
Örneğin, İkincil'i seçerseniz, küçük uyarılar ve bu önem düzeyinin üzerindeki tüm uyarılar iletilir.Algılanan tüm protokoller Tüm protokol trafiğinden uyarıları iletmek için açık konuma getirin veya kapatın ve eklemek istediğiniz belirli protokolleri seçin. Herhangi bir altyapı tarafından algılanan trafik Tüm analiz altyapılarından gelen uyarıları iletmek için açık konuma getirin veya kapatmak ve eklemek istediğiniz belirli altyapıları seçin. Eylemler Uyarıları iletmek istediğiniz sunucu türünü seçin ve ardından bu sunucu türü için gerekli diğer bilgileri tanımlayın.
Aynı kurala birden çok sunucu eklemek için + Sunucu ekle'yi seçin ve daha fazla ayrıntı ekleyin.
Daha fazla bilgi için bkz . Uyarı iletme kuralı eylemlerini yapılandırma.Kuralı yapılandırmayı bitirdiğinizde Kaydet'i seçin. Kural, İletme sayfasında listelenir.
Oluşturduğunuz kuralı test edin:
- Test İletisi Gönder kuralınız >için seçenekler menüsünü (...) seçin.
- Algılayıcı tarafından gönderilen bilgilerin alındığını doğrulamak için hedef hizmete gidin.
OT algılayıcıda iletme kurallarını düzenleme veya silme
Mevcut bir kuralı düzenlemek veya silmek için:
OT algılayıcınızda oturum açın ve sol taraftaki menüden İletme'yi seçin.
Kuralınız için seçenekler menüsünü (...) seçin ve aşağıdakilerden birini yapın:
Düzenle'yi seçin ve alanları gerektiği gibi güncelleştirin. Bitirdiğinizde, Kaydet'i seçin.
Silme işlemini onaylamak için Evet Sil'i>seçin.
Şirket içi yönetim konsolunda iletme kuralları oluşturma
Yönetim konsolunda bir iletme kuralı oluşturmak için:
Şirket içi yönetim konsolunda oturum açın ve sol taraftaki menüde İletme'yi seçin.
+ Yeni bir kural oluşturmak için sağ üstteki düğmeyi seçin.
İletme Kuralı Oluştur penceresinde kural için anlamlı bir ad girin ve kural koşullarını ve eylemlerini aşağıdaki gibi tanımlayın:
Adı Açıklama En düşük uyarı düzeyi İletişim kutusunun sağ üst kısmında, iletmek istediğiniz en düşük uyarı önem düzeyini seçmek için açılan listeyi kullanın.
Örneğin, İkincil'i seçerseniz, küçük uyarılar ve bu önem düzeyinin üzerindeki tüm uyarılar iletilir.Protokoller Tüm protokol trafiğinden uyarıları iletmek için Tümü'ne tıklayın veya yalnızca belirli protokoller eklemek için Belirli'yi seçin. Motor Tüm algılayıcı analiz altyapıları tarafından tetiklenen uyarıları iletmek için Tümü'ne tıklayın veya yalnızca belirli altyapılar eklemek için Belirli'yi seçin. Sistem Bildirimleri Bağlantısı kesilmiş algılayıcılar veya uzaktan yedekleme hataları hakkında bildirim almak için Sistem Bildirimlerini Bildir seçeneğini belirleyin. Uyarı Bildirimleri Uyarının tarih ve saati, başlığı, önem derecesi, kaynak ve hedef adı ve IP adresi, şüpheli trafik ve olayı algılayan altyapı hakkında bildirim almak için Uyarı Bildirimlerini Bildir seçeneğini belirleyin. Eylemler Uygulanacak eylemi eklemek için Ekle'yi seçin ve seçili eylem için gereken parametre değerlerini girin. Birden çok eylem eklemek için gerektiği gibi yineleyin.
