Sdílet prostřednictvím

Zobrazení a správa výstrah na senzoru OT

  • Článek

Výstrahy Microsoft Defenderu pro IoT vylepšují zabezpečení sítě a operace s podrobnostmi o událostech přihlášených v síti v reálném čase. Upozornění OT se aktivují, když síťové senzory OT detekují změny nebo podezřelou aktivitu v síťovém provozu, které potřebují vaši pozornost.

Tento článek popisuje, jak zobrazit výstrahy Defenderu pro IoT přímo na síťovém senzoru OT. Upozornění OT můžete zobrazit také na webu Azure Portal nebo v místní konzole pro správu.

Další informace najdete v programu Microsoft Defender pro upozornění IoT.

Požadavky

  • Pokud chcete mít upozornění na senzor OT, musíte mít nakonfigurovaný port SPAN pro senzor a software pro monitorování Defenderu pro IoT. Další informace naleznete v tématu Instalace softwaru pro monitorování bez agentů OT.

  • Pokud chcete zobrazit výstrahy na senzoru OT, přihlaste se ke snímači jako správce, analytik zabezpečení nebo uživatel prohlížeče .

  • Pokud chcete spravovat výstrahy na senzoru OT, přihlaste se ke snímači jako uživatel správce nebo analytik zabezpečení. Aktivity správy výstrah zahrnují úpravu jejich stavů nebo závažností, učení nebo ztlumení výstrahy, přístup k datům PCAP nebo přidání předem definovaných komentářů k upozornění.

Další informace najdete v tématu Místní uživatelé a role pro monitorování OT pomocí Defenderu pro IoT.

Zobrazení upozornění na senzor OT

  1. Přihlaste se ke konzole senzoru OT a vyberte stránku Upozornění na levé straně.

    Ve výchozím nastavení se v mřížce zobrazují následující podrobnosti:

    Název Popis
    Závažnost Předdefinovaná závažnost výstrahy přiřazená senzorem, který můžete podle potřeby upravit, včetně: Kritické, Hlavní, Vedlejší, Upozornění.
    Název Název upozornění
    Motor Modul detekce Defenderu pro IoT, který zjistil aktivitu a aktivoval výstrahu.
    Poslední detekce Čas posledního zjištění výstrahy

    – Pokud je stav výstrahy Nový a stejný provoz se znovu zobrazí, aktualizuje se pro stejnou výstrahu čas poslední detekce .
    – Pokud je stav výstrahy Uzavřeno a provoz se znovu zobrazí, čas poslední detekce se neaktualizuje a aktivuje se nová výstraha.

    Poznámka: Když konzola senzoru zobrazuje pole Poslední detekce výstrahy v reálném čase, může zobrazení aktualizovaného času trvat až hodinu. To vysvětluje scénář, kdy poslední čas detekce v konzole senzoru není stejný jako čas poslední detekce na webu Azure Portal.
    Stav Stav výstrahy: Nový, Aktivní, Uzavřeno

    Další informace najdete v tématu Stav výstrahy a možnosti třídění.
    Zdrojové zařízení IP adresa zdrojového zařízení, MAC nebo název zařízení.
    Id Jedinečné ID upozornění, které je v souladu s ID na webu Azure Portal.

    Poznámka: Pokud se výstraha sloučila s dalšími výstrahami ze senzorů, které rozpoznaly stejnou výstrahu, azure Portal zobrazí ID upozornění prvního senzoru, který výstrahy vygeneroval.

    1. Pokud chcete zobrazit další podrobnosti, vyberte tlačítko Upravit sloupce .

      V podokně Upravit sloupce vpravo vyberte Přidat sloupec a některý z následujících dalších sloupců:

      Název Popis
      Cílové zařízení IP adresa cílového zařízení.
      První detekce Při prvním zjištění aktivity upozornění.
      ID ID výstrahy.
      Poslední aktivita Čas poslední změny výstrahy, včetně ručních aktualizací závažnosti nebo stavu, nebo automatizovaných změn pro aktualizace zařízení nebo odstranění duplicit zařízení nebo upozornění

Zobrazená upozornění filtru

Pomocí vyhledávacího pole, časového rozsahu a možnosti přidání filtru můžete filtrovat výstrahy zobrazené podle konkrétních parametrů nebo můžete najít konkrétní výstrahu.

