Vytvoření naučeného směrného plánu upozornění OT
Tento článek je jedním z řady článků popisujících cestu nasazení pro monitorování OT pomocí Microsoft Defenderu pro IoT a popisuje, jak vytvořit základní hodnoty naučeného provozu na senzoru OT.
Přehled procesu monitorování ve více fázích
Po připojení k síti začne síťový senzor OT automaticky monitorovat vaši síť a přihlásíte se. Síťová zařízení se začnou objevovat v inventáři zařízení a výstrahy se aktivují pro všechny bezpečnostní nebo provozní incidenty, ke kterým dochází ve vaší síti.
Defender for IoT využívá třífázový proces monitorování, který zjišťuje chování normálního provozu vaší sítě. Tyto tři fáze zajišťují přesnou detekci a zároveň snižují nepotřebná upozornění:
Shrnutí fází monitorování
| Režim | Účel | Aktivace upozornění | Potřebné akce uživatelů |
|---|---|---|---|
| Vzdělávání | Vytvoří směrný plán normálního síťového provozu. | Výstrahy malwaru, výstrahy anomálií, provozní výstrahy, upozornění na porušení protokolu | Vypněte ručně po 2–6 týdnech nebo když směrný plán odráží přesnou síťovou aktivitu |
| dynamicky, | Zpřesní směrný plán a postupně zavádí upozornění na porušení zásad, aby se zajistila přesnost a snížila šum výstrah. | Zavádějí se upozornění na porušení zásad. | Volitelné: Úprava nastavení pro konkrétní scénáře (např. během poc) |
| Operační | Monitoruje veškerý síťový provoz se stabilním směrným plánem a aktivuje všechna upozornění tak, aby odrážela odchylky nebo podezřelou aktivitu. | Všechny typy výstrah | Nezaokrouhlovat. Automatické přechody při stabilizaci směrného plánu |
Režim výuky
Zpočátku se senzor spouští v režimu učení , který monitoruje veškerý síťový provoz a vytváří směrný plán všech normálních vzorů provozu. Tento směrný plán zahrnuje všechna zařízení a protokoly ve vaší síti a běžné přenosy souborů, ke kterým dochází mezi zařízeními. Tento proces obvykle trvá 2 až 6 týdnů v závislosti na velikosti a složitosti sítě. Kromě toho všechna zařízení zjištěná později vstoupí do režimu učení po dobu 7 dnů, aby se vytvořil směrný plán síťového provozu.
V režimu učení senzor monitoruje a chrání vaše prostředí aktivací relevantních výstrah zabezpečení, jako jsou malware, anomálie a provozní výstrahy. Upozornění na porušení zásad, která označují odchylky od směrného plánu, se ale neaktivují, když je systém v režimu učení.
Dynamický režim
Jakmile je proces zjišťování a síťový provoz stabilní, měli byste ručně vypnout režim učení. V tomto okamžiku senzor přejde do dynamického režimu. V dynamickém režimu senzor nadále monitoruje vaši síť, ověřuje a upřesňuje směrný plán. Senzor vyhodnocuje každou kategorii výstrah a scénář jednotlivě, dynamicky je mění na provozní režim, když jsou jejich směrné plány potvrzeny, že jsou přesné. Pokud senzor zjistí významné změny provozu, může také automaticky rozšířit režim učení pro konkrétní výstrahy nebo scénáře.
V dynamickém režimu se upozornění na porušení zásad postupně zavádějí a začnou se zobrazovat v inventáři výstrah.
Provozní režim
Jakmile senzor zjistí, že směrný plán je stabilní a dokončí se automaticky, přejde do provozního režimu, monitoruje veškerý síťový provoz a aktivuje všechny typy výstrah.
Akce Learn se stane relevantní po vypnutí režimu učení, při přechodu scénáře do provozního režimu a chcete označit konkrétní operace jako autorizovanou nebo očekávanou aktivitu. Jakmile se naučíte, podobná aktivita nebude v budoucnu generovat nová upozornění.
Pokud úroveň výstrah přesně odpovídá vaší síťové aktivitě, vypněte režim učení ručně .
Další informace najdete v programu Microsoft Defender pro upozornění IoT.
Požadavky
Postupy v tomto článku můžete provést z webu Azure Portal nebo senzoru OT.
Než začnete, ujistěte se, že máte:
Nainstalovaný, nakonfigurovaný a aktivovaný senzor OT s upozorněními aktivovanými zjištěným provozem.
Přístup k senzoru OT jako uživatel zabezpečení nebo správce Další informace najdete v tématu Místní uživatelé a role pro monitorování OT pomocí Defenderu pro IoT.
Výstrahy pro třídění
Upozornění na třídění na konci nasazení za účelem vytvoření počátečního směrného plánu pro vaši síťovou aktivitu.
Přihlaste se ke snímači OT a vyberte stránku Upozornění .
Pomocí možností řazení a seskupování si můžete nejdřív prohlédnout nejdůležitější výstrahy. Zkontrolujte každou výstrahu, abyste aktualizovali stavy a dozvěděli se výstrahy pro autorizovaný provoz OT.
Další informace najdete v tématu Zobrazení a správa výstrah na senzoru OT.
Další kroky
Jakmile je režim učení vypnutý a přejdete z režimu učení na provozní režim, pokračujte některým z následujících kroků:
- Vizualizace dat Microsoft Defenderu pro IoT pomocí sešitů Azure Monitoru
- Zobrazení a správa upozornění na webu Azure Portal
- Správa inventáře zařízení na webu Azure Portal
Integrujte data Defenderu pro IoT se službou Microsoft Sentinel, abyste mohli sjednotit monitorování zabezpečení týmu SOC. Další informace naleznete v tématu: