Zrychlení pracovních postupů upozornění OT
Poznámka:
Uvedené funkce jsou ve verzi PREVIEW. Dodatkové podmínky Azure Preview zahrnují další právní podmínky, které se vztahují na funkce Azure, které jsou v beta verzi, preview nebo které ještě nejsou vydány v obecné dostupnosti.
Výstrahy Microsoft Defenderu pro IoT vylepšují zabezpečení sítě a operace s podrobnostmi o událostech přihlášených v síti v reálném čase. Upozornění OT se aktivují, když síťové senzory OT detekují změny nebo podezřelou aktivitu v síťovém provozu, které potřebují vaši pozornost.
Tento článek popisuje následující metody pro snížení únavy upozornění sítě OT ve vašem týmu:
Vytvořte pravidla potlačení z webu Azure Portal, abyste snížili výstrahy aktivované vašimi senzory. Pokud pracujete v prostředí, ve kterém dochází k výpadku vzduchu, vytvořte pravidla vyloučení výstrah v místní konzole pro správu.
Vytvářejte komentáře k upozorněním pro týmy, abyste mohli přidávat jednotlivé výstrahy, zřetězovat komunikaci a uchovávat záznamy napříč vašimi výstrahami.
Vytvoření vlastních pravidel upozornění pro identifikaci konkrétního provozu v síti
Požadavky
Před použitím postupů na této stránce si poznamenejte následující požadavky:
K... | Musíte mít ... |
---|---|
Vytvoření pravidel potlačení upozornění na webu Azure Portal | Předplatné Defenderu pro IoT s alespoň jedním senzorem OT připojeném ke cloudu a přístupem jako správce zabezpečení, přispěvatel nebo vlastník. |
Vytvoření seznamu povolených DNS na senzoru OT | Síťový senzor OT nainstalovaný a přístup k němu jako výchozí uživatel správce . |
Vytváření komentářů k upozorněním na senzor OT | Síťový senzor OT nainstalovaný a přístup k němu jako každý uživatel s rolí správce . |
Vytvoření vlastních pravidel upozornění na senzor OT | Síťový senzor OT nainstalovaný a přístup k němu jako každý uživatel s rolí správce . |
Vytvoření pravidel vyloučení výstrah v místní konzole pro správu | Místní konzola pro správu nainstalovaná a přístup k místní konzole pro správu jako každý uživatel s rolí správce . |
Další informace naleznete v tématu:
- Instalace monitorovacího softwaru OT na senzory OT
- Role a oprávnění uživatelů Azure pro Defender for IoT
- Místní uživatelé a role pro monitorování OT pomocí Defenderu pro IoT
Potlačení irelevantních upozornění
Nakonfigurujte senzory OT tak, aby potlačit výstrahy pro konkrétní provoz ve vaší síti, které by jinak aktivovaly výstrahu. Pokud například všechna zařízení OT monitorovaná konkrétním senzorem procházejí postupy údržby po dobu dvou dnů, můžete definovat pravidlo, které potlačí všechna upozornění vygenerovaná tímto senzorem během doby údržby.
V případě senzorů OT připojených ke cloudu vytvořte pravidla potlačení výstrah na webu Azure Portal, která budou ignorovat zadaný provoz ve vaší síti, který by jinak aktivoval výstrahu.
Pro místně spravované senzory vytvořte pravidla vyloučení výstrah v místní konzole pro správu pomocí uživatelského rozhraní nebo rozhraní API.
Důležité
Pravidla nakonfigurovaná na webu Azure Portal přepíší všechna pravidla nakonfigurovaná pro stejný senzor v místní konzole pro správu. Pokud v současné době používáte pravidla vyloučení výstrah v místní konzole pro správu, doporučujeme, abyste je před spuštěním migrovali na web Azure Portal jako pravidla potlačení.
Vytvoření pravidel potlačení upozornění na webu Azure Portal (Public Preview)
Tato část popisuje, jak vytvořit pravidlo potlačení upozornění na webu Azure Portal a podporuje se pouze pro senzory připojené ke cloudu.
Vytvoření pravidla potlačení upozornění:
V programu Defender for IoT na webu Azure Portal vyberte pravidla potlačení upozornění>.
Na stránce Pravidla potlačení (Preview) vyberte + Vytvořit.
Na kartě Podrobnosti v podokně Vytvořit pravidlo potlačení zadejte následující podrobnosti:
V rozevíracím seznamu vyberte své předplatné Azure.
Zadejte smysluplný název pravidla a volitelný popis.
Pokud chcete, aby pravidlo začalo běžet podle konfigurace, přepněte na Povoleno . Tuto možnost můžete také nechat vypnutou, abyste mohli začít používat pravidlo teprve později.
