Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować się zalogować lub zmienić katalog.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Alerty usługi Microsoft Defender dla IoT zwiększają bezpieczeństwo sieci i operacje dzięki szczegółowymi informacjami o zdarzeniach zarejestrowanych w sieci w czasie rzeczywistym. Alerty są wyzwalane, gdy czujniki sieciowe OT wykrywają zmiany lub podejrzane działania w ruchu sieciowym, który wymaga twojej uwagi.
Na przykład:
Użyj szczegółów wyświetlanych na stronie Alerty lub na stronie szczegółów alertu, aby zbadać i podjąć działania, które korygują wszelkie ryzyko dla sieci, z powiązanych urządzeń lub procesu sieciowego, który wyzwolił alert.
Napiwek
Skorzystaj z kroków korygowania alertów, aby ułatwić zespołom SOC zrozumienie możliwych problemów i rozwiązań. Zalecamy przejrzenie zalecanych kroków korygowania przed zaktualizowaniem stanu alertu lub podjęciem akcji na urządzeniu lub w sieci.
Opcje zarządzania alertami
Alerty usługi Defender dla IoT są dostępne w portalu Azure lub konsolach czujników sieci OT. W przypadku zabezpieczeń IoT dla przedsiębiorstw alerty są również dostępne dla urządzeń IoT w przedsiębiorstwie wykrytych przez usługę Defender dla punktu końcowego w usłudze Microsoft 365 Defender.
Chociaż można wyświetlić szczegóły alertu, zbadać kontekst alertu i sklasyfikować stan alertów oraz zarządzać nimi z dowolnej z tych lokalizacji, każda lokalizacja oferuje również dodatkowe akcje alertów. W poniższej tabeli opisano alerty obsługiwane dla każdej lokalizacji oraz dodatkowe akcje dostępne tylko w tej lokalizacji:
| Lokalizacja | opis | Dodatkowe akcje alertów |
|---|---|---|
| Portal Azure | Alerty ze wszystkich czujników OT połączonych z chmurą | - Wyświetlanie powiązanej taktyki i technik MITRE ATT&CK — Użyj wbudowanych skoroszytów, aby uzyskać wgląd w alerty o wysokim priorytecie — Wyświetlanie alertów z usługi Microsoft Sentinel i wykonywanie bardziej szczegółowych badań za pomocą podręczników i skoroszytów usługi Microsoft Sentinel. |
| Konsole czujników sieci OT | Alerty generowane przez ten czujnik OT | — Wyświetlanie źródła i miejsca docelowego alertu na mapie urządzenia - Wyświetlanie powiązanych zdarzeń na osi czasu zdarzenia — Przekazywanie alertów bezpośrednio do dostawców partnerów - Tworzenie alertowych komentarzy — Tworzenie niestandardowych reguł alertów — Wyłącz alerty |
| Microsoft 365 Defender | Alerty generowane dla urządzeń IoT przedsiębiorstwa wykrytych przez Microsoft Defender dla Punktu Końcowego | — Zarządzanie danymi alertów wraz z innymi danymi usługi Microsoft 365 Defender, w tym zaawansowanym wyszukiwaniem zagrożeń |
Napiwek
Wszystkie alerty generowane z różnych czujników w tej samej strefie w ramach 10-minutowego przedziału czasu, z tym samym typem, stanem, protokołem alertu i skojarzonymi urządzeniami, są wyświetlane jako pojedynczy, ujednolicony alert.
- 10-minutowy przedział czasu jest oparty na czasie pierwszego wykrycia alertu.
- Pojedynczy, ujednolicony alert zawiera listę wszystkich czujników, które wykryły alert.
- Alerty są łączone na podstawie protokołu alertu, a nie protokołu urządzenia.
Aby uzyskać więcej informacji, zobacz:
- Przechowywanie danych alertów
- Przyspieszanie procesów alertów OT
- Stany alertów i opcje priorytetyzowania
- Planowanie lokacji i stref OT
Opcje alertów różnią się również w zależności od twojej lokalizacji i roli użytkownika. Aby uzyskać więcej informacji, zobacz Role i uprawnienia użytkownika platformy Azure oraz użytkownicy i role lokalne.
