OT uyarı iş akışlarını hızlandırma

  • Makale

Not

Not edilen özellikler ÖNİzLEME aşamasındadır. Azure Önizleme Ek Koşulları, beta, önizleme aşamasında olan veya henüz genel kullanıma sunulmamış Azure özellikleri için geçerli olan diğer yasal koşulları içerir.

IoT için Microsoft Defender uyarıları, ağınızda günlüğe kaydedilen olaylar hakkındaki gerçek zamanlı ayrıntılarla ağ güvenliğinizi ve işlemlerinizi geliştirir. OT ağ algılayıcıları, ağ trafiğinde dikkat edilmesi gereken değişiklikleri veya şüpheli etkinlikleri algıladığında OT uyarıları tetiklenir.

Bu makalede, ekibinizde OT ağ uyarısı yorgunluğunu azaltmak için aşağıdaki yöntemler açıklanmaktadır:

  • Algılayıcılarınızın tetiklediği uyarıları azaltmak için Azure portalından gizleme kuralları oluşturun. Havayla eşlenen bir ortamda çalışıyorsanız, bunu şirket içi yönetim konsolunda uyarı dışlama kuralları oluşturarak yapın.

  • Tek tek uyarılara eklemek, iletişimin akışını sağlamak ve uyarılarınız arasında kayıt tutmak için ekipleriniz için uyarı açıklamaları oluşturun.

  • Ağınızdaki belirli trafiği tanımlamak için özel uyarı kuralları oluşturma

Önkoşullar

Bu sayfadaki yordamları kullanmadan önce aşağıdaki önkoşulları not edin:

Hedef... Sahip olmanız gerekir...
Azure portalında uyarı engelleme kuralları oluşturma Buluta bağlı en az bir OT algılayıcısı ve Güvenlik Yönetici, Katkıda Bulunan veya Sahip olarak erişime sahip bir IoT için Defender aboneliği.
OT algılayıcısı üzerinde DNS izin listesi oluşturma Bir OT ağ algılayıcısı yüklü ve algılayıcıya varsayılan Yönetici kullanıcı olarak erişim.
OT algılayıcısı üzerinde uyarı açıklamaları oluşturma Bir OT ağ algılayıcısı yüklüdür ve Yönetici rolüne sahip herhangi bir kullanıcı olarak sensöre erişim.
OT algılayıcısı üzerinde özel uyarı kuralları oluşturma Bir OT ağ algılayıcısı yüklüdür ve Yönetici rolüne sahip herhangi bir kullanıcı olarak sensöre erişim.
Şirket içi yönetim konsolunda uyarı dışlama kuralları oluşturma Yüklü bir şirket içi yönetim konsolu ve Yönetici rolüne sahip herhangi bir kullanıcı olarak şirket içi yönetim konsoluna erişim.

Daha fazla bilgi için bkz.

Ilgisiz uyarıları gizleme

Ot algılayıcılarınızı ağınızdaki belirli bir trafik için uyarı tetikleyebilecek uyarıları gizleyecek şekilde yapılandırın. Örneğin, belirli bir algılayıcı tarafından izlenen tüm OT cihazları iki gün boyunca bakım yordamlarından geçiyorsa, bakım süresi boyunca bu algılayıcı tarafından oluşturulan tüm uyarıları gizlemeye yönelik bir kural tanımlamak isteyebilirsiniz.

  • Buluta bağlı OT algılayıcıları için Azure portalında uyarı engelleme kuralları oluşturarak ağınızda aksi takdirde uyarı tetikleyen belirtilen trafiği yoksayın.

  • Yerel olarak yönetilen algılayıcılar için, kullanıcı arabirimini veya API'yi kullanarak şirket içi yönetim konsolunda uyarı dışlama kuralları oluşturun.

Önemli

Azure portalında yapılandırılan kurallar, şirket içi yönetim konsolunda aynı algılayıcı için yapılandırılmış tüm kuralları geçersiz kılar. Şu anda şirket içi yönetim konsolunuzda uyarı dışlama kuralları kullanıyorsanız, başlamadan önce bunları gizleme kuralları olarak Azure portalına geçirmenizi öneririz.

