Azure portalından uyarıları görüntüleme ve yönetme

IoT için Microsoft Defender uyarıları, ağınızda günlüğe kaydedilen olaylar hakkındaki gerçek zamanlı ayrıntılarla ağ güvenliğinizi ve işlemlerinizi geliştirir. Bu makalede, OT ve Enterprise IoT ağ algılayıcıları tarafından oluşturulan uyarılar da dahil olmak üzere Azure portalında IoT için Microsoft Defender uyarılarının nasıl yönetileceğini açıklar.

• OT uyarıları her OT ağ algılayıcı konsolunda veya bağlı bir şirket içi yönetim konsolunda da kullanılabilir

• Microsoft Sentinel'de IoT için Defender uyarılarını görüntülemek ve bunları güvenlik olaylarıyla birlikte yönetmek için Microsoft Sentinel ile tümleştirin.

• Microsoft Defender XDR'de Kurumsal IoT güvenliğiaçıksa, Uç Nokta için Microsoft Defender tarafından algılanan Kurumsal IoT cihazlarına yönelik uyarılar yalnızca Uç Nokta için Defender'da kullanılabilir.

  Daha fazla bilgi için bkz . Kuruluştaki IoT cihazlarının güvenliğini sağlama ve Microsoft Defender XDR'de Uyarılar kuyruğu.

Önkoşullar

• IoT için Defender'da uyarıların olması için, ioT için Defender'a eklenen bir OT ve ağ veri akışına sahip olmanız gerekir.

• Azure portalında uyarıları görüntülemek için Güvenlik Okuyucusu, Güvenlik Yönetici, Katkıda Bulunan veya Sahip olarak erişiminiz olmalıdır

• Azure portalında uyarıları yönetmek için Güvenlik Yönetici, Katkıda Bulunan veya Sahip olarak erişiminiz olmalıdır. Uyarı yönetimi etkinlikleri, durumlarını veya önem derecelerini değiştirmeyi, uyarı öğrenmeyi , PCAP verilerine erişmeyi veya uyarı engelleme kurallarını kullanmayı içerir.

Daha fazla bilgi için bkz . IoT için Defender için Azure kullanıcı rolleri ve izinleri.

Azure portalında uyarıları görüntüleme

1. Azure portalında IoT için Defender'da soldaki Uyarılar sayfasını seçin. Varsayılan olarak, kılavuzda aşağıdaki ayrıntılar gösterilir:

   Sütun	Açıklama
   Önem Derecesi	Algılayıcı tarafından gerektiği gibi değiştirebileceğiniz önceden tanımlanmış bir uyarı önem derecesi.
   Ad	Uyarı başlığı.
   Tesis	Siteler ve algılayıcılar sayfasında listelenen uyarıyı algılayan algılayıcıyla ilişkili site.
   Motoru	Etkinliği algılayan ve uyarıyı tetikleyen IoT için Defender algılama altyapısı . Not: Mikro aracı değeri, olayın IoT için Defender Cihaz Oluşturucusu platformu tarafından tetiklendiğini gösterir.
   Son algılama	Uyarının en son algılandığı zaman. - Uyarının durumu Yeni ise ve aynı trafik yeniden görülüyorsa, aynı uyarı için Son algılama zamanı güncelleştirilir. - Uyarının durumu Kapalı ise ve trafik yeniden görülüyorsa, Son algılama zamanı güncelleştirilmez ve yeni bir uyarı tetikler.
   Statü	Uyarı durumu: Yeni, Etkin, Kapalı Daha fazla bilgi için bkz . Uyarı durumları ve önceliklendirme seçenekleri.
   Kaynak cihaz	UYARıyı tetikleyen trafiğin kaynaklandığı IP adresi, MAC adresi veya cihazın adı.
   Taktik	MITRE ATT&CK aşaması.

   1. Diğer ayrıntıları görüntülemek için Sütunları düzenle düğmesini seçin.

      Sağdaki Sütunları düzenle bölmesinde Sütun Ekle'yi ve aşağıdaki ek sütunlardan herhangi birini seçin:

      Sütun	Açıklama
      Kaynak cihaz adresi	Kaynak cihazın IP adresi.
      Hedef cihaz adresi	Hedef cihazın IP adresi.
      Hedef cihaz	Hedef IP veya MAC adresi ya da hedef cihaz adı.
      İlk algılama	Uyarı ağda ilk kez algılandı.
      Kimlik	Algılayıcı konsolundaki kimlikle uyumlu benzersiz uyarı kimliği. Not: Uyarı, aynı uyarıyı algılayan algılayıcılardan gelen diğer uyarılarla birleştirildiyse, Azure portalı uyarıları oluşturan ilk algılayıcının uyarı kimliğini görüntüler.
      Son etkinlik	Önem derecesi veya durum için el ile yapılan güncelleştirmeler ya da cihaz güncelleştirmeleri ya da cihaz/uyarı yinelenenleri kaldırma için otomatik değişiklikler de dahil olmak üzere uyarının en son değiştirildiği zaman
      Protokol	Uyarının ağ trafiğinde algılanan protokol.
      Sensör	Uyarıyı algılayan algılayıcı.
      Bölge	Uyarıyı algılayan algılayıcıya atanan bölge.
      Kategori	İşletimsel sorunlar, özel uyarılar veya geçersiz komutlar gibi uyarıyla ilişkili kategori.
      Tür	Uyarının iç adı.

İpucu

Beklenenden daha fazla uyarı görüyorsanız, geçerli ağ etkinliği için uyarıların tetiklenmesini önlemek için gizleme kuralları oluşturmak isteyebilirsiniz. Daha fazla bilgi için bkz . Ilgisiz uyarıları gizleme.

