IoT için Microsoft Defender uyarıları

  • Makale

IoT için Microsoft Defender uyarıları, ağınızda günlüğe kaydedilen olaylar hakkındaki gerçek zamanlı ayrıntılarla ağ güvenliğinizi ve işlemlerinizi geliştirir. OT ağ algılayıcıları, ağ trafiğinde dikkat edilmesi gereken değişiklikleri veya şüpheli etkinlikleri algıladığında uyarılar tetiklenir.

Örneğin:

Azure portalındaki Uyarılar sayfasının ekran görüntüsü.

İlgili cihazlardan veya uyarıyı tetikleyen ağ işleminden ağınız için herhangi bir riski gideren işlemleri araştırmak ve düzeltmek için Uyarılar sayfasında veya uyarı ayrıntıları sayfasında gösterilen ayrıntıları kullanın.

İpucu

SOC ekiplerinizin olası sorunları ve çözümleri anlamasına yardımcı olmak için uyarı düzeltme adımlarını kullanın. Bir uyarı durumunu güncelleştirmeden veya cihaz veya ağda işlem gerçekleştirmeden önce önerilen düzeltme adımlarını gözden geçirmenizi öneririz.

Uyarı yönetimi seçenekleri

IoT için Defender uyarıları Azure portalında, OT ağ algılayıcısı konsollarında ve şirket içi yönetim konsolunda kullanılabilir. Kurumsal IoT güvenliğiyle, Uç Nokta için Defender tarafından algılanan Kurumsal IoT cihazları için Microsoft 365 Defender'da uyarılar da kullanılabilir.

Uyarı ayrıntılarını görüntüleyebilir, uyarı bağlamını araştırabilir ve bu konumlardan herhangi birinden uyarı durumlarını önceliklendirin ve yönetebilirsiniz, ancak her konum ek uyarı eylemleri de sunar. Aşağıdaki tabloda her konum için desteklenen uyarılar ve yalnızca bu konumdan sağlanan ek eylemler açıklanmaktadır:

Konum Açıklama Ek uyarı eylemleri
Azure portalı Buluta bağlı tüm OT algılayıcılarından uyarılar - İlgili MITRE ATT&CK taktiklerini ve tekniklerini görüntüleme
- Yüksek öncelikli uyarılara görünürlük için kullanıma hazır çalışma kitaplarını kullanma
- Microsoft Sentinel'den gelen uyarıları görüntüleyin ve Microsoft Sentinel playbook'ları ve çalışma kitaplarıyla daha derin araştırmalar çalıştırın.
OT ağ algılayıcı konsolları Bu OT algılayıcısı tarafından oluşturulan uyarılar - Uyarının kaynağını ve hedefini Cihaz haritasında görüntüleme
- Olay zaman çizelgesinde ilgili olayları görüntüleme
- Uyarıları doğrudan iş ortağı satıcılarına iletme
- Uyarı açıklamaları oluşturma
- Özel uyarı kuralları oluşturma
- Uyarıları açma
Şirket içi yönetim konsolu Bağlı OT algılayıcıları tarafından oluşturulan uyarılar - Uyarıları doğrudan iş ortağı satıcılarına iletme
- Uyarı dışlama kuralları oluşturma
Microsoft 365 Defender Uç Nokta için Microsoft Defender tarafından algılanan Kurumsal IoT cihazları için oluşturulan uyarılar - Gelişmiş tehdit avcılığı dahil olmak üzere uyarı verilerini diğer Microsoft 365 Defender verileriyle birlikte yönetme

İpucu

10 dakikalık bir zaman çerçevesi içinde aynı bölgedeki farklı algılayıcılardan oluşturulan ve aynı tür, durum, uyarı protokolü ve ilişkili cihazlarla oluşturulan tüm uyarılar tek, birleşik bir uyarı olarak listelenir.

  • 10 dakikalık zaman çerçevesi uyarının ilk algılama süresini temel alır.
  • Tek, birleşik uyarı, uyarıyı algılayan tüm algılayıcıları listeler.
  • Uyarılar, cihaz protokolüne değil uyarı protokolüne göre birleştirilir.

Daha fazla bilgi için bkz.

Uyarı seçenekleri konumunuza ve kullanıcı rolünüze bağlı olarak da farklılık gösterir. Daha fazla bilgi için bkz . Azure kullanıcı rolleri ve izinleri ile Şirket içi kullanıcılar ve roller.

