Předávání informací o upozornění místního OT
Výstrahy Microsoft Defenderu pro IoT vylepšují zabezpečení sítě a operace s podrobnostmi o událostech přihlášených v síti v reálném čase. Upozornění OT se aktivují, když síťové senzory OT detekují změny nebo podezřelou aktivitu v síťovém provozu, které potřebují vaši pozornost.
Tento článek popisuje, jak nakonfigurovat senzor OT tak, aby předával výstrahy partnerským službám, serverům syslogu, e-mailovým adresám a dalším. Informace o přeposlaných výstrahách obsahují podrobnosti, jako jsou:
- Datum a čas upozornění
- Modul, který zjistil událost
- Název upozornění a popisná zpráva
- Závažnost výstrahy
- Zdrojový a cílový název a IP adresa
- Zjištěn podezřelý provoz
- Odpojené senzory
- Selhání vzdáleného zálohování
Poznámka:
Pravidla přeposílání upozornění se spouštějí jenom u výstrah aktivovaných po vytvoření pravidla předávání. Na upozornění již v systému před vytvořením pravidla předávání nemá pravidlo vliv.
Požadavky
V závislosti na tom, kde chcete vytvořit pravidla upozornění pro předávání, musíte mít nainstalovaný buď síťový senzor OT s přístupem jako uživatel správce.
Další informace najdete v tématu Instalace softwaru monitorování bez agentů OT a místních uživatelů a rolí pro monitorování OT pomocí Defenderu pro IoT.
Musíte také definovat nastavení PROTOKOLU SMTP na senzoru OT.
Další informace naleznete v tématu Konfigurace nastavení poštovního serveru SMTP na senzoru OT.
Vytvoření pravidel předávání na senzoru OT
Přihlaste se k senzoru OT a v nabídce >vlevo vyberte Přeposílání + Vytvořit nové pravidlo.
V podokně Přidat pravidlo pro předávání zadejte smysluplný název pravidla a pak definujte podmínky a akce pravidla následujícím způsobem:
Název Popis Minimální úroveň upozornění Vyberte minimální úroveň závažnosti výstrahy, kterou chcete přeposlat.
Pokud například vyberete podverze, podverze výstrahy a všechny výstrahy nad touto úrovní závažnosti se přeposílají.Byl zjištěn jakýkoli protokol. Zapněte, aby se výstrahy předávaly ze všech přenosů protokolu, nebo vypněte a vyberte konkrétní protokoly, které chcete zahrnout. Provoz zjištěný jakýmkoli modulem Zapněte, aby se upozornění přeposílala ze všech analytických modulů, nebo vypněte a vyberte konkrétní moduly, které chcete zahrnout. Akce Vyberte typ serveru, na který chcete předávat výstrahy, a pak definujte všechny další požadované informace pro daný typ serveru.
Pokud chcete do stejného pravidla přidat více serverů, vyberte + Přidat server a přidejte další podrobnosti.
Další informace najdete v tématu Konfigurace akcí pravidel předávání výstrah.Po dokončení konfigurace pravidla vyberte Uložit. Pravidlo je uvedené na stránce Předávání .
Otestujte pravidlo, které jste vytvořili:
- Vyberte nabídku možností (...) pro pravidlo >Odeslat testovací zprávu.
- Přejděte do cílové služby a ověřte, že byly přijaty informace odeslané senzorem.
Úprava nebo odstranění pravidel předávání na senzoru OT
Úprava nebo odstranění existujícího pravidla:
Přihlaste se ke snímači OT a v nabídce vlevo vyberte Přeposílání .
Vyberte nabídku možností (...) pravidla a pak udělejte jednu z těchto věcí:
Podle potřeby vyberte Upravit a aktualizujte pole. Až budete hotovi, zvolte tlačítko Uložit.
Odstranění potvrďte výběrem možnosti Odstranit>ano.
Konfigurace akcí pravidel předávání výstrah
Tato část popisuje, jak nakonfigurovat nastavení pro podporované akce pravidel předávání na senzoru OT.
Akce e-mailové adresy
Nakonfigurujte akci e-mailu, která přeposílala data upozornění na nakonfigurovanou e-mailovou adresu.
V oblasti Akce zadejte následující podrobnosti:
| Název | Popis |
|---|---|
| Server | Vyberte E-mail. |
| Poslat e-mail | Zadejte e-mailovou adresu, na kterou chcete upozornění přeposlat. Každé pravidlo podporuje jednu e-mailovou adresu. |
| Časové pásmo | Vyberte časové pásmo, které chcete použít pro detekci výstrah v cílovém systému. |
Akce serveru Syslog
Nakonfigurujte akci serveru Syslog pro předávání dat výstrah na vybraný typ serveru Syslog.