Daha fazla bilgi için bkz . Uyarı iletme kuralı eylemlerini yapılandırma.Kuralı yapılandırmayı bitirdiğinizde KAYDET'i seçin. Kural, İletme sayfasında listelenir.
Oluşturduğunuz kuralı test edin:
- Kuralınızın satırında bu iletme kuralını test et düğmesini seçin
. İleti başarıyla gönderildiyse bir başarı bildirimi gösterilir. - Algılayıcı tarafından gönderilen bilgilerin alındığını doğrulamak için iş ortağı sisteminize gidin.
- Kuralınızın satırında bu iletme kuralını test et düğmesini seçin
Şirket içi yönetim konsolunda iletme kurallarını düzenleme veya silme
Mevcut bir kuralı düzenlemek veya silmek için:
Şirket içi yönetim konsolunuzda oturum açın ve sol taraftaki menüden İletme'yi seçin.
Kuralınızın satırını bulun ve düzenle veya
sil düğmesini seçin.
Kuralı düzenliyorsanız alanları gerektiği gibi güncelleştirin ve KAYDET'i seçin.
Kuralı siliyorsanız silme işlemini onaylamak için ONAYLA'yı seçin.
Uyarı iletme kuralı eylemlerini yapılandırma
Bu bölümde, ot algılayıcısı veya şirket içi yönetim konsolunda desteklenen iletme kuralı eylemleri için ayarların nasıl yapılandırıldığı açıklanmaktadır.
E-posta adresi eylemi
Uyarı verilerini yapılandırılan e-posta adresine iletmek için bir E-posta eylemi yapılandırın.
Eylemler alanına aşağıdaki ayrıntıları girin:
| Adı | Açıklama |
|---|---|
| Sunucu | E-posta'yı seçin. |
| E-posta | Uyarıları iletmek istediğiniz e-posta adresini girin. Her kural tek bir e-posta adresini destekler. |
| Saat Dilimi | Hedef sistemdeki uyarı algılama için kullanmak istediğiniz saat dilimini seçin. |
Syslog sunucusu eylemleri
Uyarı verilerini seçilen Syslog sunucusu türüne iletmek için bir Syslog sunucusu eylemi yapılandırın.
Eylemler alanına aşağıdaki ayrıntıları girin:
| Adı | Açıklama |
|---|---|
| Sunucu | Aşağıdaki syslog biçim türlerinden birini seçin: - SYSLOG Sunucusu (CEF biçimi) - SYSLOG Sunucusu (LEEF biçimi) - SYSLOG Sunucusu (Nesne) - SYSLOG Sunucusu (Metin İletisi) |
| Konak / Bağlantı Noktası | Syslog sunucusunun ana bilgisayar adını ve bağlantı noktasını girin |
| Saat Dilimi | Hedef sistemdeki uyarı algılama için kullanmak istediğiniz saat dilimini seçin. |
| Protokol | Yalnızca kısa mesajlar için desteklenir. TCP veya UDP'yi seçin. |
| Şifrelemeyi etkinleştirme | Yalnızca CEF biçimi için desteklenir. TLS şifreleme sertifikası dosyasını, anahtar dosyasını ve parolayı yapılandırmak için açık konuma getirin. |
Aşağıdaki bölümlerde her biçim için syslog çıkış söz dizimi açıklanmaktadır.