Azure portalında uyarı gizleme kuralları oluşturma (Genel Önizleme)

Bu bölümde Azure portalında uyarı engelleme kuralının nasıl oluşturulacağı açıklanır ve yalnızca buluta bağlı algılayıcılar için desteklenir.

Uyarı engelleme kuralı oluşturmak için:

  1. Azure portalında IoT için Defender'da Uyarıları>Gizleme kuralları'nı seçin.

  2. Gizleme kuralları (Önizleme) sayfasında + Oluştur'u seçin.

  3. Gizleme kuralı oluştur bölmesi Ayrıntılar sekmesine aşağıdaki ayrıntıları girin:

    1. Açılan listeden Azure aboneliğinizi seçin.

    2. Kuralınız için anlamlı bir ad ve isteğe bağlı bir açıklama girin.

    3. Kuralın yapılandırıldığı gibi çalışmaya başlaması için Etkin'i açın. Kuralı yalnızca daha sonra kullanmaya başlamak için bu seçeneği kapalı da bırakabilirsiniz.

    4. Kuralınız için belirli bir başlangıç ve bitiş tarihi ve saati tanımlamak için Zaman aralığına göre gizle alanında Süre sonu tarihi'ni açın. Birden çok zaman aralığı eklemek için Aralık ekle'yi seçin.

    5. Uygulama tarihi alanında, kuralı aboneliğinizdeki tüm algılayıcılara mı yoksa yalnızca belirli sitelere veya algılayıcılara mı uygulamak istediğinizi seçin. Özel seçimde uygula'yı seçerseniz kuralın çalışmasını istediğiniz siteleri ve/veya algılayıcıları seçin.

      Belirli bir siteyi seçtiğinizde, kural siteyle ilişkili mevcut ve gelecekteki tüm algılayıcılar için geçerlidir.

    6. İleri'yi seçin ve geçersiz kılma iletisini onaylayın.

  4. Gizleme kuralı oluştur bölmesi Koşullar sekmesinde:

    1. Uyarı adı açılan listesinde kuralınız için bir veya daha fazla uyarı seçin. Belirli bir kural adı yerine bir uyarı altyapısının adı seçildiğinde, kural bu altyapıyla ilişkilendirilmiş tüm mevcut ve gelecekteki uyarılara uygulanır.

    2. İsteğe bağlı olarak, belirli kaynaklardan gelen trafik, belirli hedeflere veya belirli alt ağlara gelen trafik gibi ek koşullar tanımlayarak kuralınızı daha fazla filtreleyin.

    3. Kural koşullarınızı yapılandırmayı bitirdiğinizde İleri'yi seçin.

  5. Gizleme kuralı oluştur bölmesinde Gözden geçir ve oluştur sekmesinde, oluşturduğunuz kuralın ayrıntılarını gözden geçirin ve Oluştur'u seçin.

Kuralınız, Gizleme kuralları (Önizleme) sayfasındaki gizleme kuralları listesine eklenir. Gerektiğinde düzenlemek veya silmek için bir kural seçin.

İpucu

Gizleme kurallarını dışarı aktarmanız gerekiyorsa araç çubuğundan Dışarı Aktar düğmesini seçin. Yapılandırılan tüm kurallar tek bir öğesine aktarılır. YEREL olarak kaydedebileceğiniz CSV dosyası.

Şirket içi yönetim konsolundan gizleme kurallarını geçirme (Genel Önizleme)

Şu anda buluta bağlı algılayıcılara sahip bir şirket içi yönetim konsolu kullanıyorsanız, yeni gizleme kuralları oluşturmaya başlamadan önce dışlama kurallarını gizleme kuralları olarak Azure portalına geçirmenizi öneririz. Azure portalında yapılandırılan tüm gizleme kuralları, şirket içi yönetim konsolunda aynı algılayıcılar için mevcut olan uyarı dışlama kurallarını geçersiz kılar.

Uyarı dışlama kurallarını dışarı aktarmak ve Azure portalına aktarmak için:

  1. Şirket içi yönetim konsolunuzda oturum açın ve Uyarı Dışlaması'nı seçin.