V oblasti Akce zadejte následující podrobnosti:
| Název | Popis |
|---|---|
| Server | Vyberte jeden z následujících typů formátů syslogu: - SysLOG Server (formát CEF) - SysLOG Server (formát LEEF) - Server SYSLOG (objekt) - Server SYSLOG (textová zpráva) |
| Port hostitele / | Zadejte název hostitele a port serveru syslog. |
| Časové pásmo | Vyberte časové pásmo, které chcete použít pro detekci výstrah v cílovém systému. |
| Protokol | Podporuje se jenom u textových zpráv. Vyberte TCP nebo UDP. |
| Povolení šifrování | Podporuje se jenom pro formát CEF. Zapněte konfiguraci souboru šifrovacího certifikátu TLS, souboru klíče a přístupového hesla. |
Následující části popisují syntaxi výstupu syslogu pro každý formát.
Výstupní pole textové zprávy syslogu
| Název | Popis |
|---|---|
| Priorita | Uživatel. Výstrahy |
| Zpráva | Název platformy CyberX: Název senzoru. Upozornění Microsoft Defenderu pro IoT: Název výstrahy. Typ: Typ výstrahy. Může to být porušení protokolu, porušení zásad, malware, anomálie nebo provoz. Závažnost: Závažnost výstrahy. Může to být upozornění, podverze, hlavní nebo kritické. Zdroj: Název zdrojového zařízení. Zdrojová IP adresa: IP adresa zdrojového zařízení. Protokol (volitelné): Zjištěný zdrojový protokol. Adresa (volitelné): Zdrojová adresa protokolu. Cíl: Název cílového zařízení. Cílová IP adresa: IP adresa cílového zařízení. Protokol (volitelné): Zjištěný cílový protokol. Adresa (volitelné): Cílová adresa protokolu. Zpráva: Zpráva výstrahy. Skupina výstrah: Skupina upozornění přidružená k upozornění. UUID (volitelné): UUID výstrahy. |
Výstupní pole objektu Syslog
| Název | Popis |
|---|---|
| Priorita | User.Alert |
| Datum a čas | Datum a čas, kdy počítač serveru syslog obdržel informace. |
| Název hostitele | IP adresa senzoru |
| Zpráva | Název senzoru: Název zařízení. Čas upozornění: Čas zjištění výstrahy: Může se lišit od času počítače serveru syslog a závisí na konfiguraci časového pásma pravidla předávání. Název výstrahy: Název výstrahy. Zpráva upozornění: Zpráva výstrahy. Závažnost výstrahy: Závažnost výstrahy: Upozornění, Vedlejší, Hlavní nebo Kritická. Typ výstrahy: Porušení protokolu, Porušení zásad, Malware, Anomálie nebo Provoz. Protokol: Protokol výstrahy. Source_MAC: IP adresa, název, dodavatel nebo operační systém zdrojového zařízení. Destination_MAC: IP adresa, název, dodavatel nebo operační systém cíle. Pokud chybí data, hodnota je N/A. alert_group: Skupina upozornění přidružená k upozornění. |
Výstupní pole SYSlog CEF
| Název | Popis |
|---|---|
| Priorita | User.Alert |
| Datum a čas | Datum a čas odeslání informací ze senzoru ve formátu UTC |
| Název hostitele | Název hostitele senzoru |
| Zpráva | CEF:0 Microsoft Defender pro IoT/CyberX Název senzoru Verze snímače Upozornění Microsoft Defenderu pro IoT Název upozornění Celočíselná indikace závažnosti 1=Upozornění, 4=Podverze, 8=Hlavní nebo 10=Kritické. msg= Zpráva výstrahy. protocol= Protokol výstrahy. severity= Warning, Minor, Major nebo Critical. type= Porušení protokolu, Porušení zásad, Malware, Anomálie nebo Provoz. UUID= UUID výstrahy (volitelné) start= Čas zjištění výstrahy. Může se lišit od času počítače serveru syslog a závisí na konfiguraci časového pásma pravidla předávání. src_ip= IP adresa zdrojového zařízení. (Volitelné) src_mac= adresa MAC zdrojového zařízení. (Volitelné) dst_ip= IP adresa cílového zařízení. (Nepovinné) dst_mac= adresa MAC cílového zařízení. (Nepovinné) cat= Skupina upozornění přidružená k upozornění. |
Výstupní pole Syslog LEEF
| Název | Popis |
|---|---|
| Priorita | User.Alert |
| Datum a čas | Datum a čas odeslání informací ze senzoru ve formátu UTC |
| Název hostitele | IP adresa senzoru |
| Zpráva | Název senzoru: Název zařízení Microsoft Defender for IoT. LEEF:1.0 Microsoft Defender pro IoT Senzor Verze snímače Upozornění Microsoft Defenderu pro IoT title: Název výstrahy. msg: Zpráva výstrahy. protokol: Protokol výstrahy. závažnost: Upozornění, Vedlejší, Hlavní nebo Kritická. type: Typ výstrahy: Porušení protokolu, Porušení zásad, Malware, Anomálie nebo Provoz. start: Čas výstrahy. Může se lišit od času počítače serveru syslog a závisí na konfiguraci časového pásma. src_ip: IP adresa zdrojového zařízení. dst_ip: IP adresa cílového zařízení. cat: Skupina upozornění přidružená k upozornění. |
Akce NetWitness
Nakonfigurujte akci NetWitness tak, aby odesílala informace o upozornění na server NetWitness.
V oblasti Akce zadejte následující podrobnosti:
| Název | Popis |
|---|---|
| Server | Vyberte NetWitness. |
| Název hostitele / port | Zadejte název hostitele a port serveru NetWitness. |
| Časové pásmo | Zadejte časové pásmo, které chcete použít, do časového razítka pro detekci výstrah v SYSTÉMU SIEM. |
Konfigurace pravidel předávání pro integrace partnerů
Defender for IoT můžete integrovat s partnerovou službou, která odesílá informace o výstrahách nebo inventáři zařízení do jiného systému pro správu zabezpečení nebo zařízení nebo ke komunikaci s bránami firewall na straně partnera.
Integrace partnerů můžou pomoct přemístit dříve vysílaná řešení zabezpečení, zlepšit viditelnost zařízení a zrychlit odezvu celého systému na rychlejší zmírnění rizik.
V takových případech použijte podporované akce k zadání přihlašovacích údajů a dalších informací potřebných ke komunikaci s integrovanými partnerskými službami.
Další informace naleznete v tématu:
Konfigurace skupin upozornění v partnerských službách
Když nakonfigurujete pravidla předávání tak, aby odesílala data výstrah na servery Syslog, QRadar a ArcSight, skupiny výstrah se automaticky použijí a jsou dostupné na těchto partnerských serverech.
Skupiny výstrah pomáhají týmům SOC pomocí těchto partnerských řešení spravovat výstrahy na základě podnikových zásad zabezpečení a obchodních priorit. Výstrahy o nových detekcích jsou například uspořádány do skupiny zjišťování , která zahrnuje všechna upozornění na nová zařízení, sítě VLAN, uživatelské účty, adresy MAC a další.
Skupiny upozornění se zobrazují v partnerských službách s následujícími předponami:
| Předpona | Partner služba |
|---|---|
cat |
QRadar, ArcSight, Syslog CEF, Syslog LEEF |
Alert Group |
Textové zprávy syslogu |
alert_group |
Objekty Syslog |
Pokud chcete v integraci používat skupiny upozornění, nezapomeňte nakonfigurovat partnerské služby tak, aby zobrazovaly název skupiny upozornění.
Ve výchozím nastavení jsou výstrahy seskupené takto:
- Neobvyklé chování komunikace
- Vlastní upozornění
- Vzdálený přístup
- Neobvyklé chování komunikace HTTP
- Zjišťování
- Restartování a zastavení příkazů
- Ověřování
- Změna firmwaru
- Naskenovat
- Chování neoprávněné komunikace
- Neplatné příkazy
- Přenosy ze senzorů
- Anomálie šířky pásma
- Přístup k internetu
- Podezření na malware
- Přetečení vyrovnávací paměti
- Selhání operací
- Podezření na škodlivou aktivitu
- Selhání příkazů
- Provozní problémy
- Změny konfigurace
- Programování
Další informace a vytvoření vlastních skupin upozornění získáte podpora Microsoftu.
Řešení potíží s pravidly předávání
Pokud pravidla upozornění pro přeposílání nefungují podle očekávání, zkontrolujte následující podrobnosti:
Ověření certifikátu Pravidla předávání pro CEF syslog, Microsoft Sentinel a QRadar podporují šifrování a ověřování certifikátů.
Pokud jsou senzory OT nakonfigurované tak, aby ověřovaly certifikáty a certifikát se nedá ověřit, upozornění se nepřeposílají.
V těchto případech je senzor klientem a iniciátorem relace. Certifikáty se obvykle přijímají ze serveru nebo používají asymetrické šifrování, kde je k nastavení integrace k dispozici konkrétní certifikát.