Şirket içi yönetim konsolunda uyarılarla çalışma

Yönetim konsolunda Uyarılar penceresinden şunları yapabilirsiniz:

  • Uyarı filtreleri ile çalışma

  • Uyarı sayaçları ile çalışma

  • Uyarı bilgilerini görüntüleme

  • Uyarı olaylarını yönetme

  • Uyarı dışlama kuralları oluşturma

  • Dış sistemlerden uyarı dışlama kurallarını tetikleme

  • Uyarı gruplarıyla olay iş akışını hızlandırma

Şirket içi yönetim konsolunda uyarıları görüntüleme

Şirket içi yönetim konsolu, bağlı tüm algılayıcılardan gelen uyarıları toplar. Bu, ağınız içinde son tehditlerin kurumsal bir görünümünü sağlar ve algılayıcı kullanıcılarının bunları nasıl ele aldıklarını daha iyi anlamanıza yardımcı olur.

Uyarılar penceresinin ekran görüntüsü.

Uyarı filtreleri ile çalışma

Uyarılar penceresinde, şirket içi yönetim konsolunuzun bağlı olduğu algılayıcılar tarafından oluşturulan uyarılar görüntülenir. Bağlı algılayıcılar için tüm uyarıları görüntülebiliyor veya belirli bir algılayıcıdan gönderilen uyarıları sunabilirsiniz:

  • Site

  • Bölge

  • Cihaz

  • Sensör

Tüm uyarıları görüntülemek için Filtreleri Temizle'yi seçin.

Filtreleri Temizle düğmesini seçerek filtrelerinizi temizleme.

Uyarı sayaçları ile çalışma

Uyarı sayaçları, önem derecesine ve kabul edildi durumuna göre uyarıların dökümünü sağlar.

Uyarı sayacı kaç uyarıya sahip olduğunu gösterir.

Uyarı sayacında aşağıdaki önem derecesi düzeyleri görünür:

  • Kritik: Hemen elesi gereken kötü amaçlı bir saldırıyı gösterir.

  • Ana: Ele olması gereken bir güvenlik tehdidini gösterir.

  • Küçük: Güvenlik tehdidi içere bir temel davranıştan sapma olduğunu gösterir.

  • Uyarı: Güvenlik tehdidine neden olan bir durumla temel davranıştan sapma olduğunu gösterir.

Önem düzeyleri önceden tanımlanmıştır.

Kabul ve onaylanmamış uyarılara göre sayı sağlamak için sayacı ayarlayabilirsiniz. IoT algılayıcıları için Defender'da doğrulanmamış uyarılar tetiklenir ancak algılayıcıda operatörler tarafından henüz gözden geçirilmedi.

Onaylandı Uyarılarını Göster seçeneği seçildiğinde, onaylandı olan tüm uyarılar Uyarılar penceresinde görüntülenir.

Onaylandı uyarılarınızı görüntüleme.

Uyarı bilgilerini görüntüleme

Uyarı aşağıdaki bilgileri sunar:

  • Uyarı olayı özeti.

  • Uyarı önem derecesi.

  • Algılanan algılayıcıda uyarının bağlantısı.

  • Bir uyarı UUID'i. UUID, algılayıcıda algılanan uyarı olayıyla ilişkili uyarı kimliğinden, kısa çizgiyle ayrılmış ve ardından benzersiz bir sistem kimliği numarasından oluşur.

Şirket içi yönetim konsolu Uyarı UUID'i

Cihaz bağlı ancak yetkilendiril değil.

Algılayıcı uyarı kimliği

Algılayıcı uyarı kimliği.

UUID'lerle çalışmak, şirket içi yönetim konsolunda görüntülenen her uyarının aranabilir ve benzersiz bir sayıyla tanımlanabilir olması sağlar. Birden çok algılayıcıdan oluşturulan uyarılar aynı uyarı kimliğini üretebilir.