Syslog metin iletisi çıkış alanları
| Adı | Açıklama |
|---|---|
| Öncelik | Kullanıcı. Uyarı |
| Mesaj | CyberX platform adı: Algılayıcı adı. IoT için Microsoft Defender Uyarısı: Uyarının başlığı. Tür: Uyarının türü. Protokol İhlali, İlke İhlali, Kötü Amaçlı Yazılım, Anomali veya İşlemsel olabilir. Önem Derecesi: Uyarının önem derecesi. Uyarı, İkincil, Ana veya Kritik olabilir. Kaynak: Kaynak cihaz adı. Kaynak IP: Kaynak cihaz IP adresi. Protokol (İsteğe bağlı): Algılanan kaynak protokol. Adres (İsteğe bağlı): Kaynak protokol adresi. Hedef: Hedef cihaz adı. Hedef IP: Hedef cihazın IP adresi. Protokol (İsteğe bağlı): Algılanan hedef protokol. Adres (İsteğe bağlı): Hedef protokol adresi. İleti: Uyarının iletisi. Uyarı grubu: Uyarıyla ilişkilendirilmiş uyarı grubu. UUID (İsteğe bağlı): Uyarının UUID değeri. |
Syslog nesnesi çıkış alanları
| Adı | Açıklama |
|---|---|
| Öncelik | User.Alert |
| Tarih ve Saat | Syslog sunucu makinesinin bilgileri aldığı tarih ve saat. |
| Konak adı | Algılayıcı IP'i |
| Mesaj | Algılayıcı adı: Aletin adı. Uyarı zamanı: Uyarının algılandığı saat: Syslog sunucu makinesinin zamanından farklı olabilir ve iletme kuralının saat dilimi yapılandırmasına bağlıdır. Uyarı başlığı: Uyarının başlığı. Uyarı iletisi: Uyarının iletisi. Uyarı önem derecesi: Uyarının önem derecesi: Uyarı, İkincil, Ana veya Kritik. Uyarı türü: Protokol İhlali, İlke İhlali, Kötü Amaçlı Yazılım, Anomali veya İşletimsel. Protokol: Uyarının protokolü. Source_MAC: Kaynak cihazın IP adresi, adı, satıcısı veya işletim sistemi. Destination_MAC: Hedefin IP adresi, adı, satıcısı veya işletim sistemi. Veriler eksikse, değer YOK olur. alert_group: Uyarıyla ilişkili uyarı grubu. |
Syslog CEF çıkış alanları
| Adı | Açıklama |
|---|---|
| Öncelik | User.Alert |
| Tarih ve saat | Algılayıcının bilgileri utc biçiminde gönderdiği tarih ve saat |
| Konak adı | Algılayıcı ana bilgisayar adı |
| Mesaj | CEF:0 IoT/CyberX için Microsoft Defender Algılayıcı adı Algılayıcı sürümü IoT için Microsoft Defender Uyarısı Uyarı başlığı Önem derecesinin tamsayı göstergesi. 1=Uyarı, 4=İkincil, 8=Ana veya 10=Kritik. msg= Uyarının iletisi. protocol= Uyarının protokolü. önem derecesi= Uyarı, İkincil, Ana veya Kritik. type= Protokol İhlali, İlke İhlali, Kötü Amaçlı Yazılım, Anomali veya İşletimsel. Uyarının UUID= UUID değeri (İsteğe bağlı) start= Uyarının algılandığı saat. Syslog sunucu makinesinin zamanından farklı olabilir ve iletme kuralının saat dilimi yapılandırmasına bağlıdır. src_ip= kaynak cihazın IP adresi. (İsteğe bağlı) src_mac= kaynak cihazın MAC adresi. (İsteğe bağlı) dst_ip= hedef cihazın IP adresi. (İsteğe bağlı) hedef cihazın dst_mac= MAC adresi. (İsteğe bağlı) cat= Uyarıyla ilişkili uyarı grubu. |
Syslog LEEF çıkış alanları
| Adı | Açıklama |
|---|---|
| Öncelik | User.Alert |
| Tarih ve saat | Algılayıcının bilgileri utc biçiminde gönderdiği tarih ve saat |
| Konak adı | Algılayıcı IP'i |
| Mesaj | Algılayıcı adı: IoT için Microsoft Defender gerecinin adı. LEEF:1.0 IoT için Microsoft Defender Sensör Algılayıcı sürümü IoT için Microsoft Defender Uyarısı title: Uyarının başlığı. msg: Uyarının iletisi. protocol: Uyarının protokolü. önem derecesi: Uyarı, İkincil, Ana veya Kritik. tür: Uyarının türü: Protokol İhlali, İlke İhlali, Kötü Amaçlı Yazılım, Anomali veya İşletimsel. start: Uyarının zamanı. Syslog sunucu makinesinin zamanından farklı olabilir ve saat dilimi yapılandırmasına bağlıdır. src_ip: Kaynak cihazın IP adresi. dst_ip: Hedef cihazın IP adresi. cat: Uyarıyla ilişkilendirilmiş uyarı grubu. |
Web kancası sunucusu eylemi
Yalnızca şirket içi yönetim konsolundan desteklenir
IoT için Defender uyarı olaylarına abone olan bir tümleştirmeyi yapılandırmak için bir Web kancası eylemi yapılandırın. Örneğin, bir dış SIEM sistemini, SOAR sistemini veya olay yönetim sistemini güncelleştirmek için bir web kancası sunucusuna uyarı verileri gönderin.
