Undersøg hændelser og beskeder
Microsoft Defender for IoT på Microsoft Defender-portalen viser hændelser og beskeder, der forbedrer netværkssikkerheden og -handlingerne med oplysninger i realtid om hændelser, der er logget på dit OT-netværk (operational technology).
Beskeder er grundlaget for alle hændelser og angiver forekomsten af skadelige eller mistænkelige hændelser i dit miljø. I en hændelse analyserer du de beskeder, der påvirker dit netværk, forstår, hvad de betyder, og samler beviserne, så du kan udarbejde en effektiv afhjælpningsplan.
Få mere at vide om beskeder og hændelser på Defender-portalen.
I denne artikel får du mere at vide om, hvordan du undersøger en Microsoft Defender for IoT-hændelse og dens tilknyttede beskeder, og hvordan du afhjælper de sikkerhedsproblemer, som advarslen medfører.
Beskeder på siden Hændelser kombinerer entydigt signalerne fra it- og ot-miljøet for at registrere potentielle trusler og datalækager. Siden Hændelser vises:
- En oversigt over de beskeder, der er forbundet til hændelsen og en hændelsesgraf. Grafen viser andre enheder, der er forbundet til den berørte OT-enhed, og som også kan blive kompromitteret.
- Beskedbeskrivelser, der forklarer typen af registreret sikkerhedsproblem.
- Afhjælpningsindstillinger til løsning af sikkerhedsproblemet.
Bemærk!
Hændelses- og beskeddata for Defender for IoT vises kun, når du har konfigureret et websted, og dine enheder sender data til Defender-portalen. Få mere at vide om, hvordan du konfigurerer et websted.
Vigtigt!
I denne artikel beskrives Microsoft Defender til IoT på Defender-portalen (prøveversion).
Hvis du er eksisterende kunde og arbejder på den klassiske Defender for IoT-portal (Azure Portal), skal du se dokumentationen til Defender for IoT på Azure.
Få mere at vide om Defender for IoT-administrationsportaler.
Nogle oplysninger i denne artikel er relateret til et produkt, der er udgivet på forhånd, og som kan blive ændret væsentligt, før det udgives kommercielt. Microsoft giver ingen garantier, udtrykt eller stiltiende, med hensyn til de oplysninger, der er angivet her.
Undersøg beskeder
Sådan undersøges en besked:
I menuen Microsoft Defender-portal skal du vælge Hændelser & beskeder > Hændelser.
Sådan får du vist OT-relaterede hændelser:
- Vælg Tilføj filter.
- Vælg Produktnavn, og vælg Tilføj.
- Vælg fanen Produktnavne , der vises, og skriv: Defender for IoT.
- Vælg Anvend.
Find og vælg en hændelse.
Den specifikke hændelsesside viser den angrebshistorie, der består af tidslinjen for beskeden, en hændelsesgraf og oplysninger om hændelsen.
Vælg en besked på listen over beskeder.
Grafen over hændelser og hændelsesdetaljer viser specifikke data for denne besked.
I panelet Hændelse skal du gennemse oplysningerne, læse beskrivelsen af beskeden, beviser og påvirkede aktiver og følge de anbefalede handlinger for at afhjælpe problemet.
Besked om IoT i Defender for IoT
Defender for IoT genererer sin egen entydige besked.
| Navn | Beskrivelse |
|---|---|
| Mulig driftsmæssig indvirkning på grund af en kompromitteret enhed | En kompromitteret enhed, der kommunikeres med et aktiv for driftsteknologi (OT). En hacker forsøger muligvis at styre eller afbryde fysiske handlinger. |
Avanceret jagt
Brug egenskaben Site , der er angivet i tabellen DeviceInfo , til at skrive forespørgsler til avanceret jagt. Dette giver dig mulighed for at filtrere enheder i henhold til et bestemt websted, f.eks. alle enheder, der kommunikeres med skadelige enheder på et bestemt websted.
Følgende forespørgsel viser alle slutpunktsenheder med den specifikke IP-adresse på San Francisco-webstedet.
DeviceInfo
|where Site == "SanFrancisco" and PublicIP == "192.168.1.1" and DeviceCategory == "Endpoint"
Dette er relevant for både enhedslageret og webstedssikkerheden. Du kan finde flere oplysninger under Avanceret jagt og DeviceInfo-skemaet Avanceret jagt.