Agregowanie naruszeń alertów
Zmęczenie alertami spowodowane dużą liczbą identycznych alertów może prowadzić do niepowodzenia wyświetlenia lub skorygowania ważnych alertów przez zespół. Każdy alert wymieniony na stronie z alertami jest wynikiem naruszenia zasad bezpieczeństwa sieci, na przykład niedozwolonego użycia kodu funkcji Modbus. Agregowanie naruszeń z tymi samymi parametrami i wymaganiami korygowania w jednej liście alertów zmniejsza liczbę alertów wyświetlanych na stronie Alerty. Pasujące parametry różnią się w zależności od typu alertu. Na przykład alert Niedozwolone Użycie Kodu Funkcji Modbus musi mieć te same źródłowe i docelowe adresy IP, aby wygenerować zagregowane naruszenie alertu. Zagregowany alert może zawierać alerty z różnymi kodami naruszeń, takimi jak kody odczytu i zapisu.
Pobierasz zagregowane dane naruszenia alertu, które wyświetlają listę poszczególnych alertów z odpowiednimi parametrami i funkcjami, jako plik CSV na karcie Naruszenia szczegółów alertu. Te dane mogą pomóc zespołom w identyfikowaniu wzorców, ocenianiu wpływu i efektywniej określaniu priorytetów odpowiedzi na podstawie sugestii korygowania na karcie Podejmowanie akcji . Tylko alerty, które mają ten sam proces korygowania, są agregowane w jeden alert. Jednak poszczególne zdarzenia naruszenia mogą być nadal wyświetlane oddzielnie w odpowiednich urządzeniach, co zapewnia dodatkową przejrzystość.
Alerty, które można agregować, są wymienione w tabelach alertów silnika zasad w odniesieniu do alertów pod nagłówkiem Agregowane.
Grupowanie alertów jest wyświetlane zarówno w konsoli czujnika OT, jak i w portalu Azure. Aby uzyskać więcej informacji, zobacz Naprawianie zagregowanych alertów w konsoli Sensor i naprawianie zagregowanych alertów w portalu Azure.
Skoncentrowane alerty w środowiskach OT/IT
Organizacje, w których czujniki są wdrażane między sieciami OT i IT, zajmują się wieloma alertami związanymi zarówno z ruchem OT, jak i IT. Liczba alertów, z których niektóre są nieistotne, mogą powodować zmęczenie wynikające z nadmiaru alertów i wpływać na ogólną wydajność. Aby sprostać tym wyzwaniom, zasady wykrywania usługi Defender dla IoT kierują swoje różne silniki alertów, aby skupić się na alertach wpływających na działalność biznesową i istotnych dla sieci OT oraz zredukować alerty związane z IT o niskiej wartości. Na przykład alert nieautoryzowanej łączności z Internetem jest bardzo istotny w sieci OT, ale ma stosunkowo niską wartość w sieci IT.
Aby skupić uwagę na alertach wyzwalanych w tych środowiskach, wszystkie silniki alertów, z wyjątkiem silnika złośliwego oprogramowania, wyzwalają alerty tylko wtedy, gdy wykrywają powiązaną podsieć lub protokół OT.
Jednak aby zachować wyzwalanie alertów wskazujących krytyczne scenariusze:
- Silnik złośliwego oprogramowania generuje alerty złośliwego oprogramowania niezależnie od tego, czy są one powiązane z urządzeniami OT, czy IT.
- Inne silniki zawierają wyjątki dla krytycznych scenariuszy. Na przykład aparat operacyjny wyzwala alerty związane z ruchem czujników, niezależnie od tego, czy alert jest związany z ruchem OT, czy IT.
Zarządzanie alertami OT w środowisku hybrydowym
Użytkownicy pracujący w środowiskach hybrydowych mogą zarządzać alertami OT w usłudze Defender for IoT na portalu Azure lub na czujniku OT.
Uwaga
Podczas gdy konsola czujnika wyświetla pole Ostatnie wykrywanie alertu w czasie rzeczywistym, w portalu Azure usługi Defender for IoT może minąć do jednej godziny, zanim wyświetli się zaktualizowany czas. W tym artykule wyjaśniono scenariusz, w którym czas ostatniego wykrywania w konsoli czujnika nie jest taki sam jak czas ostatniego wykrywania w witrynie Azure Portal.
Stany alertów są w pełni zsynchronizowane pomiędzy Azure Portal a czujnikiem OT. Oznacza to, że niezależnie od tego, gdzie zarządzasz alertem w usłudze Defender dla IoT, alert jest również aktualizowany w innych lokalizacjach.