Uyarıları bir web kancası sunucusuna iletilecek şekilde yapılandırdığınızda ve bir uyarı olayı tetiklendiğinde, şirket içi yönetim konsolu yapılandırılan web kancası URL'sine bir HTTP POST yükü gönderir.
Eylemler alanına aşağıdaki ayrıntıları girin:
| Adı | Açıklama |
|---|---|
| Sunucu | Web Kancası'nı seçin. |
| URL | Web kancası sunucusu URL'sini girin. |
| Anahtar / Değer | HTTP üst bilgisini gerektiği gibi özelleştirmek için anahtar/değer çiftlerini girin. Desteklenen karakterler şunlardır: - Anahtarlar yalnızca harf, sayı, tire ve alt çizgi içerebilir. - Değerler yalnızca bir baştaki ve/veya sondaki alanı içerebilir. |
Web kancası genişletilmiş
Yalnızca şirket içi yönetim konsolundan desteklenir
Web kancası sunucunuza aşağıdaki ek verileri göndermek için bir Web kancası genişletilmiş eylemi yapılandırın:
- sensorID
- sensorName
- zoneID
- Bölgeadı
- Siteıd
- Sitename
- sourceDeviceAddress
- destinationDeviceAddress
- remediationSteps
- Işlenen
- additionalInformation
Eylemler alanına aşağıdaki ayrıntıları girin:
| Adı | Açıklama |
|---|---|
| Sunucu | Web kancası genişletilmiş'i seçin. |
| URL | Uç nokta veri URL'sini girin. |
| Anahtar / Değer | HTTP üst bilgisini gerektiği gibi özelleştirmek için anahtar/değer çiftlerini girin. Desteklenen karakterler şunlardır: - Anahtarlar yalnızca harf, sayı, tire ve alt çizgi içerebilir. - Değerler yalnızca bir baştaki ve/veya sondaki alanı içerebilir. |
NetWitness eylemi
NetWitness sunucusuna uyarı bilgileri göndermek için bir NetWitness eylemi yapılandırın.
Eylemler alanına aşağıdaki ayrıntıları girin:
| Adı | Açıklama |
|---|---|
| Sunucu | NetWitness'i seçin. |
| Ana Bilgisayar Adı / Bağlantı Noktası | NetWitness sunucusunun ana bilgisayar adını ve bağlantı noktasını girin. |
| Saat dilimi | SIEM'de uyarı algılama için zaman damgasında kullanmak istediğiniz saat dilimini girin. |
İş ortağı tümleştirmeleri için iletme kurallarını yapılandırma
Uyarı veya cihaz envanter bilgilerini başka bir güvenlik veya cihaz yönetim sistemine göndermek ya da iş ortağı tarafı güvenlik duvarlarıyla iletişim kurmak için IoT için Defender'ı bir iş ortağı hizmetiyle tümleştirmeniz gerekebilir.
İş ortağı tümleştirmeleri , önceden silolanmış güvenlik çözümlerini birleştirmeye, cihaz görünürlüğünü geliştirmeye ve riskleri daha hızlı azaltmak için sistem genelinde yanıtı hızlandırmaya yardımcı olabilir.
