OT algılayıcınızda uyarıları görüntüleme ve yönetme

  • Makale

IoT için Microsoft Defender uyarıları, ağınızda günlüğe kaydedilen olaylar hakkındaki gerçek zamanlı ayrıntılarla ağ güvenliğinizi ve işlemlerinizi geliştirir. OT ağ algılayıcıları, ağ trafiğinde dikkat edilmesi gereken değişiklikleri veya şüpheli etkinlikleri algıladığında OT uyarıları tetiklenir.

Bu makalede, IoT için Defender uyarılarını doğrudan ot ağ algılayıcısında görüntüleme açıklanmaktadır. Ot uyarılarını Azure portalında veya şirket içi yönetim konsolunda da görüntüleyebilirsiniz.

Daha fazla bilgi için bkz . IoT için Microsoft Defender uyarıları.

Önkoşullar

  • OT algılayıcınızda uyarıların olması için algılayıcınız için yapılandırılmış bir SPAN bağlantı noktası ve IoT için Defender izleme yazılımının yüklü olması gerekir. Daha fazla bilgi için bkz . OT aracısız izleme yazılımını yükleme.

  • OT algılayıcısı uyarılarını görüntülemek için algılayıcınızda Yönetici, Güvenlik Analisti veya Görüntüleyici kullanıcısı olarak oturum açın.

  • OT algılayıcısı uyarılarını yönetmek için algılayıcınızda Yönetici veya Güvenlik Analisti kullanıcısı olarak oturum açın. Uyarı yönetimi etkinlikleri, durumlarını veya önem derecelerini değiştirmeyi, bir uyarıyı öğrenmeyi veya sessize almayı , PCAP verilerine erişmeyi veya bir uyarıya önceden tanımlanmış açıklamalar eklemeyi içerir.

Daha fazla bilgi için bkz . IoT için Defender ile OT izleme için şirket içi kullanıcılar ve roller.

OT algılayıcısı uyarılarını görüntüleme

  1. OT algılayıcı konsolunuzda oturum açın ve soldaki Uyarılar sayfasını seçin.

    Varsayılan olarak, kılavuzda aşağıdaki ayrıntılar gösterilir:

    Adı Açıklama
    Önem Derecesi Algılayıcı tarafından gerekli şekilde değiştirebileceğiniz önceden tanımlanmış uyarı önem derecesi: Kritik, Ana, İkincil, Uyarı.
    Adı Uyarı başlığı
    Motoru Etkinliği algılayan ve uyarıyı tetikleyen IoT için Defender algılama altyapısı .
    Son algılama Uyarının en son algılandığı zaman.

    - Uyarının durumu Yeni ise ve aynı trafik yeniden görülüyorsa, aynı uyarı için Son algılama zamanı güncelleştirilir.
    - Uyarının durumu Kapalı ise ve trafik yeniden görülüyorsa, Son algılama zamanı güncelleştirilmez ve yeni bir uyarı tetikler.
    Statü Uyarı durumu: Yeni, Etkin, Kapalı

    Daha fazla bilgi için bkz . Uyarı durumları ve önceliklendirme seçenekleri.
    Kaynak Cihaz Kaynak cihaz IP adresi, MAC veya cihaz adı.

    1. Diğer ayrıntıları görüntülemek için Sütunları Düzenle düğmesini seçin.

      Sağdaki Sütunları Düzenle bölmesinde Sütun Ekle'yi ve aşağıdaki ek sütunlardan birini seçin:

      Adı Açıklama
      Hedef Cihaz Hedef cihaz IP adresi.
      İlk algılama Uyarı etkinliği ilk kez algılandı.
      Kimlik Uyarı kimliği.
      Son etkinlik Önem derecesi veya durum için el ile yapılan güncelleştirmeler ya da cihaz güncelleştirmeleri ya da cihaz/uyarı yinelenenleri kaldırma için otomatik değişiklikler de dahil olmak üzere uyarının son değiştirildiği zaman

Görüntülenen uyarıları filtrele

Belirli parametreler tarafından görüntülenen uyarıları filtrelemek veya belirli bir uyarıyı bulmaya yardımcı olmak için Arama kutusunu, Zaman aralığı ve Filtre seçenekleri ekle'yi kullanın.