Görüntülenen uyarıları filtrele

Belirli parametrelerle görüntülenen uyarıları filtrelemek veya belirli bir uyarıyı bulmanıza yardımcı olmak için Arama kutusunu, Zaman aralığı ve Filtre seçenekleri ekle'yi kullanın.

Örneğin, uyarıları Kategoriye göre filtreleyin:

Görüntülenen grup uyarıları

Kılavuzu belirli parametrelere göre alt bölümlere daraltmak için sağ üstteki Gruplandırma ölçütü menüsünü kullanın.

Örneğin, kılavuzun üzerinde toplam uyarı sayısı görünürken, belirli bir önem derecesine, protokole veya siteye sahip uyarıların sayısı gibi uyarı sayısı dökümü hakkında daha ayrıntılı bilgiler isteyebilirsiniz.

Desteklenen gruplandırma seçenekleri: Altyapı, Ad, Algılayıcı, Önem Derecesi ve Site.

Ayrıntıları görüntüleme ve belirli bir uyarıyı düzeltme

1. Uyarılar sayfasında, sağdaki bölmede daha fazla ayrıntı görüntülemek için kılavuzda bir uyarı seçin. Uyarı ayrıntıları bölmesi uyarı açıklamasını, trafik kaynağını ve hedefini ve daha fazlasını içerir.

   Detaya gitmek için Tüm ayrıntıları görüntüle'yi seçin. Örneğin:

   

2. Uyarı ayrıntıları sayfasında uyarı hakkında daha fazla ayrıntı ve Eylem gerçekleştir sekmesinde bir düzeltme adımları kümesi sağlanır. Örneğin:

   

Uyarı önem derecesini ve durumunu yönetme

En riskli uyarıları en kısa sürede önceliklendirebilmeniz için bir uyarıyı önceliklendirdiğiniz anda Azure portalında IoT için Defender'da uyarı önem derecesini güncelleştirmenizi öneririz. İlerlemenin kaydedilmesi için düzeltme adımlarını gerçekleştirdikten sonra uyarı durumunuzu güncelleştirdiğinizden emin olun.

Tek bir uyarı için veya bir uyarı seçimi için hem önem derecesini hem de durumunu toplu olarak güncelleştirebilirsiniz.

IoT için Defender'a algılanan ağ trafiğinin yetkilendirildiğini belirten bir uyarı öğrenin . Öğrenilen uyarılar, ağınızda aynı trafik bir sonraki algılandığında yeniden tetiklenmiyor. Öğrenme yalnızca seçili uyarılar için desteklenir ve öğrenmeyi kaldırma yalnızca OT ağ algılayıcısından desteklenir.

Daha fazla bilgi için bkz . Uyarı durumları ve önceliklendirme seçenekleri.

• Tek bir uyarıyı yönetmek için:

  1. Azure portalında IoT için Defender'da, soldaki Uyarılar sayfasını seçin ve ardından kılavuzda bir uyarı seçin.
  2. Sağ taraftaki ayrıntılar bölmesinde veya uyarı ayrıntıları sayfasının kendisinde yeni durumu ve/veya önem derecesini seçin.

• Birden çok uyarıyı toplu olarak yönetmek için:

  1. Azure portalında IoT için Defender'da, soldaki Uyarılar sayfasını seçin ve ardından kılavuzda değiştirmek istediğiniz uyarıları seçin.
  2. Seçili tüm uyarıların durumunu ve/veya önem derecesini güncelleştirmek için araç çubuğundaki Durumu değiştir ve/veya Önem derecesini değiştir seçeneklerini kullanın.

• Bir veya daha fazla uyarıyı öğrenmek için:

  Azure portalında IoT için Defender'da, sol taraftaki Uyarılar sayfasını seçin ve aşağıdakilerden birini yapın:

  • Kılavuzda bir veya daha fazla öğrenilebilir uyarı seçin ve ardından araç çubuğundan Öğren'i seçin.
  • Öğrenilebilir bir uyarının uyarı ayrıntıları sayfasında, Eyleme Geç sekmesinde Öğren'i seçin.

Uyarı PCAP verilerine erişme

Araştırmanızın bir parçası olarak paket yakalama dosyaları veya PCAP dosyaları olarak da bilinen ham trafik dosyalarına erişmek isteyebilirsiniz. SOC veya OT güvenlik mühendisiyseniz daha hızlı araştırmanıza yardımcı olmak için PCAP dosyalarına doğrudan Azure portalından erişin.

Uyarınızın ham trafik dosyalarına erişmek için uyarı ayrıntıları sayfanızın sol üst köşesindeki PCAP'yi İndir'i seçin.

Örneğin:

Portal, uyarıyı algılayan algılayıcıdan dosyayı talep eder ve Azure depolama alanınıza indirir.

ALGıLAYıCı bağlantınızın kalitesine bağlı olarak PCAP dosyasının indirilmesi birkaç dakika sürebilir.

Uyarıları CSV dosyasına aktarma

Çevrimdışı paylaşım ve raporlama için bir CSV dosyasına çeşitli uyarıları dışarı aktarmak isteyebilirsiniz.

1. Azure portalında IoT için Defender'da soldaki Uyarılar sayfasını seçin.

2. Yalnızca dışarı aktarmak istediğiniz uyarıları göstermek için arama kutusunu ve filtre seçeneklerini kullanın.

3. Kılavuzun üstündeki araç çubuğunda Dışarı Aktar>Onayla'yı seçin.

Dosya oluşturulur ve yerel olarak kaydetmeniz istenir.

Sonraki adımlar

IoT için Microsoft Defender uyarıları