Böyle durumlarda, tümleşik iş ortağı hizmetleriyle iletişim kurmak için gereken kimlik bilgilerini ve diğer bilgileri girmek için desteklenen Eylemler'i kullanın.
Daha fazla bilgi için bkz.
- Fortinet'i IoT için Microsoft Defender ile tümleştirme
- Qradar'i IoT için Microsoft Defender ile tümleştirme
İş ortağı hizmetlerinde uyarı gruplarını yapılandırma
Syslog sunucuları, QRadar ve ArcSight'a uyarı verileri göndermek için iletme kurallarını yapılandırdığınızda, uyarı grupları otomatik olarak uygulanır ve bu iş ortağı sunucularında kullanılabilir.
Uyarı grupları , SOC ekiplerinin kurumsal güvenlik ilkelerine ve iş önceliklerine göre uyarıları yönetmek için bu iş ortağı çözümlerini kullanmasına yardımcı olur. Örneğin, yeni algılamalarla ilgili uyarılar, yeni cihazlar, VLAN'lar, kullanıcı hesapları, MAC adresleri ve daha fazlası hakkında tüm uyarıları içeren bir bulma grubu halinde düzenlenir.
Uyarı grupları iş ortağı hizmetlerinde aşağıdaki ön eklerle görüntülenir:
| Önek | İş ortağı hizmeti |
|---|---|
cat |
QRadar, ArcSight, Syslog CEF, Syslog LEEF |
Alert Group |
Syslog kısa mesajları |
alert_group |
Syslog nesneleri |
Tümleştirmenizde uyarı gruplarını kullanmak için iş ortağı hizmetlerinizi uyarı grubu adını görüntüleyecek şekilde yapılandırdığından emin olun.
Varsayılan olarak, uyarılar aşağıdaki gibi gruplandırılır:
- Anormal iletişim davranışı
- Özel uyarılar
- Uzaktan erişim
- Anormal HTTP iletişim davranışı
- Bulma
- Komutları yeniden başlatma ve durdurma
- Kimlik Doğrulaması
- Üretici yazılımı değişikliği
- Tara
- Yetkisiz iletişim davranışı
- Geçersiz komutlar
- Algılayıcı trafiği
- Bant genişliği anomalileri
- İnternet erişimi
- Kötü amaçlı yazılım şüphesi
- Arabellek taşması
- İşlem hataları
- Kötü amaçlı etkinlik şüphesi
- Komut hataları
- İşletim sorunları
- Yapılandırma değişiklikleri
- Programlama
Daha fazla bilgi edinmek ve özel uyarı grupları oluşturmak için Microsoft Desteği başvurun.
İletme kuralları sorunlarını giderme
İletim uyarı kurallarınız beklendiği gibi çalışmıyorsa aşağıdaki ayrıntıları denetleyin:
Sertifika doğrulama. Syslog CEF, Microsoft Sentinel ve QRadar için iletme kuralları şifrelemeyi ve sertifika doğrulamayı destekler.
OT algılayıcılarınız veya şirket içi yönetim konsolunuz sertifikaları doğrulayacak şekilde yapılandırılmışsa ve sertifika doğrulanamıyorsa, uyarılar iletilir.
Böyle durumlarda algılayıcı veya şirket içi yönetim konsolu oturumun istemcisi ve başlatıcısıdır. Sertifikalar genellikle sunucudan alınır veya tümleştirmeyi ayarlamak için belirli bir sertifikanın sağlandığı asimetrik şifreleme kullanır.
Uyarı dışlama kuralları. Şirket içi yönetim konsolunuzda yapılandırılmış dışlama kurallarınız varsa, algılayıcılarınız iletmeye çalıştığınız uyarıları yoksayıyor olabilir. Daha fazla bilgi için bkz . Şirket içi yönetim konsolunda uyarı dışlama kuralları oluşturma.