Příklad:

Snímek obrazovky se stránkou Upozornění senzoru OT filtrovanou podle skupin

Filtrování výstrah podle skupin používá všechny vlastní skupiny, které jste vytvořili v inventáři zařízení nebo na stránkách mapy zařízení.

Zobrazená upozornění skupiny

Pomocí nabídky Seskupit podle v pravém horním rohu můžete mřížku sbalit do pododdílů na základě závažnosti, názvu, stroje nebo stavu.

Když se například nad mřížkou zobrazí celkový počet výstrah, můžete chtít konkrétnější informace o rozpisu počtu výstrah, například počet výstrah s konkrétní závažností nebo stavem.

Zobrazení podrobností a náprava konkrétní výstrahy

  1. Přihlaste se ke snímači OT a v nabídce vlevo vyberte Výstrahy .

  2. Výběrem výstrahy v mřížce zobrazíte další podrobnosti v podokně vpravo. Podokno podrobností výstrahy obsahuje popis výstrahy, zdroj provozu a cíl a další. Pokud chcete přejít k podrobnostem, vyberte Zobrazit úplné podrobnosti . Příklad:

    Snímek obrazovky s výstrahou vybranou na stránce Upozornění na senzoru OT

  3. Na stránce s podrobnostmi výstrahy najdete další podrobnosti o upozornění a sadu kroků pro nápravu na kartě Provést akci .

    Další kontextový přehled získáte pomocí následujících karet:

    • Zobrazení mapy. Zobrazte zdrojová a cílová zařízení v zobrazení mapy s dalšími zařízeními připojenými k vašemu senzoru.

    • Časová osa události. Zobrazte událost společně s další nedávnou aktivitou na souvisejících zařízeních. Možnosti filtru pro přizpůsobení zobrazených dat Příklad:

      Snímek obrazovky s časovou osou události na stránce s podrobnostmi upozornění

Správa upozornění na stav a třídění výstrah

Jakmile provedete nápravné kroky, nezapomeňte aktualizovat stav upozornění, aby se zaznamenal průběh. Stav jedné výstrahy nebo hromadného výběru výstrah můžete aktualizovat.

Přečtěte si upozornění, které indikuje Defender for IoT, že je zjištěný síťový provoz autorizovaný. Naučené výstrahy se znovu neaktivují při příštím zjištění stejného provozu ve vaší síti. Ztlumte upozornění, když učení není dostupné a chcete ignorovat konkrétní scénář ve vaší síti.

Další informace najdete v tématu Stav výstrahy a možnosti třídění.

  • Správa stavu upozornění:

    1. Přihlaste se ke konzole senzoru OT a vyberte stránku Upozornění na levé straně.

    2. V mřížce vyberte jednu nebo více výstrah, jejichž stav chcete aktualizovat.

    3. Pomocí tlačítka Změnit stav panelu nástrojů nebo v podokně podrobností vpravo aktualizujte stav upozornění.

      Možnost Stav je dostupná také na stránce s podrobnostmi výstrahy.

  • Další informace o jednom nebo několika upozorněních:

    Přihlaste se ke konzole senzoru OT a vyberte stránku Upozornění na levé straně a pak udělejte jednu z těchto věcí:

    • V mřížce vyberte jednu nebo více srozumitelných upozornění a pak na panelu nástrojů vyberte Možnost Learn.
    • Na stránce s podrobnostmi o upozornění na kartě Akce vyberte Learn.