Örneğin:

Screenshot of an OT sensor Alerts page being filtered by Groups.

Uyarıları Gruplara göre filtrelemek, Cihaz envanterinde veya Cihaz haritası sayfalarında oluşturmuş olabileceğiniz tüm özel grupları kullanır.

Görüntülenen grup uyarıları

Kılavuzu Önem Derecesi, Ad, Altyapı veya Durum temelinde alt bölümlere daraltmak için sağ üstteki Gruplandırma ölçütü menüsünü kullanın.

Örneğin, kılavuzun üzerinde toplam uyarı sayısı görünürken, belirli bir önem derecesine veya duruma sahip uyarı sayısı gibi uyarı sayısı dökümü hakkında daha ayrıntılı bilgiler isteyebilirsiniz.

Ayrıntıları görüntüleme ve belirli bir uyarıyı düzeltme

  1. OT sensöründe oturum açın ve sol taraftaki menüden Uyarılar'ı seçin.

  2. Sağdaki bölmede daha fazla ayrıntı görüntülemek için kılavuzda bir uyarı seçin. Uyarı ayrıntıları bölmesi uyarı açıklamasını, trafik kaynağını ve hedefini ve daha fazlasını içerir. Detaya gitmek için Tüm ayrıntıları görüntüle'yi seçin. Örneğin:

    Screenshot of an alert selected from the Alerts page on an OT sensor.

  3. Uyarı ayrıntıları sayfasında uyarı hakkında daha fazla ayrıntı ve Eylem gerçekleştir sekmesinde bir düzeltme adımları kümesi sağlanır.

    Daha bağlamsal içgörüler elde etmek için aşağıdaki sekmeleri kullanın:

    • Harita Görünümü. Algılayıcınıza bağlı diğer cihazlarla birlikte kaynak ve hedef cihazları harita görünümünde görüntüleyin. Örneğin:

      Screenshot of the Map View tab on an alert details page.

    • Olay Zaman Çizelgesi. Olayı ilgili cihazlardaki diğer son etkinliklerle birlikte görüntüleyin. Görüntülenen verileri özelleştirmek için filtre seçenekleri. Örneğin:

      Screenshot of an event timeline on an alert details page.

Uyarı durumunu ve önceliklendirme uyarılarını yönetme

İlerlemenin kaydedilmesi için düzeltme adımlarını gerçekleştirdikten sonra uyarı durumunuzu güncelleştirdiğinizden emin olun. Tek bir uyarı veya toplu olarak bir uyarı seçimi için durumu güncelleştirebilirsiniz.

IoT için Defender'a algılanan ağ trafiğinin yetkilendirildiğini belirten bir uyarı öğrenin . Ağınızda aynı trafik bir sonraki algılandığında öğrenilen uyarılar yeniden tetiklenmez. Öğrenme kullanılamadığında ve ağınızdaki belirli bir senaryoyı yoksaymak istediğinizde uyarının sesini kapatın.

Daha fazla bilgi için bkz . Uyarı durumları ve önceliklendirme seçenekleri.

  • Uyarı durumunu yönetmek için:

    1. OT algılayıcı konsolunuzda oturum açın ve soldaki Uyarılar sayfasını seçin.

    2. Durumunu güncelleştirmek istediğiniz kılavuzda bir veya daha fazla uyarı seçin.

    3. Uyarı durumunu güncelleştirmek için sağ taraftaki ayrıntılar bölmesindeki Araç Çubuğu Durumu Değiştir düğmesini veya Durum seçeneğini kullanın.

      Durum seçeneği uyarı ayrıntıları sayfasında da kullanılabilir.

  • Bir veya daha fazla uyarıyı öğrenmek için:

    OT algılayıcı konsolunuzda oturum açın, soldaki Uyarılar sayfasını seçin ve aşağıdakilerden birini yapın:

    • Kılavuzda bir veya daha fazla öğrenilebilir uyarı seçin ve ardından araç çubuğundan Öğren'i seçin.
    • Uyarı ayrıntıları sayfasındaki Eyleme Geç sekmesinde Öğren'i seçin.