  2. Uyarı Dışlama sayfasında Dışarı Aktar'ı seçerek kurallarınızı öğesine aktarın. CSV dosyası.

  3. Azure portalında IoT için Defender'da Uyarıları>Gizleme kuralları'nı seçin.

  4. Gizleme kuralları (Önizleme) sayfasında Yerel yönetici kurallarını geçir'i seçin ve ardından adresine gidip öğesini seçin. Şirket içi yönetim konsolundan indirdiğiniz CSV dosyası.

  5. Gizleme kurallarını geçir bölmesinde, geçirmek üzere olduğunuz gizleme kurallarının karşıya yüklenen listesini gözden geçirin ve geçişi onayla'yı seçin.

  6. Geçersiz kılma iletisini onaylayın.

Kurallarınız, Gizleme kuralları (Önizleme) sayfasındaki gizleme kuralları listesine eklenir. Gerektiğinde düzenlemek veya silmek için bir kural seçin.

Şirket içi yönetim konsolunda uyarı dışlama kuralları oluşturma

Şirket içi yönetim konsolunda yalnızca yerel olarak yönetilen algılayıcılar için uyarı dışlama kuralları oluşturmanızı öneririz. Buluta bağlı algılayıcılar için Azure portalında oluşturulan tüm gizleme kuralları, bu algılayıcı için şirket içi yönetim konsolunda oluşturulan dışlama kurallarını geçersiz kılar.

Uyarı dışlama kuralı oluşturmak için:

  1. Şirket içi yönetim konsolunuzda oturum açın ve sol taraftaki menüden Uyarı Dışlaması'nı seçin.

  2. Uyarı Dışlama sayfasında, sağ üstteki düğmeyi seçerek + yeni bir kural ekleyin.

  3. Dışlama Kuralı Oluştur iletişim kutusunda aşağıdaki ayrıntıları girin:

    Veri Akışı Adı Açıklama
    Adı Kuralınız için anlamlı bir ad girin. Ad tırnak işareti (") içeremez.
    Zaman Aralığına Göre Bir saat dilimini ve dışlama kuralının etkin olmasını istediğiniz belirli bir zaman aralığını seçin ve ardından EKLE'yi seçin.

    Farklı saat dilimleri için ayrı kurallar oluşturmak için bu seçeneği kullanın. Örneğin, üç farklı saat diliminde 08:00 ile 10:00 arasında bir dışlama kuralı uygulamanız gerekebilir. Bu durumda, aynı zaman aralığını ve ilgili saat dilimini kullanan üç ayrı dışlama kuralı oluşturun.
    Cihaz Adresine Göre Aşağıdaki değerleri seçip girin ve EKLE'yi seçin:

    - Belirlenen cihazın kaynak mı, hedef mi yoksa hem kaynak hem de hedef cihaz mı olduğunu seçin.
    - Adresin IP adresi mi, MAC adresi mi yoksa alt ağ mı olduğunu seçin
    - IP adresinin, MAC adresinin veya alt ağın değerini girin.
    Uyarı Başlığına Göre Dışlama kuralına eklemek için bir veya daha fazla uyarı seçin ve ardından EKLE'yi seçin. Uyarı başlıklarını bulmak için uyarı başlığının tümünü veya bir bölümünü girin ve açılan listeden istediğinizi seçin.
    Algılayıcı Adına Göre Dışlama kuralına eklemek için bir veya daha fazla algılayıcı seçin ve ardından EKLE'yi seçin. Algılayıcı adlarını bulmak için algılayıcı adının tamamını veya bir bölümünü girin ve açılan listeden istediğinizi seçin.

    Önemli

    Uyarı dışlama kuralları temel alınır AND , bu da uyarıların yalnızca tüm kural koşulları karşılandığında dışlandığı anlamına gelir. Bir kural koşulu tanımlanmamışsa, tüm seçenekler dahil edilir. Örneğin, kurala bir algılayıcının adını eklemezseniz, kural tüm algılayıcılara uygulanır.

    İletişim kutusunun en altında kural parametrelerinin özeti gösterilir.

  4. Dışlama Kuralı Oluştur iletişim kutusunun en altında gösterilen kural özetini denetleyin ve KAYDET'i seçin

API aracılığıyla uyarı dışlama kuralları oluşturmak için:

Bir dış anahtarlama sisteminden veya ağ bakım işlemlerini yöneten başka bir sistemden şirket içi yönetim konsolu uyarı dışlama kuralları oluşturmak için IoT için Defender API'sini kullanın.

Kuralı uygulamak için algılayıcıları, analiz altyapılarını, başlangıç zamanını ve bitiş saatini tanımlamak için maintenanceWindow (Uyarı dışlamaları oluşturma) API'sini kullanın. API aracılığıyla oluşturulan dışlama kuralları, şirket içi yönetim konsolunda salt okunur olarak gösterilir.

Daha fazla bilgi için bkz . IoT için Defender API başvurusu.

OT ağında İnternet bağlantılarına izin verme

OT algılayıcınızda etki alanı adlarının izin verilenler listesini oluşturarak yetkisiz internet uyarılarının sayısını azaltın. DNS izin verilenler listesi yapılandırıldığında algılayıcı, bir uyarı tetiklemeden önce her yetkisiz İnternet bağlantısı denemesini listede denetler. Etki alanının FQDN'si izin verilenler listesine dahil edilirse algılayıcı uyarıyı tetiklemez ve trafiğe otomatik olarak izin verir.

Tüm OT algılayıcısı kullanıcıları, FQDN'ler , çözümlenen IP adresleri ve son çözümlenme zamanı dahil olmak üzere veri madenciliği raporundaki etki alanlarının şu anda yapılandırılmış bir listesini görüntüleyebilir.

DNS izin listesi tanımlamak için:

  1. OT algılayıcınızda yönetici kullanıcı olarak oturum açın ve Destek sayfasını seçin.

  2. Arama kutusunda DNS'yi arayın ve İnternet Etki Alanı İzin Verilenler listesi açıklamasıyla altyapıyı bulun.

  3. İnternet Etki Alanı İzin Verilenler listesi satırı için Düzenle'yi seçin. Örneğin:

    Screenshot of how to edit configurations for DNS in the sensor console.

  4. Yapılandırmayı düzenle bölmesi >Fqdn izin verilenler listesi alanına bir veya daha fazla etki alanı adı girin. Birden çok etki alanı adını virgülle ayırın. Algılayıcınız, yapılandırılmış etki alanlarında yetkisiz İnternet bağlantısı girişimleri için uyarı oluşturmaz.

  5. Değişikliklerinizi kaydetmek için Gönder'i seçin.

Veri madenciliği raporunda geçerli izin verilenler listesini görüntülemek için:

Özel veri madenciliği raporunuzda bir kategori seçerken DNS kategorisinin altında İnternet Etki Alanı İzin Verilenler Listesi'ni seçtiğinizden emin olun.

Örneğin:

Screenshot of how to generate a custom data mining report for the allowlist in the sensor console.

Oluşturulan veri madenciliği raporu, izin verilen etki alanlarının ve bu etki alanları için çözümlenen her IP adresinin listesini gösterir. Rapor ayrıca saniyeler içinde bu IP adreslerinin İnternet bağlantısı uyarısı tetiklemeyeceği TTL'yi de içerir. Örneğin:

Screenshot of data mining report of allowlist in the sensor console.

OT algılayıcısı üzerinde uyarı açıklamaları oluşturma

  1. OT algılayıcınızda oturum açın ve Sistem Ayarlar> Ağ İzleme Uyarı Açıklamaları'nı> seçin.

  2. Uyarı açıklamaları bölmesindeki Açıklama alanına yeni açıklamayı girin ve Ekle'yi seçin. Yeni açıklama, alanın altındaki Açıklama listesinde görünür.

    Örneğin:

    Screenshot of the Alert comments pane on the OT sensor.

  3. Yorumunuzu algılayıcınızdaki her uyarıdaki kullanılabilir açıklamalar listesine eklemek için Gönder'i seçin.

Takım üyelerinin eklemesi için algılayıcınızdaki her uyarıda özel açıklamalar bulunur. Daha fazla bilgi için bkz . Uyarı açıklamaları ekleme.

OT algılayıcısı üzerinde özel uyarı kuralları oluşturma

Ağınızda kullanıma hazır işlevsellik kapsamında olmayan belirli etkinliklere yönelik uyarıları tetikleyecek özel uyarı kuralları ekleyin.

Örneğin, MODBUS çalıştıran bir ortam için, belirli bir IP adresi ve Ethernet hedefinde bir bellek yazmaç için yazılmış komutları algılamak için bir kural ekleyebilirsiniz.