  • Ztlumení výstrahy:

    1. Přihlaste se ke konzole senzoru OT a vyberte stránku Upozornění na levé straně.
    2. Vyhledejte výstrahu, kterou chcete ztlumit, a otevřete stránku s podrobnostmi o upozornění.
    3. Na kartě Provést akci zapněte možnost Ztlumení výstrahy.

  • Zrušení nebo zrušení ztlumení výstrahy:

    1. Přihlaste se ke konzole senzoru OT a vyberte stránku Upozornění na levé straně.
    2. Vyhledejte upozornění, které jste se naučili nebo ztlumili, a otevřete stránku s podrobnostmi o upozornění.
    3. Na kartě Provést akci vypněte možnost Upozornění nebo Ztlumení výstrahy.

    Po zrušení nebo zrušení ztlumení výstrahy se výstrahy znovu aktivují, kdykoli senzor vycítí vybranou kombinaci provozu.

Přístup k datům PCAP upozornění

V rámci vyšetřování můžete chtít přistupovat k nezpracovaných přenosovým souborům, označované také jako zachytávání paketů nebo soubory PCAP .

Pokud chcete získat přístup k nezpracovaným souborům provozu pro upozornění, vyberte možnost Stáhnout PCAP z levého horního rohu stránky s podrobnostmi upozornění:

Příklad:

Snímek obrazovky s možnostmi stažení PCAP na senzoru OT

Soubor PCAP se stáhne a prohlížeč vás vyzve k jeho otevření nebo uložení místně.

Export upozornění do SOUBORU CSV nebo PDF

Můžete chtít exportovat výběr upozornění do souboru CSV nebo PDF pro offline sdílení a vytváření sestav.

  • Umožňuje exportovat výstrahy do souboru CSV z hlavní stránky Výstrahy . Exportujte výstrahy po jednom nebo hromadně.
  • Umožňuje exportovat výstrahy do souboru PDF jenom po jednom, a to buď z hlavní stránky Upozornění , nebo do stránky s podrobnostmi výstrahy.

Export upozornění do souboru CSV:

  1. Přihlaste se ke konzole senzoru OT a vyberte stránku Upozornění na levé straně.

  2. Pomocí vyhledávacího pole a možností filtru můžete zobrazit jenom výstrahy, které chcete exportovat.

  3. Na panelu nástrojů nad mřížkou vyberte Exportovat do souboru CSV.

Soubor se vygeneruje a zobrazí se výzva k jeho otevření nebo uložení místně.

Export upozornění do souboru PDF:

Přihlaste se ke konzole senzoru OT a vyberte stránku Upozornění na levé straně a pak udělejte jednu z těchto věcí:

  • Na stránce Upozornění vyberte výstrahu a pak na panelu nástrojů nad mřížkou vyberte Exportovat do PDF.
  • Na stránce s podrobnostmi výstrah vyberte Exportovat do PDF.

Soubor se vygeneruje a zobrazí se výzva k jeho místnímu uložení.

Přidání komentářů k upozorněním

Komentáře k upozorněním vám pomůžou urychlit proces vyšetřování a nápravy tím, že zefektivní komunikaci mezi členy týmu a záznamem dat.

Pokud správce pro svůj tým vytvořil vlastní komentáře , které se mají přidat k upozorněním, přidejte je z oddílu Komentáře na stránce s podrobnostmi výstrahy.

  1. Přihlaste se ke konzole senzoru OT a vyberte stránku Upozornění na levé straně.

  2. Vyhledejte výstrahu, do které chcete přidat komentář, a otevřete stránku s podrobnostmi výstrahy.

  3. V seznamu Zvolit komentář vyberte komentář, který chcete přidat, a pak vyberte Přidat. Příklad:

    Snímek obrazovky oddílu Komentáře na stránce s podrobnostmi o upozornění na senzoru

Další informace naleznete v tématu Urychlení pracovních postupů upozornění OT.

Další kroky

Uchovávání dat v programu Microsoft Defender for IoT