Not

Varsayılan olarak, iletme kuralları tanımlanırken UUID'ler aşağıdaki iş ortağı sistemlerinde görüntülenir: ArcSight, syslog sunucuları, QRadar, Sentinel ve NetWitness. Kurulum gerekmez.

Uyarı bilgilerini görüntülemek için:

  • Uyarı listesinden bir uyarı seçin.

    Uyarı bilgilerini ekran görüntüsü.

Uyarıyı algılayıcıda görüntülemek için:

  • Uyarıdan SENSÖR AÇ'ı seçin.

Cihazları bir bölge haritasında görüntülemek için:

  • Uyarıya sahip cihaza ve cihaza bağlı tüm cihazlara odaklanarak cihaz haritasını görüntülemek için SHOW DEVICES (CIHAZLARı GÖSTER) öğesini seçin.

Uyarı olaylarını yönetme

Şirket içi yönetim konsolundan uyarı olaylarını yönetmek için çeşitli seçenekler mevcuttur.

  • Uyarı olaylarını öğrenin veya onaylar. Yetkilendiril & tüm uyarı olaylarını öğrenmek ve şu anda onaylanmaz olan tüm uyarı olaylarını kabul etmek için Learn 'i (Onayla) seçin.

    Her şeyi öğrenmek & Learn ve Onay'ı seçin.

  • Uyarı olaylarını sessize alma ve seslerini aç.

Uyarı olaylarını öğrenme, onay ve algılama hakkında daha fazla bilgi edinmek için Algılayıcı Uyarı olaylarını yönetme makalesine bakın.

Uyarı bilgilerini dışarı aktarma

Uyarı bilgilerini bir .csv aktarın. Algılanan tüm uyarıların bilgilerini dışarı aktarabilirsiniz veya bilgileri filtrelenmiş görünüme göre dışarı aktarabilirsiniz. Aşağıdaki bilgiler dışarı aktarıldı:

  • Kaynak Adres
  • Hedef Adres
  • Uyarı başlığı
  • Uyarı önem derecesi
  • Uyarı iletisi
  • Ek bilgiler
  • Onaylandı durumu
  • PCAP kullanılabilirliği

Uyarıları dışarı aktarma:

  1. Yan menüden Uyarılar'ı seçin.

  2. Export (Dışarı aktar) öğesini seçin.

  3. Uyarı bilgilerini birden çok cihazı kapsayan her uyarı için ayrı satırlarda dışarı aktarın Genişletilmiş Uyarıları Dışarı Aktar'ı seçin. Genişletilmiş Uyarıları Dışarı Aktar seçildiğinde, .csv dosyası her satırdaki benzersiz öğelerle uyarının yinelenen bir satırını oluşturacak. Bu seçeneğin kullanımı, dışarı aktarılan uyarı olaylarını araştırmayı kolaylaştırır.

Yönlendirme kuralları oluşturma

Yönetim konsolunda bir iletme kuralı oluşturmak için:

  1. Algılayıcıda oturum açma.

  2. Yan menüden İleri'yi seçin.

  3. Simgesini seçin.

  4. Yönlendirme Kuralı Oluştur penceresinde kural için bir ad girin

    Yönlendirme Kuralı Oluştur penceresinin alanına anlamlı bir ad girin.

    Bir iletme kuralının tetiklen ölçütlerini tanımlayın. Yönlendirme kuralı ölçütleriyle çalışmak, algılayıcıdan dış sistemlere gönderilen bilgi hacmini tespit etmek ve yönetmek için yardımcı olur.

  5. Açılan menüden önem derecesine tıklayın.

    Bu, önem derecesi açısından en düşük güvenlik olayıdır. Örneğin, Küçük , küçük uyarılar'ı ve bu önem düzeyinin üzerindeki herhangi bir uyarıyı seçersiniz. Düzeyler önceden tanımlanmıştır.

