Vytvoření naučeného směrného plánu upozornění OT

Tento článek je jedním z řady článků popisujících cestu nasazení pro monitorování OT pomocí Microsoft Defenderu pro IoT a popisuje, jak vytvořit základní hodnoty naučeného provozu na senzoru OT.

Principy výukového režimu

Po připojení k síti a přihlášení začne síťový senzor OT automaticky monitorovat vaši síť. Síťová zařízení se začnou objevovat v inventáři zařízení a výstrahy se aktivují pro všechny bezpečnostní nebo provozní incidenty, ke kterým dochází ve vaší síti.

Zpočátku k této aktivitě dochází v režimu učení , který dává snímači OT pokyn, aby se naučila obvyklou aktivitu vaší sítě, včetně zařízení a protokolů v síti, a pravidelné přenosy souborů, ke kterým dochází mezi konkrétními zařízeními. Všechny pravidelně zjištěné aktivity se stanou směrným provozem vaší sítě.

Tip

Pomocí času ve výukovém režimu můžete určit prioritu upozornění a zjistit , které chcete označit jako autorizované a očekávané aktivity. Naučený provoz negeneruje nová upozornění při příštím zjištění stejného provozu.

Jakmile je režim učení vypnutý, všechny aktivity, které se liší od standardních dat, aktivují upozornění.

Další informace najdete v programu Microsoft Defender pro upozornění IoT.

Časová osa režimu Learn

Vytvoření standardních hodnot upozornění OT může trvat od několika dnů do několika týdnů v závislosti na velikosti a složitosti sítě. Doporučujeme, abyste po 2 až 6 týdnech ručně změnili režim učení na dynamický režim, když se denní počet upozornění sníží na spravovatelnou úroveň. V dynamickém režimu Defender pro IoT nadále monitoruje síť pro podezřelý provoz, aktivuje výstrahy a také automaticky přesune kategorii upozornění do provozního režimu, pokud se tato výstraha neaktivuje po určitou dobu.

V provozním režimu jsou všechna upozornění vytvořená v inventáři a je nutné je napravit pomocí akcí uvedených v podokně podrobností výstrahy. Pokud se výstraha aktivovala bezpečným síťovým provozem, budete muset pomocí tlačítka Learn přidat tento provoz do seznamu směrných plánů, aby senzor v budoucnu nevytvářel upozornění.

Pokud úroveň výstrah přesně odpovídá vaší síťové aktivitě, vypněte režim učení ručně .

Požadavky

Postupy v tomto článku můžete provést z webu Azure Portal nebo senzoru OT.

Než začnete, ujistěte se, že máte:

• Nainstalovaný, nakonfigurovaný a aktivovaný senzor OT s upozorněními aktivovanými zjištěným provozem.

• Přístup k senzoru OT jako uživatel zabezpečení nebo správce Další informace najdete v tématu Místní uživatelé a role pro monitorování OT pomocí Defenderu pro IoT.

Výstrahy pro třídění

Upozornění na třídění na konci nasazení za účelem vytvoření počátečního směrného plánu pro vaši síťovou aktivitu.

1. Přihlaste se ke snímači OT a vyberte stránku Upozornění .

2. Pomocí možností řazení a seskupování si můžete nejdřív prohlédnout nejdůležitější výstrahy. Zkontrolujte každou výstrahu, abyste aktualizovali stavy a dozvěděli se výstrahy pro autorizovaný provoz OT.

Další informace najdete v tématu Zobrazení a správa výstrah na senzoru OT.

Další kroky

« Ověření a aktualizace zjištěného inventáře zařízení

Po vypnutí režimu učení jste přešli z režimu učení do režimu provozu . Pokračujte některým z následujících kroků:

• Vizualizace dat Microsoft Defenderu pro IoT pomocí sešitů Azure Monitoru
• Zobrazení a správa upozornění na webu Azure Portal
• Správa inventáře zařízení na webu Azure Portal

Integrujte data Defenderu pro IoT se službou Microsoft Sentinel, abyste mohli sjednotit monitorování zabezpečení týmu SOC. Další informace naleznete v tématu:

• Kurz: Připojení Microsoft Defenderu pro IoT ke službě Microsoft Sentinel
• Kurz: Zkoumání a zjišťování hrozeb pro zařízení IoT