  • Uyarının sesini kapatmak için:

    1. OT algılayıcı konsolunuzda oturum açın ve soldaki Uyarılar sayfasını seçin.
    2. Sessize almak istediğiniz uyarıyı bulun ve uyarı ayrıntıları sayfasını açın.
    3. Eylem yap sekmesinde, Uyarı sesini kapat seçeneğine geçin.

  • Uyarıyı açmak veya açmak için:

    1. OT algılayıcı konsolunuzda oturum açın ve soldaki Uyarılar sayfasını seçin.
    2. Öğrendiğiniz veya sesini kapatmış olduğunuz uyarıyı bulun ve uyarı ayrıntıları sayfasını açın.
    3. Eylem yap sekmesinde Uyarı öğrenme veya Uyarı sesini kapat seçeneğini kapatın.

    Bir uyarıyı açtığınızda veya açtığınızda, algılayıcı seçilen trafik bileşimini algıladığınızda uyarılar yeniden tetiklenir.

Uyarı PCAP verilerine erişme

Araştırmanızın bir parçası olarak paket yakalama dosyaları veya PCAP dosyaları olarak da bilinen ham trafik dosyalarına erişmek isteyebilirsiniz.

Uyarınızın ham trafik dosyalarına erişmek için uyarı ayrıntıları sayfanızın sol üst köşesinden PCAP İndir'i seçin:

Örneğin:

Screenshot of the Download PCAP options on the OT sensor.

PCAP dosyası indirilir ve tarayıcınız dosyayı yerel olarak açmanızı veya kaydetmenizi ister.

Uyarıları CSV veya PDF'ye aktarma

Çevrimdışı paylaşım ve raporlama için bir csv veya PDF dosyasına çeşitli uyarıları dışarı aktarmak isteyebilirsiniz.

  • Uyarıları ana Uyarılar sayfasından csv dosyasına aktarın. Uyarıları birer birer veya toplu olarak dışarı aktarın.
  • Uyarıları ana Uyarılar sayfasından veya uyarı ayrıntıları sayfasından yalnızca bir PDF dosyasına aktarın.

Uyarıları csv dosyasına aktarmak için:

  1. OT algılayıcı konsolunuzda oturum açın ve soldaki Uyarılar sayfasını seçin.

  2. Yalnızca dışarı aktarmak istediğiniz uyarıları göstermek için arama kutusunu ve filtre seçeneklerini kullanın.

  3. Kılavuzun üstündeki araç çubuğunda CSV'ye aktar'ı seçin.

Dosya oluşturulur ve dosyayı yerel olarak açmanız veya kaydetmeniz istenir.

Bir uyarıyı PDF dosyasına aktarmak için:

OT algılayıcı konsolunuzda oturum açın, soldaki Uyarılar sayfasını seçin ve aşağıdakilerden birini yapın:

  • Uyarılar sayfasında bir uyarı seçin ve ardından kılavuzun üstündeki araç çubuğundan PDF'ye Aktar'ı seçin.
  • Uyarı ayrıntıları sayfasında PDF'ye Aktar'ı seçin.

Dosya oluşturulur ve yerel olarak kaydetmeniz istenir.

Uyarı açıklamaları ekleme

Uyarı açıklamaları, ekip üyeleri arasındaki iletişimi ve verileri kaydetmeyi daha verimli hale getirerek araştırmanızı ve düzeltme sürecinizi hızlandırmanıza yardımcı olur.

Yöneticiniz ekibinizin uyarılara eklemesi için özel açıklamalar oluşturduysa, bunları uyarı ayrıntıları sayfasındaki Açıklamalar bölümünden ekleyin.

  1. OT algılayıcı konsolunuzda oturum açın ve soldaki Uyarılar sayfasını seçin.

  2. Açıklama eklemek istediğiniz uyarıyı bulun ve uyarı ayrıntıları sayfasını açın.

  3. Açıklama seç listesinden, eklemek istediğiniz açıklamayı seçin ve ardından Ekle'yi seçin. Örneğin:

    Screenshot of the Comments section on an alert details page on the sensor.

Daha fazla bilgi için bkz . OT uyarı iş akışlarını hızlandırma.

Sonraki adımlar

IoT için Microsoft Defender genelinde veri saklama