  6. Uygulanacak protokolleri seçin.

    Yalnızca algılanan trafik belirli protokoller üzerinde çalışıyorsa iletme kuralını tetikler. Açılan listeden gerekli protokolleri seçin veya hepsini seçin.

  7. Kuralın hangi altyapılara uygulan gerektiğini seçin.

    Gerekli altyapıları seçin veya hepsini seçin. Seçili altyapılardan uyarılar gönderilir.

  8. Kurala iletmenin sistem bildirimlerini bildirmesi için onay kutusunu seçin.

  9. Kurala iletmenin uyarı bildirimlerini bildirmesi için onay kutusunu seçin.

  10. Uygulanacak eylemi eklemek için Ekle'yi seçin. Seçilen eylem için gereken tüm parametreleri doldurun.

    Yönlendirme kuralı eylemleri, algılayıcıya uyarı bilgilerini iş ortağı satıcılarına veya sunucularına iletme talimatı verir. Her iletme kuralı için birden çok eylem oluşturabilirsiniz.

  11. İsterseniz başka bir eylem ekleyin.

  12. Kaydet’i seçin.

Iletili uyarı bilgileri hakkında daha fazla bilgi edinebilirsiniz. Ayrıca, Sına iletme kurallarını veyaDüzenleme ve silme iletme kurallarını da silebilirsiniz. Ayrıca, Yönlendirme kuralları ve uyarıdışlama kuralları hakkında daha fazla bilgi de öğrensiniz.

Uyarı dışlama kuralları oluşturma

IoT için Defender'a uyarı tetikleyicilerini göz ardı etme talimatı:

  • Saat dilimleri ve zaman dilimleri

  • Cihaz adresi (IP, MAC, alt ağ)

  • Uyarı adları

  • Belirli bir algılayıcı

IoT için Defender'ın bir uyarıyı tetikleyen etkinliği yoksaymasini istediğinizde uyarı dışlama kuralları oluşturun.

Örneğin, belirli bir algılayıcı tarafından izlenen tüm OT cihazlarının iki gün boyunca bakım yordamları yapacaklarını biliyorsanız, önceden tanımlanmış süre boyunca bu algılayıcı tarafından algılanan uyarıları gizlemesi için IoT için Defender'a talimatı olan bir dışlama kuralı tanımlayabilirsiniz.

Uyarı dışlama mantığı

Uyarı kuralı mantığı AND temel alınan bir mantıktır. Bu, bir uyarının yalnızca tüm kural koşulları karşılendiğinde tetiklen anlamına gelir.

Kural koşulu tanımlanmamışsa, koşul tüm seçenekleri içerir. Örneğin kurala bir algılayıcının adını dahil etmeyebiliyorsanız tüm algılayıcılara uygulanır.

Dışlama Kuralı Oluştur görünümünün ekran görüntüsü.

Kural özetleri Dışlama Kuralı penceresinde görüntülenir.

Dışlama Kuralı Özeti görünümünün ekran görüntüsü.

Dışlama kurallarıyla çalışmaya ek olarak, uyarıların yerlerini bölerek uyarıları bastıramaz.

Dışlama kuralları oluşturma

Dışlama kuralları oluşturmak için:

  1. Şirket içi yönetim konsolunuzun sol bölmesinde Uyarı Dışlama'ya tıklayın. Açılan pencerenin sağ üst köşesindeki Ekle simgesini seçerek yeni bir dışlama kuralı tanımlayın. Dışlama Kuralı Oluştur iletişim kutusu açılır.

    Buradaki bilgileri doldurarak uyarı dışlama oluşturun.

  2. Ad alanına bir kural adı girin. Ad tırnak ( ) içerenin. "

  3. Saat Dilimine/Döneme Göre bölümünde, belirli bir saat dilimi içinde bir zaman dilimi girin. Bir saat diliminde belirli bir zaman dilimi için bir dışlama kuralı oluşturulduğunda, ancak diğer saat dilimleri içinde aynı anda uygulanması gereken bu özelliği kullanın. Örneğin, üç farklı saat diliminde 08:00 ile 10:00 arasında bir dışlama kuralı uygulamalıyabilirsiniz. Bu durumda, aynı zaman dilimini ve ilgili saat dilimini kullanan üç ayrı dışlama kuralı oluşturun.