OT/BT ortamlarında odaklanmış uyarılar

OT ve BT ağları arasında algılayıcıların dağıtıldığı kuruluşlar, hem OT hem de BT trafiğiyle ilgili birçok uyarıyla ilgilenir. Bazıları ilgisiz olan uyarı miktarı uyarı yorgunluğuna neden olabilir ve genel performansı etkileyebilir. Bu zorlukları gidermek için IoT için Defender'ın algılama ilkesi, farklı uyarı altyapılarını bir OT ağına iş etkisi ve ilgisi olan uyarılara odaklanmaya yönlendirir ve düşük değerli BT ile ilgili uyarıları azaltır. Örneğin, Yetkisiz İnternet bağlantısı uyarısı bir OT ağında yüksek oranda ilgilidir, ancak BT ağında görece düşük değere sahiptir.

Bu ortamlarda tetiklenen uyarılara odaklanmak için Kötü Amaçlı Yazılım altyapısı dışındaki tüm uyarı altyapıları, yalnızca ilgili bir OT alt ağı veya protokolü algılarsa uyarıları tetikler. Ancak, kritik senaryoları gösteren uyarıların tetiklenmesi için:

  • Kötü amaçlı yazılım altyapısı, uyarıların OT veya BT cihazlarıyla ilgili olup olmadığına bakılmaksızın kötü amaçlı yazılım uyarılarını tetikler.
  • Diğer altyapılar kritik senaryolar için özel durumlar içerir. Örneğin İşletim altyapısı, uyarının OT veya BT trafiğiyle ilgili olup olmadığına bakılmaksızın algılayıcı trafiğiyle ilgili uyarıları tetikler.

Karma bir ortamda OT uyarılarını yönetme

Karma ortamlarda çalışan kullanıcılar Azure portalında, OT algılayıcısında ve şirket içi yönetim konsolunda IoT için Defender'da OT uyarılarını yönetiyor olabilir.

Not

Algılayıcı konsolu bir uyarının Son algılama alanını gerçek zamanlı olarak görüntülese de Azure portalında IoT için Defender'ın güncelleştirilmiş zamanı görüntülemesi bir saat kadar sürebilir. Bu, algılayıcı konsolundaki son algılama süresinin Azure portalındaki son algılama zamanıyla aynı olmadığı bir senaryoyu açıklar.

Uyarı durumları aksi takdirde Azure portalı ile OT algılayıcısı arasında ve algılayıcı ile şirket içi yönetim konsolu arasında tamamen eşitlenir. Bu, IoT için Defender'da uyarıyı nerede yönettiğinize bakılmaksızın uyarının diğer konumlarda da güncelleştirildiği anlamına gelir.

Bir algılayıcıda veya şirket içi yönetim konsolunda uyarı durumunu Kapalı veya Kapalı olarak ayarlamak, uyarı durumunu Azure portalında Kapalı olarak güncelleştirir. Şirket içi yönetim konsolunda Kapalı uyarı durumu Onaylandı olarak adlandırılır.

İpucu

Microsoft Sentinel ile çalışıyorsanız, tümleştirmeyi Microsoft Sentinel ile uyarı durumunu da eşitlenecek şekilde yapılandırmanızı ve ardından uyarı durumlarını ilgili Microsoft Sentinel olaylarıyla birlikte yönetmenizi öneririz.

Daha fazla bilgi için bkz . Öğretici: IoT cihazları için tehditleri araştırma ve algılama.

Kurumsal IoT uyarıları ve Uç Nokta için Microsoft Defender

Microsoft 365 Defender'da Kurumsal IoT güvenliği kullanıyorsanız, Uç Nokta için Microsoft Defender tarafından algılanan Kurumsal IoT cihazlarına yönelik uyarılar yalnızca Microsoft 365 Defender'da kullanılabilir. Uç Nokta için Microsoft Defender birçok ağ tabanlı algılama, yönetilen uç noktaları içeren taramalar tarafından tetiklenen uyarılar gibi Kurumsal IoT cihazlarına bağlıdır.

Daha fazla bilgi için bkz . Kuruluştaki IoT cihazlarının güvenliğini sağlama ve Microsoft 365 Defender'da Uyarılar kuyruğu.

OT uyarı iş akışlarını hızlandırma

İlk algılamadan 90 gün sonra aynı trafik algılanmazsa yeni uyarılar otomatik olarak kapatılır. Bu ilk 90 gün içinde aynı trafik algılanırsa 90 günlük sayı sıfırlanır.

Varsayılan davranışa ek olarak, SOC ve OT yönetim ekiplerinizin uyarıları daha hızlı önceliklendirmesine ve düzeltmesine yardımcı olmak isteyebilirsiniz. Aşağıdaki seçenekleri kullanmak için ot algılayıcısı veya şirket içi yönetim konsolunda Yönetici kullanıcı olarak oturum açın:

  • Özel uyarı kuralları oluşturun. Yalnızca OT algılayıcıları.