Ustawienie stanu alertu na Zamknięte lub Wyciszone na czujniku aktualizuje stan alertu na Zamknięty w witrynie Azure Portal.
Napiwek
Jeśli pracujesz z usługą Microsoft Sentinel, zalecamy skonfigurowanie integracji w celu synchronizowania stanu alertu z usługą Microsoft Sentinel, a następnie zarządzania stanami alertów wraz z powiązanymi zdarzeniami usługi Microsoft Sentinel.
Aby uzyskać więcej informacji, zobacz Samouczek: badanie i wykrywanie zagrożeń dla urządzeń IoT.
Alerty i Ochrona punktu końcowego w usłudze Microsoft Defender IoT dla przedsiębiorstw
Jeśli używasz zabezpieczeń IoT przedsiębiorstwa w usłudze Microsoft 365 Defender, alerty dotyczące urządzeń IoT w przedsiębiorstwie wykrytych przez Ochronę punktu końcowego w usłudze Microsoft Defender są dostępne tylko w usłudze Microsoft 365 Defender. Wiele wykryć opartych na sieci z usługi Microsoft Defender dla Endpoint jest istotnych dla urządzeń IoT przedsiębiorstw, takich jak alerty wyzwalane przez skanowania obejmujące zarządzane punkty końcowe.
Aby uzyskać więcej informacji, zobacz Zabezpieczanie urządzeń IoT w przedsiębiorstwie oraz kolejkę alertów w usłudze Microsoft 365 Defender.
Usprawnianie przepływu alertów OT
Nowe alerty są automatycznie zamykane, jeśli 90 dni po początkowym wykryciu nie zostanie wykryty żaden identyczny ruch. Jeśli w ciągu pierwszych 90 dni zostanie wykryty identyczny ruch, liczba 90 dni zostanie zresetowana.
Oprócz domyślnego zachowania możesz chcieć pomóc zespołom zarządzającym SOC i OT w szybszym klasyfikowaniu i korygowaniu alertów. Zaloguj się do czujnika OT jako administrator, aby użyć następujących opcji:
Tworzenie niestandardowych reguł alertów. Tylko czujniki OT.
Dodaj niestandardowe reguły alertów, aby wyzwalać alerty dotyczące określonych działań w sieci, które nie są objęte funkcją wbudowaną.
Na przykład w przypadku środowiska z uruchomionym protokołem MODBUS można dodać regułę do wykrywania dowolnych napisanych poleceń do rejestru pamięci na określonym adresie IP i miejscu docelowym ethernetu.
Aby uzyskać więcej informacji, zobacz Tworzenie niestandardowych reguł alertów na czujniku OT.
Utwórz komentarze alarmowe. Tylko czujniki OT.
Utwórz zestaw komentarzy alertów, które inni użytkownicy czujnika OT mogą dodawać do poszczególnych alertów, ze szczegółowymi informacjami, takimi jak niestandardowe kroki ograniczania ryzyka, komunikacja z innymi członkami zespołu lub inne szczegółowe informacje lub ostrzeżenia dotyczące zdarzenia.
Członkowie zespołu mogą ponownie używać tych komentarzy niestandardowych podczas klasyfikowania stanów alertów i zarządzania nimi. Komentarze alertów są wyświetlane w obszarze komentarzy na stronie szczegółów alertu. Na przykład:
Aby uzyskać więcej informacji, zobacz Utwórz komentarze alertów na czujniku OT.
Przekazywanie danych alertów do systemów partnerskich, takich jak SIEM, serwery syslog, określone adresy e-mail i inne.
Wspierane przez czujniki OT, aby uzyskać więcej informacji, zobacz Przekazywanie informacji o alertach.
Stany alertów i opcje priorytetyzacji
Użyj następujących stanów alertów i opcji kategoryzacji, aby zarządzać alertami w usłudze Defender dla IoT.
Podczas analizowania alertu należy wziąć pod uwagę, że niektóre alerty mogą odzwierciedlać zasadne zmiany w sieci, takie jak autoryzowane urządzenie próbujące dostępu do nowego zasobu na innym urządzeniu.
Podczas gdy opcje klasyfikacji z czujnika OT są dostępne tylko dla alertów OT, opcje dostępne na portalu Azure są dostępne zarówno dla alertów OT, jak i Enterprise IoT.
Skorzystaj z poniższej tabeli, aby dowiedzieć się więcej na temat każdego stanu alertu i opcji klasyfikacji.
| Status / działanie klasyfikacyjne | Dostępne na | opis |
|---|---|---|
| New | — Azure Portal - Czujniki sieciowe OT |
Nowe alerty to alerty, które nie zostały jeszcze sklasyfikowane lub zbadane przez zespół. Nowy ruch wykryty dla tych samych urządzeń nie generuje nowego alertu, ale jest dodawany do istniejącego alertu. Uwaga: może być wyświetlanych wiele nowych alertów o tej samej nazwie. W takich przypadkach każdy oddzielny alert jest wyzwalany przez oddzielny ruch na różnych zestawach urządzeń. |
| Aktywne | — Tylko witryna Azure Portal | Ustaw alert na Aktywny , aby wskazać, że trwa badanie, ale alert nie może jeszcze zostać zamknięty lub sklasyfikowany w inny sposób. Ten stan nie ma żadnego wpływu w innym miejscu w usłudze Defender dla IoT. |
| Zamknięcie | — Azure Portal - Czujniki sieciowe OT |
Zamknij alert, aby wskazać, że jest on w pełni zbadany i chcesz ponownie otrzymywać alerty przy następnym wykryciu tego samego ruchu. Zamknięcie alertu powoduje dodanie go do osi czasu zdarzenia czujnika. |
| Dowiedz się więcej | — Azure Portal - Czujniki sieciowe OT Usunięcie alertu jest dostępne tylko na czujniku OT. |
Dowiedz się, jak zamknąć alert i dodać go jako dozwolony ruch, aby nie otrzymywać alertów ponownie przy następnym wykryciu tego samego ruchu. Na przykład gdy czujnik wykryje zmiany wersji oprogramowania układowego zgodnie ze standardowymi procedurami konserwacji lub gdy nowe, oczekiwane urządzenie zostanie dodane do sieci. Uczenie alertu zamyka alert i dodaje element do osi czasu zdarzenia czujnika. Wykryty ruch jest uwzględniany w raportach wyszukiwania danych, ale nie podczas obliczania innych raportów czujników OT. Uczące się alerty są dostępne tylko dla wybranych alertów, głównie tych wyzwalanych przez alerty dotyczące zasad i mechanizm anomalii. |
| Niemy | - Czujniki sieciowe OT Odciszenie alertu jest dostępne tylko na czujniku OT. |
Wycisz alert, gdy chcesz go zamknąć i nie zobaczyć go ponownie dla tego samego ruchu, ale bez dodawania alertu do dozwolonego ruchu. Na przykład gdy silnik operacyjny wyzwala alert wskazujący, że tryb PLC został zmieniony na urządzeniu. Nowy tryb może wskazywać, że sterownik PLC nie jest bezpieczny, ale po zbadaniu ustalono, że nowy tryb jest akceptowalny. Wyciszenie alertu powoduje jego zamknięcie, ale nie dodaje elementu do osi czasu zdarzenia czujnika. Wykryty ruch jest uwzględniany w raportach wyszukiwania danych, ale nie podczas obliczania danych dla innych raportów czujników. Wyłączenie dźwięku alertu jest dostępne tylko dla wybranych alertów, przede wszystkim tych wyzwalanych przez silnik anomalii, naruszenia protokołu lub silnik operacyjny. |
Segregowanie alertów OT podczas trybu nauki
Tryb uczenia odnosi się do początkowego okresu po wdrożeniu czujnika OT, gdy czujnik OT poznaje działanie punktu odniesienia sieci, w tym urządzenia i protokoły w sieci, a także regularne transfery plików, które występują między określonymi urządzeniami.
Użyj trybu uczenia, aby przeprowadzić początkową klasyfikację alertów w sieci, ucząc się tych, które chcesz oznaczyć jako autoryzowane, oczekiwane działanie. Poznany ruch nie generuje nowych alertów przy następnym wykryciu tego samego ruchu.
Aby uzyskać więcej informacji, zobacz Tworzenie uczonego planu bazowego alertów OT.
Następne kroki
Przejrzyj typy alertów i komunikaty, aby ułatwić zrozumienie i planowanie akcji korygowania oraz integracji podręczników. Aby uzyskać więcej informacji, zobacz Typy alertów i opisy monitorowania OT.