Özel uyarı kuralı oluşturmak için:

  1. OT algılayıcınızda oturum açın ve Özel uyarı kuralları>+ Kural oluştur'u seçin.

  2. Özel uyarı kuralı oluştur bölmesinde aşağıdaki alanları tanımlayın:

    Veri Akışı Adı Açıklama
    Uyarı adı Uyarı için anlamlı bir ad girin.
    Uyarı protokolü Algılamak istediğiniz protokolü seçin.
    Belirli durumlarda aşağıdaki protokollerden birini seçin:

    - Veritabanı verileri veya yapı işleme olayı için TNS veya TDS'yi seçin.
    - Dosya olayı için dosya türüne bağlı olarak HTTP, DELTAV, SMB veya FTP'yi seçin.
    - Paket indirme etkinliği için HTTP'yi seçin.
    - Açık bağlantı noktaları (bırakılan) olayı için bağlantı noktası türüne bağlı olarak TCP veya UDP'yi seçin.

    S7 veya CIP gibi OT protokollerinizden birinde belirli değişiklikleri izleyen kurallar oluşturmak için, bu protokolde bulunan veya sub-functiongibi tag parametreleri kullanın.
    İleti Uyarı tetiklendiğinde görüntülenecek bir ileti tanımlayın. Uyarı iletileri alfasayısal karakterleri ve algılanan trafik değişkenlerini destekler.

    Örneğin, algılanan kaynak ve hedef adreslerini eklemek isteyebilirsiniz. Uyarı iletisine değişken eklemek için küme ayraçlarını ({}) kullanın.
    Yön Trafiği algılamak istediğiniz bir kaynak ve/veya hedef IP adresi girin.
    Koşullar Uyarıyı tetikleyebilmek için karşılanması gereken bir veya daha fazla koşul tanımlayın.

    - VE işlecini + kullanan birden çok koşula sahip bir koşul kümesi oluşturmak için işareti seçin. İşaret + yalnızca Bir Uyarı protokolü değeri seçildiğinde etkinleştirilir.
    - Bir MAC adresini veya IP adresini değişken olarak seçerseniz, değeri noktalı ondalık adresten ondalık biçime dönüştürmeniz gerekir.

    Özel uyarı kuralı oluşturmak için en az bir koşul eklemeniz gerekir.
    Algılandı Algılamak istediğiniz trafik için bir tarih ve/veya saat aralığı tanımlayın. Günleri ve zaman aralığını bakım saatlerine uyacak şekilde özelleştirin veya çalışma saatlerini ayarlayın.
    Eylem Uyarı tetiklendiğinde IoT için Defender'ın otomatik olarak gerçekleştirmesini istediğiniz eylemi tanımlayın.
    IoT için Defender'ın belirtilen önem derecesine sahip bir uyarı veya olay oluşturmasını sağlayın.
    PCAP dahil Olay oluşturmayı seçtiyseniz pcap dahil seçeneğini gerektiği gibi temizleyin. Uyarı oluşturmayı seçtiyseniz, PCAP her zaman dahil edilir ve kaldırılamaz.

    Örneğin:

    Screenshot of the Create custom alert rule pane for creating custom alert rules.

  3. Kuralı kaydetmek için işiniz bittiğinde Kaydet'i seçin.

Özel uyarı kuralını düzenleme

Özel uyarı kuralını düzenlemek için kuralı seçin ve ardından seçenekler (...) menüsünü >Düzenle'yi seçin. Uyarı kuralını gerektiği gibi değiştirin ve değişikliklerinizi kaydedin.

Önem düzeyini veya protokolü değiştirme gibi özel uyarı kurallarında yapılan düzenlemeler OT algılayıcısının Olay zaman çizelgesi sayfasında izlenir.

Daha fazla bilgi için bkz . Algılayıcı etkinliğini izleme.

Özel uyarı kurallarını devre dışı bırakma, etkinleştirme veya silme

Tamamen silmeden çalışmasını önlemek için özel uyarı kurallarını devre dışı bırakın.

Özel uyarı kuralları sayfasında bir veya daha fazla kural seçin ve ardından araç çubuğundan gerektiğinde Devre Dışı Bırak, Etkinleştir veya Sil'i seçin.

Şirket içi yönetim konsolunda uyarı dışlama kuralları oluşturma

Algılayıcılarınıza, aksi takdirde uyarı tetikleyebilecek belirli trafiği yoksaymalarını bildirmek için uyarı dışlama kuralları oluşturun.

Örneğin, belirli bir algılayıcı tarafından izlenen tüm OT cihazlarının iki gün boyunca bakım yordamlarından geçeceğini biliyorsanız, IoT için Defender'a önceden tanımlanmış süre boyunca bu algılayıcı tarafından algılanan uyarıları gizlemesini belirten bir dışlama kuralı tanımlayın.

Uyarı dışlama kuralı oluşturmak için:

  1. Şirket içi yönetim konsolunuzda oturum açın ve sol taraftaki menüden Uyarı Dışlaması'nı seçin.

  2. Uyarı Dışlama sayfasında, sağ üstteki düğmeyi seçerek + yeni bir kural ekleyin.

  3. Dışlama Kuralı Oluştur iletişim kutusunda aşağıdaki ayrıntıları girin:

    Veri Akışı Adı Açıklama
    Adı Kuralınız için anlamlı bir ad girin. Ad tırnak işareti (") içeremez.
    Zaman Aralığına Göre Bir saat dilimini ve dışlama kuralının etkin olmasını istediğiniz belirli bir zaman aralığını seçin ve ardından EKLE'yi seçin.

    Farklı saat dilimleri için ayrı kurallar oluşturmak için bu seçeneği kullanın. Örneğin, üç farklı saat diliminde 08:00 ile 10:00 arasında bir dışlama kuralı uygulamanız gerekebilir. Bu durumda, aynı zaman aralığını ve ilgili saat dilimini kullanan üç ayrı dışlama kuralı oluşturun.
    Cihaz Adresine Göre Aşağıdaki değerleri seçip girin ve EKLE'yi seçin:

    - Belirlenen cihazın kaynak mı, hedef mi yoksa hem kaynak hem de hedef cihaz mı olduğunu seçin.
    - Adresin IP adresi mi, MAC adresi mi yoksa alt ağ mı olduğunu seçin
    - IP adresinin, MAC adresinin veya alt ağın değerini girin.
    Uyarı Başlığına Göre Dışlama kuralına eklemek için bir veya daha fazla uyarı seçin ve ardından EKLE'yi seçin. Uyarı başlıklarını bulmak için uyarı başlığının tümünü veya bir bölümünü girin ve açılan listeden istediğinizi seçin.
    Algılayıcı Adına Göre Dışlama kuralına eklemek için bir veya daha fazla algılayıcı seçin ve ardından EKLE'yi seçin. Algılayıcı adlarını bulmak için algılayıcı adının tamamını veya bir bölümünü girin ve açılan listeden istediğinizi seçin.

    Önemli

    Uyarı dışlama kuralları temel alınır AND , bu da uyarıların yalnızca tüm kural koşulları karşılandığında dışlandığı anlamına gelir. Bir kural koşulu tanımlanmamışsa, tüm seçenekler dahil edilir. Örneğin, kurala bir algılayıcının adını eklemezseniz, kural tüm algılayıcılara uygulanır.

    İletişim kutusunun en altında kural parametrelerinin özeti gösterilir.

  4. Dışlama Kuralı Oluştur iletişim kutusunun en altında gösterilen kural özetini denetleyin ve KAYDET'i seçin

API aracılığıyla uyarı dışlama kuralları oluşturma

Bir dış anahtarlama sisteminden veya ağ bakım işlemlerini yöneten başka bir sistemden uyarı dışlama kuralları oluşturmak için IoT için Defender API'sini kullanın.

Kuralı uygulamak için algılayıcıları, analiz altyapılarını, başlangıç zamanını ve bitiş saatini tanımlamak için maintenanceWindow (Uyarı dışlamaları oluşturma) API'sini kullanın. API aracılığıyla oluşturulan dışlama kuralları, şirket içi yönetim konsolunda salt okunur olarak gösterilir.

Daha fazla bilgi için bkz . IoT için Defender API başvurusu.

Sonraki adımlar

IoT için Microsoft Defender uyarıları