    Ağınızda kullanıma hazır işlevsellik kapsamında olmayan belirli etkinliklere yönelik uyarıları tetikleyecek özel uyarı kuralları ekleyin.

    Örneğin, MODBUS çalıştıran bir ortam için, belirli bir IP adresi ve Ethernet hedefinde bir bellek yazmaç için yazılmış komutları algılamak için bir kural ekleyebilirsiniz.

    Daha fazla bilgi için bkz . OT algılayıcısı üzerinde özel uyarı kuralları oluşturma.

  • Uyarı açıklamaları oluşturun. Yalnızca OT algılayıcıları.

    Özel azaltma adımları, diğer ekip üyeleriyle iletişim veya etkinlikle ilgili diğer içgörüler veya uyarılar gibi ayrıntılarla, diğer OT algılayıcısı kullanıcılarının tek tek uyarılara ekleyebilecekleri bir uyarı açıklamaları kümesi oluşturun.

    Ekip üyeleri uyarı durumlarını önceliklendirmek ve yönetmek için bu özel açıklamaları yeniden kullanabilir. Uyarı açıklamaları, uyarı ayrıntıları sayfasındaki açıklamalar alanında gösterilir. Örneğin:

    Uyarı açıklamaları alanının ekran görüntüsü.

    Daha fazla bilgi için bkz . OT algılayıcısı üzerinde uyarı açıklamaları oluşturma.

  • Uyarı dışlama kuralları oluşturma: Yalnızca şirket içi yönetim konsolları.

    Şirket içi yönetim konsoluyla çalışıyorsanız, belirli ölçütlere uyan birden çok algılayıcıdaki olayları yoksaymak için uyarı dışlama kuralları tanımlayın. Örneğin, belirli bir bakım penceresi sırasında ilgisiz uyarıları tetikleyebilecek tüm olayları yoksaymak için bir uyarı dışlama kuralı oluşturabilirsiniz.

    Dışlama kuralları tarafından yoksayılan uyarılar Azure portalında, algılayıcıda veya şirket içi yönetim konsolunda veya olay günlüklerinde gösterilmez.

    Daha fazla bilgi için bkz . Şirket içi yönetim konsolunda uyarı dışlama kuralları oluşturma.

  • Uyarı verilerini iş ortağı sistemlerine iş ortağı SIEM'lerine, syslog sunucularına, belirtilen e-posta adreslerine ve daha fazlasına iletin.

    Hem OT algılayıcılarından hem de şirket içi yönetim konsollarından desteklenir. Daha fazla bilgi için bkz . Uyarı bilgilerini iletme.

Uyarı durumları ve önceliklendirme seçenekleri

IoT için Defender'da uyarıları yönetmek için aşağıdaki uyarı durumlarını ve önceliklendirme seçeneklerini kullanın.

Bir uyarıyı önceliklendirirken, yetkili bir cihazın başka bir cihazda yeni bir kaynağa erişmeye çalışması gibi bazı uyarıların geçerli ağ değişikliklerini yansıtabileceğini göz önünde bulundurun.

OT algılayıcısından ve şirket içi yönetim konsolundan önceliklendirme seçenekleri yalnızca OT uyarıları için kullanılabilirken, Azure portalında sunulan seçenekler hem OT hem de Enterprise IoT uyarıları için kullanılabilir.

Her uyarı durumu ve önceliklendirme seçeneği hakkında daha fazla bilgi edinmek için aşağıdaki tabloyu kullanın.

Durum / önceliklendirme eylemi Şu tarihinde kullanılabilir: Açıklama
New - Azure portalı

- OT ağ algılayıcıları

- Şirket içi yönetim konsolu		 Yeni uyarılar, ekip tarafından henüz önceliklendirilmedi veya araştırılmayan uyarılardır. Aynı cihazlar için algılanan yeni trafik yeni bir uyarı oluşturmaz, ancak mevcut uyarıya eklenir.

Şirket içi yönetim konsolunda, Yeni uyarılar Onaylanmamış olarak adlandırılır.

Not: Aynı ada sahip birden çok Yeni veya Bilinmeyen uyarı görebilirsiniz. Bu gibi durumlarda, her ayrı uyarı, farklı cihaz kümelerinde ayrı trafik tarafından tetikler.
Etkin - Yalnızca Azure portalı Bir araştırmanın devam ettiğini, ancak uyarının henüz kapatılamadığını veya başka bir şekilde önceliklendirilemezseniz, Etkin olarak bir uyarı ayarlayın.