  4. EKLE'yi seçin. Dışlama süresi boyunca bağlı algılayıcılarda uyarı oluşturulmaz.

    Zaman Dönemine Göre görünümünün ekran görüntüsü.

  5. Cihaz Adresine Göre bölümünde şunları tanımlayın:

  • Dışlamak istediğiniz cihaz IP adresi, MAC adresi veya alt ağ adresi.

  • Dışlanan cihazlar, kaynak ve hedef için trafik yönü.

  1. EKLE'yi seçin.

  2. Uyarı Başlığına Göre bölümünde uyarı başlığını yazmaya başlayın. Açılan listeden hariç tutulacak uyarı başlığını veya başlıklarını seçin.

    Uyarı Başlığına Göre görünümünün ekran görüntüsü.

  3. EKLE'yi seçin.

  4. Algılayıcı Adına Göre bölümünde algılayıcı adını yazmaya başlayın. Açılan listeden dışlamak istediğiniz algılayıcıyı veya algılayıcıları seçin.

  5. EKLE'yi seçin.

  6. KAYDET'i seçin. Yeni kural, kural listesinde görünür.

Uyarıları engel olarak veya uyarı dışlama kuralları oluşturarak bastıramazsiniz. Bu bölümde her iki özellik için de olası kullanım örnekleri açıkmektedir.

  • Dışlama kuralı. Şu zaman bir dışlama kuralı yazın:

    • Olayı veritabanından dışlamak istediğinizden daha önce biliyorsunuz. Örneğin, belirli bir algılayıcıda algılanan senaryonun ilgisiz uyarıları tetikley olduğunu biliyorsunuz. Örneğin, belirli bir sitenin kuruluş PLC'lerinde bakım çalışmaları yürütebilirsiniz ve bu site için PLC'lerle ilgili uyarıları gizlemeniz gerekir.

    • IoT için Defender'ın olayları belirli bir zaman aralığına (sistem bakım görevleri için) yoksaymalarını istediğiniz.

    • Belirli bir alt ağ içinde olayları yoksaymak istediğiniz.

    • Tek bir kuralla çeşitli algılayıcılardan oluşturulan uyarı olaylarını kontrol etmek istiyor siniz.

    • Uyarı dışlamanın olay günlüğünde bir olay olarak takip etmek istemeysiniz.

  • Sessiz . Şu zaman bir uyarıyı sessize alma:

    • Gereken öğeler planlanmaz. Hangi olayların ilgisiz olacağını daha önce bilesiniz.

    • Uyarıyı Uyarılar penceresinden gizlemeye devam etmek ama yine de olay günlüğünde izlemek istiyor siniz.

    • Belirli bir kanalda olayları yoksaymak istediğiniz.

Dış sistemlerden uyarı dışlama kurallarını tetikleme

Dış sistemlerden uyarı dışlama kurallarını tetikler. Örneğin, kurumsal bilet sistemleri veya ağ bakım işlemlerini yöneten sistemlerden dışlama kurallarını yönetin.

Kuralı uygulamak için algılayıcıları, motorları, başlangıç saati ve bitiş saatlerini tanımlayın. Daha fazla bilgi için bkz. IoT IÇIN Defender API algılayıcısı ve yönetim konsolu API'leri.

API kullanarak oluştursanız kurallar, Dışlama Kuralı penceresinde RO olarak görünür.

Dışlama Kuralını Düzenle görünümünün ekran görüntüsü.

Sonraki adımlar

Algılayıcınız üzerinde uyarılarla çalışma. IoT için Defender Altyapısı uyarılarını gözden geçirme.