V oblasti Potlačit podle časového rozsahu zapněte datum vypršení platnosti a definujte konkrétní počáteční a koncové datum a čas pravidla. Pokud chcete přidat více časových rozsahů, vyberte Přidat rozsah .
V oblasti Použít v oblasti vyberte, jestli chcete pravidlo použít pro všechny senzory ve vašem předplatném, nebo jenom na konkrétních webech nebo senzorech. Pokud vyberete Použít pro vlastní výběr, vyberte weby a/nebo senzory, ve kterých má pravidlo běžet.
Když vyberete konkrétní lokalitu, pravidlo se vztahuje na všechny existující a budoucí senzory přidružené k lokalitě.
Vyberte Další a potvrďte zprávu přepsání.
Na kartě Podmínky v podokně Vytvořit pravidlo potlačení:
V rozevíracím seznamu Název výstrahy vyberte jednu nebo více upozornění pro vaše pravidlo. Když vyberete název modulu upozornění místo konkrétního názvu pravidla, použije se pravidlo na všechny existující a budoucí výstrahy přidružené k danému modulu.
Volitelně můžete pravidlo dále filtrovat definováním dalších podmínek, jako je provoz přicházející z konkrétních zdrojů, do konkrétních cílů nebo konkrétních podsítí. Při zadávání podsítí jako podmínek mějte na paměti, že podsítě odkazují na zdrojová i cílová zařízení.
Po dokončení konfigurace podmínek pravidla vyberte Další.
V podokně Vytvořit pravidlo potlačení Zkontrolujte a vytvořte kartu, zkontrolujte podrobnosti pravidla, které vytváříte, a pak vyberte Vytvořit.
Vaše pravidlo se přidá do seznamu pravidel potlačení na stránce Pravidla potlačení (Preview). Vyberte pravidlo, které chcete podle potřeby upravit nebo odstranit.
Tip
Pokud potřebujete exportovat pravidla potlačení, vyberte na panelu nástrojů tlačítko Exportovat . Všechna nakonfigurovaná pravidla se exportují do jednoho . Soubor CSV, který můžete uložit místně.
Migrace pravidel potlačení z místní konzoly pro správu (Public Preview)
Pokud aktuálně používáte místní konzolu pro správu se senzory připojenými ke cloudu, doporučujeme migrovat všechna pravidla vyloučení na web Azure Portal jako pravidla potlačení, než začnete vytvářet nová pravidla potlačení. Všechna pravidla potlačení nakonfigurovaná na webu Azure Portal přepíší pravidla vyloučení výstrah, která existují pro stejné senzory v místní konzole pro správu.
Export pravidel vyloučení upozornění a jejich import na web Azure Portal:
Přihlaste se k místní konzole pro správu a vyberte Vyloučení výstrah.
Na stránce Vyloučení výstrahy vyberte exportovat pravidla do . Soubor CSV.
V programu Defender for IoT na webu Azure Portal vyberte pravidla potlačení upozornění>.
Na stránce Pravidla potlačení (Preview) vyberte Možnost Migrovat pravidla místního správce a pak přejděte na položku a vyberte položku . Soubor CSV, který jste stáhli z místní konzoly pro správu.
V podokně Pravidla potlačení migrace zkontrolujte nahraný seznam pravidel potlačení, která chcete migrovat, a pak vyberte Schválit migraci.
Potvrďte zprávu přepsání.
Vaše pravidla se přidají do seznamu pravidel potlačení na stránce Pravidla potlačení (Preview). Vyberte pravidlo, které chcete podle potřeby upravit nebo odstranit.
Povolit připojení k internetu v síti OT
Snižte počet neautorizovaných upozornění na internet vytvořením seznamu povolených názvů domén na senzoru OT. Pokud je nakonfigurovaný seznam povolených DNS, senzor před aktivací výstrahy zkontroluje každý pokus o neoprávněné připojení k internetu se seznamem. Pokud je plně kvalifikovaný název domény zahrnutý v seznamu povolených domén, senzor upozornění neaktivuje a povolí provoz automaticky.
Všichni uživatelé senzoru OT můžou zobrazit aktuálně nakonfigurovaný seznam domén v sestavě dolování dat, včetně plně kvalifikovaných názvů domén, přeložených IP adres a času posledního překladu.
Definování seznamu povolených dns:
Přihlaste se ke snímači OT jako uživatel s rolí správce a vyberte stránku Podpory .
Do vyhledávacího pole vyhledejte DNS a vyhledejte modul s popisem seznamu povolených internetových domén.
Vyberte Upravit řádek seznamu povolených internetových domén. Příklad:
V poli Upravit podokno >konfigurace plně kvalifikovaný název domény zadejte jeden nebo více názvů domén. Oddělte více názvů domén čárkami. Váš senzor negeneruje výstrahy pro pokusy o neoprávněné připojení k internetu v nakonfigurovaných doménách.