Bu durumun, IoT için Defender'ın başka bir yerinde hiçbir etkisi yoktur.
Kapalı - Azure portalı

- OT ağ algılayıcıları

- Şirket içi yönetim konsolu		 Tam olarak araştırıldığını ve aynı trafik bir sonraki algılandığında yeniden uyarı almak istediğinizi belirtmek için bir uyarıyı kapatın.

Bir uyarıyı kapatmak, bunu algılayıcı olay zaman çizelgesine ekler.

Şirket içi yönetim konsolunda Yeni uyarılar Onaylandı olarak adlandırılır.
Öğrenin - Azure portalı

- OT ağ algılayıcıları

- Şirket içi yönetim konsolu

Bir uyarının algılanması yalnızca OT algılayıcısı üzerinde kullanılabilir.		 Bu uyarıyı kapatmak ve izin verilen trafik olarak eklemek istediğinizde, aynı trafik bir sonraki algılandığında yeniden uyarı almamayı öğrenin.

Örneğin, algılayıcı standart bakım yordamlarından sonra üretici yazılımı sürümünün değiştiğini algıladığında veya ağa yeni, beklenen bir cihaz eklendiğinde.

Bir uyarıyı öğrenmek uyarıyı kapatır ve algılayıcı olay zaman çizelgesine bir öğe ekler. Algılanan trafik veri madenciliği raporlarına dahil edilir, ancak diğer OT algılayıcı raporları hesaplanırken dahil değildir.

Öğrenme uyarıları, çoğunlukla İlke ve Anomali altyapısı uyarıları tarafından tetiklenenler olmak üzere yalnızca seçili uyarılar için kullanılabilir.
Sessiz - OT ağ algılayıcıları

- Şirket içi yönetim konsolu

Bir uyarının seslerini yalnızca OT algılayıcısı üzerinden açabilirsiniz.		 Bir uyarıyı kapatmak istediğinizde ve aynı trafik için yeniden görmemek istediğinizde ancak uyarı izin verilen trafiği eklemeden sessize alma.

Örneğin, İşletim altyapısı bir cihazda PLC Modunun değiştirildiğini belirten bir uyarı tetiklediğinde. Yeni mod PLC'nin güvenli olmadığını gösterebilir, ancak araştırmadan sonra yeni modun kabul edilebilir olduğu belirlenir.

Uyarının sessize alınması uyarıyı kapatır, ancak algılayıcı olay zaman çizelgesine öğe eklemez. Algılanan trafik veri madenciliği raporlarına dahil edilir, ancak diğer algılayıcı raporları için veri hesaplanırken dahil değildir.

Bir uyarının sesini kapatmak yalnızca, çoğunlukla Anomali, Protokol İhlali veya İşletim altyapıları tarafından tetiklenenler olmak üzere seçili uyarılar için kullanılabilir.

İpucu

Bakım penceresi gibi hangi olayların sizin için ilgisiz olduğunu önceden biliyorsanız veya olayı olay zaman çizelgesinde izlemek istemiyorsanız, bunun yerine şirket içi yönetim konsolunda bir uyarı dışlama kuralı oluşturun.

Daha fazla bilgi için bkz . Şirket içi yönetim konsolunda uyarı dışlama kuralları oluşturma.

Öğrenme modu sırasında OT uyarılarını önceliklendirme

Öğrenme modu , ot algılayıcısının dağıtıldıktan sonraki ilk dönemi, OT algılayıcınızın ağınızdaki cihazlar ve protokoller dahil olmak üzere ağınızın temel etkinliğini ve belirli cihazlar arasında gerçekleşen normal dosya aktarımlarını öğrenmesini ifade eder.

Ağınızdaki uyarılarda ilk önceliklendirmeyi gerçekleştirmek ve yetkili, beklenen etkinlik olarak işaretlemek istediklerinizi öğrenmek için öğrenme modunu kullanın. Öğrenilen trafik, aynı trafik bir sonraki algılandığında yeni uyarılar oluşturmaz.

Daha fazla bilgi için bkz . OT uyarılarının öğrenilmiş bir temelini oluşturma.

Sonraki adımlar

Düzeltme eylemlerini ve playbook tümleştirmelerini anlamanıza ve planlamanıza yardımcı olması için uyarı türlerini ve iletileri gözden geçirin. Daha fazla bilgi için bkz . OT izleme uyarı türleri ve açıklamaları.

Azure portalından uyarıları görüntüleme ve yönetme

OT algılayıcınızda uyarıları görüntüleme ve yönetme

Şirket içi yönetim konsolunda uyarıları görüntüleme ve yönetme