Zástupný znak můžete použít
*
na libovolném místě v názvu domény a snadno přidat subdomény do seznamu povolených, aniž byste museli zadávat každou z nich, například neboteams.microsoft.*
*.microsoft.com
.Výběrem možnosti Odeslat uložte provedené změny.
Zobrazení aktuálního seznamu povolených v sestavě dolování dat:
Při výběru kategorie ve vlastní sestavě dolování dat nezapomeňte v kategorii DNS vybrat seznam povolených internetových domén.
Příklad:
Vygenerovaná sestava dolování dat zobrazuje seznam povolených domén a každou IP adresu, která se pro tyto domény překládá. Sestava obsahuje také hodnotu TTL v sekundách, během které tyto IP adresy neaktivují upozornění na připojení k internetu.
Vytváření komentářů k upozorněním na senzor OT
Přihlaste se ke snímači OT a vyberte Komentář upozornění monitorování>sítě nastavení systému>.
V podokně Komentáře výstrahy zadejte do pole Popis nový komentář a vyberte Přidat. Nový komentář se zobrazí v seznamu popisů pod polem.
Příklad:
Výběrem možnosti Odeslat přidáte komentář do seznamu dostupných komentářů v každé výstraze na senzoru.
Vlastní komentáře jsou k dispozici v každém upozornění na senzoru, aby členové týmu mohli přidávat. Další informace najdete v tématu Přidání komentářů k upozorněním.
Vytvoření vlastních pravidel upozornění na senzor OT
Přidejte vlastní pravidla upozornění, která aktivují výstrahy pro konkrétní aktivitu ve vaší síti, které nejsou zahrnuty do výchozí funkce.
Například pro prostředí, na kterém běží MODBUS, můžete přidat pravidlo pro detekci všech zapsaných příkazů do registru paměti na konkrétní IP adrese a cíli sítě Ethernet.
Vytvoření vlastního pravidla upozornění:
Přihlaste se ke snímači OT a vyberte Vlastní pravidla> upozornění + Vytvořit pravidlo.
V podokně Vytvořit vlastní pravidlo upozornění definujte následující pole:
Název Popis Název upozornění Zadejte smysluplný název upozornění. Protokol upozornění Vyberte protokol, který chcete zjistit.
V konkrétních případech vyberte jeden z následujících protokolů:
– U události manipulace s daty nebo strukturou databáze vyberte TNS nebo TDS.
– U události souboru vyberte v závislosti na typu souboru protokol HTTP, DELTAV, SMB nebo FTP.
– Pro událost stahování balíčku vyberte HTTP.
– U otevřené události (vynechané) porty vyberte tcp nebo UDP v závislosti na typu portu.
Chcete-li vytvořit pravidla, která sledují konkrétní změny v jednom z vašich protokolů OT, jako je S7 nebo CIP, použijte všechny parametry nalezené v tomto protokolu, napříkladtag
nebosub-function
.Zpráva Definujte zprávu, která se má zobrazit při aktivaci výstrahy. Zprávy výstrah podporují alfanumerické znaky a zjištěné proměnné provozu.
Můžete například chtít zahrnout zjištěné zdrojové a cílové adresy. K přidání proměnných do zprávy upozornění použijte složené závorky ({}).Směr Zadejte zdrojovou nebo cílovou IP adresu, kam chcete zjistit provoz. Podmínky Definujte jednu nebo více podmínek, které musí být splněny pro aktivaci výstrahy.
- Výběrem + znaménka vytvořte sadu podmínek s více podmínkami, které používají operátor AND . Znaménko + se povolí až po výběru hodnoty protokolu výstrahy.
- Pokud jako proměnnou vyberete adresu MAC nebo IP adresu, musíte hodnotu převést z tečkované desetinné adresy na desetinný formát.
Abyste mohli vytvořit vlastní pravidlo upozornění, musíte přidat aspoň jednu podmínku.Zjištěný Definujte datum a/nebo časový rozsah pro provoz, který chcete zjistit. Přizpůsobte si dny a časový rozsah tak, aby odpovídaly hodině údržby nebo nastavily pracovní dobu. Akce Definujte akci, kterou má Defender for IoT provést automaticky při aktivaci výstrahy.
Požádejte Defender pro IoT, aby vytvořil výstrahu nebo událost se zadanou závažností.Zahrnutý PCAP Pokud jste vybrali vytvoření události, zrušte podle potřeby možnost zahrnutí PCAP. Pokud jste se vybrali k vytvoření výstrahy, funkce PCAP je vždy zahrnutá a nedá se odebrat. Příklad:
Až budete hotovi, vyberte Uložit , abyste pravidlo uložili.
Úprava vlastního pravidla upozornění
Pokud chcete upravit vlastní pravidlo upozornění, vyberte pravidlo a pak vyberte nabídku> Upravit možnosti (...). Podle potřeby upravte pravidlo upozornění a uložte změny.
Úpravy pravidel upozornění, jako je změna úrovně závažnosti nebo protokolu, se sledují na stránce časová osa událostí na senzoru OT.
Další informace najdete v tématu Sledování aktivity senzoru.
Zakázání, povolení nebo odstranění vlastních pravidel upozornění
Zakažte vlastní pravidla upozornění, aby se zabránilo jejich spuštění bez jejich úplného odstranění.
Na stránce Vlastní pravidla upozornění vyberte jedno nebo více pravidel a podle potřeby na panelu nástrojů vyberte Zakázat, Povolit nebo Odstranit.
Vytvoření pravidel vyloučení výstrah v místní konzole pro správu
Vytvořte pravidla vyloučení výstrah, která dávají senzorům pokyn, aby ignorovaly konkrétní provoz ve vaší síti, který by jinak aktivoval výstrahu.
Pokud například víte, že všechna zařízení OT monitorovaná konkrétním senzorem procházejí postupy údržby po dobu dvou dnů, definujte pravidlo vyloučení, které dává Defenderu pro IoT pokyn, aby potlačí výstrahy zjištěné tímto senzorem během předdefinovaného období.
Vytvoření pravidla vyloučení upozornění:
Přihlaste se k místní konzole pro správu a v nabídce vlevo vyberte Vyloučení výstrah.
Na stránce Vyloučení upozornění vyberte + tlačítko v pravém horním rohu a přidejte nové pravidlo.
V dialogovém okně Vytvořit pravidlo vyloučení zadejte následující podrobnosti:
Název Popis Jméno Zadejte smysluplný název pravidla. Název nemůže obsahovat uvozovky ( "
).Podle časového období Vyberte časové pásmo a konkrétní časové období, pro které má být pravidlo vyloučení aktivní, a pak vyberte PŘIDAT.
Tato možnost slouží k vytvoření samostatných pravidel pro různá časová pásma. Můžete například potřebovat použít pravidlo vyloučení mezi 8:00 a 10:00 do 10:00 ve třech různých časových pásmech. V tomto případě vytvořte tři samostatná pravidla vyloučení, která používají stejné časové období a příslušné časové pásmo.Podle adresy zařízení Vyberte a zadejte následující hodnoty a pak vyberte PŘIDAT:
– Vyberte, jestli je určené zařízení zdrojem, cílem nebo zdrojovým i cílovým zařízením.
– Vyberte, jestli se jedná o IP adresu, adresu MAC nebo podsíť.
– Zadejte hodnotu IP adresy, adresy MAC nebo podsítě.Podle názvu upozornění Vyberte jednu nebo více upozornění, která chcete přidat do pravidla vyloučení, a pak vyberte PŘIDAT. Pokud chcete najít názvy upozornění, zadejte všechny nebo část názvu upozornění a v rozevíracím seznamu vyberte požadovaný název. Podle názvu senzoru Vyberte jeden nebo více senzorů, které chcete přidat do pravidla vyloučení, a pak vyberte PŘIDAT. Pokud chcete najít názvy senzorů, zadejte název senzoru nebo jeho část a v rozevíracím seznamu vyberte požadovaný název. Důležité
Pravidla vyloučení výstrah jsou
AND
založena, což znamená, že výstrahy jsou vyloučeny pouze při splnění všech podmínek pravidla. Pokud není definována podmínka pravidla, jsou zahrnuty všechny možnosti. Pokud například do pravidla nezadáte název senzoru, použije se pravidlo pro všechny senzory.Souhrn parametrů pravidla se zobrazí v dolní části dialogového okna.
Zkontrolujte souhrn pravidel zobrazený v dolní části dialogového okna Vytvořit pravidlo vyloučení a pak vyberte ULOŽIT.
Vytvoření pravidel vyloučení upozornění prostřednictvím rozhraní API
Pomocí rozhraní Defender for IoT API můžete vytvářet pravidla vyloučení výstrah z externího systému lístků nebo jiného systému, který spravuje procesy údržby sítě.
Rozhraní API pro údržbuWindow (vytvoření vyloučení výstrah) slouží k definování senzorů, analytických modulů, času spuštění a koncového času pro použití pravidla. Pravidla vyloučení vytvořená prostřednictvím rozhraní API se zobrazují v místní konzole pro správu jako jen pro čtení.
Další informace naleznete v tématu Defender for IoT API reference.