Weiterleiten von lokalen OT-Warnungsinformationen
Microsoft Defender for IoT-Warnungen verbessern Ihre Netzwerksicherheit und -vorgänge mit Echtzeitdetails zu in Ihrem Netzwerk protokollierten Ereignissen. OT-Warnungen werden ausgelöst, wenn OT-Netzwerksensoren Änderungen oder verdächtige Aktivitäten im Netzwerkdatenverkehr erkennen, die Ihre Aufmerksamkeit benötigen.
In diesem Artikel wird beschrieben, wie Sie Ihren OT-Sensor so konfigurieren, dass Warnungen an Partnerdienste, Syslog-Server, E-Mail-Adressen usw. weitergeleitet werden. Weitergeleitete Warnungsinformationen enthalten Details wie die folgenden:
- Datum und Uhrzeit der Warnung
- Engine, die das Ereignis erkannt hat
- Warnungstitel und beschreibende Meldung
- Schweregrad der Warnung
- Quell- und -Zielname und IP-Adresse
- Verdächtiger Datenverkehr erkannt
- Getrennte Sensoren
- Remotesicherungsfehler
Hinweis
Regeln für Weiterleitungswarnungen werden nur bei Warnungen ausgeführt, die nach Erstellung der Regel ausgelöst wurden. Warnungen, die es bereits vor Erstellung der Weiterleitungsregel im System gab, sind von ihr nicht betroffen.
Voraussetzungen
Je nachdem, wo Sie Ihre Weiterleitungsregeln für Warnungen erstellen möchten, müssen Sie über einen installierten OT-Netzwerksensor mit Zugriff als Administratorbenutzer verfügen.
Weitere Informationen finden Sie unter Installieren von OT-Software für die Überwachung ohne Agents und Lokale Benutzer und Rollen für die OT-Überwachung mit Defender for IoT.
Sie müssen auch SMTP-Einstellungen auf dem OT-Sensor definieren.
Weitere Informationen finden Sie unter Konfigurieren von SMTP-Mailservereinstellungen auf einem OT-Sensor.
Erstellen von Weiterleitungsregeln auf einem OT-Sensor
Melden Sie sich beim OT-Sensor an, und wählen Sie im Menü auf der linken Seite Weiterleitung>+ Neue Regel erstellen aus.
Geben Sie im Bereich Weiterleitungsregel hinzufügen einen aussagekräftigen Regelnamen ein, und definieren Sie die Regelbedingungen und -aktionen wie folgt:
Name BESCHREIBUNG Minimale Warnungsstufe Wählen Sie den minimalen Warnungsschweregrad aus, den Sie weiterleiten möchten.
Wenn Sie z. B. Minor auswählen, werden Warnungen mit einem niedrigen Schweregrad und alle Warnungen mit höheren Schweregraden weitergeleitet.Beliebiges erkanntes Protokoll Schalten Sie diese Bedingung ein, damit Warnungen aus dem gesamten Protokolldatenverkehr weitergeleitet werden, oder schalten Sie sie aus, und wählen Sie die spezifischen Protokolle aus, die Sie einbeziehen möchten. Von einer beliebigen Engine erkannter Datenverkehr Schalten Sie diese Bedingung ein, damit Warnungen aus allen Analyse-Engines weitergeleitet werden, oder schalten Sie sie aus, und wählen Sie die spezifischen Engines aus, die Sie einbeziehen möchten. Aktionen Wählen Sie den Servertyp aus, an den Sie Warnungen weiterleiten möchten, und definieren Sie alle anderen erforderlichen Informationen für diesen Servertyp.
Wenn Sie derselben Regel mehrere Server hinzufügen möchten, wählen Sie + Server hinzufügen aus, und fügen Sie weitere Details hinzu.
Weitere Informationen finden Sie unter Konfigurieren von Aktionen für Warnungsweiterleitungsregeln.Wenn Sie die Konfiguration der Regel beendet haben, wählen Sie Speichern aus. Dann wird die Regel auf der Seite Weiterleitung aufgeführt.
Testen Sie die von Ihnen erstellte Regel:
- Wählen Sie das Optionsmenü (...) für Ihre Regel >Testnachricht senden aus.
- Wechseln Sie zum Zieldienst, um zu überprüfen, ob die vom Sensor gesendeten Informationen empfangen wurden.
Bearbeiten oder Löschen von Weiterleitungsregeln auf einem OT-Sensor
So bearbeiten oder löschen Sie eine vorhandene Regel:
Melden Sie sich bei Ihrem OT-Sensor an. und wählen Sie im Menü auf der linken Seite Weiterleitung aus.
Wählen Sie das Optionsmenü (...) für Ihre Regel aus, und führen Sie einen der folgenden Schritte aus:
Wählen Sie Bearbeiten aus, und aktualisieren Sie die Felder nach Bedarf. Klicken Sie auf Speichern, wenn Sie fertig sind.
Wählen Sie Löschen>Ja aus, um den Löschvorgang zu bestätigen.
Konfigurieren von Aktionen für Warnungsweiterleitungsregeln
In diesem Abschnitt wird beschrieben, wie Einstellungen für unterstützte Weiterleitungsregelaktionen auf einem OT-Sensor konfiguriert werden.
E-Mail-Adressen-Aktion
Konfigurieren Sie eine E-Mail-Aktion zum Weiterleiten von Warnungsdaten an die konfigurierte E-Mail-Adresse.
Geben Sie im Bereich Aktionen die folgenden Details ein:
| Name | BESCHREIBUNG |
|---|---|
| Server | Wählen Sie E-Mail aus. |
| Geben Sie die E-Mail-Adresse ein, an die Sie die Warnungen weiterleiten möchten. Jede Regel unterstützt eine einzige E-Mail-Adresse. | |
| Zeitzone | Wählen Sie die Zeitzone aus, die Sie für die Warnungserkennung im Zielsystem verwenden möchten. |
Syslog-Server-Aktionen
Konfigurieren Sie eine Syslog-Serveraktion, um Warnungsdaten an den ausgewählten Syslog-Servertyp weiterzuleiten.
Geben Sie im Bereich Aktionen die folgenden Details ein:
| Name | BESCHREIBUNG |
|---|---|
| Server | Wählen Sie einen der folgenden Syslog-Formattypen aus: - SYSLOG-Server (CEF-Format) - SYSLOG-Server (LEEF-Format) - SYSLOG-Server (Objekt) - SYSLOG-Server (Textnachricht) |
| Host / Port | Geben Sie den Hostnamen und Port des Syslog-Servers ein. |
| Zeitzone | Wählen Sie die Zeitzone aus, die Sie für die Warnungserkennung im Zielsystem verwenden möchten. |
| Protokoll | Wird nur bei Textnachrichten unterstützt. Wählen Sie TCP oder UDP aus. |
| Aktivieren der Verschlüsselung | Wird nur beim CEF-Format unterstützt. Schalten Sie dies ein, um eine TLS-Verschlüsselungszertifikatdatei, eine Schlüsseldatei und eine Passphrase zu konfigurieren. |
In den folgenden Abschnitten wird die Syslog-Ausgabesyntax für die einzelnen Formate beschrieben.
Ausgabefelder für Syslog-Textnachrichten
| Name | BESCHREIBUNG |
|---|---|
| Priorität | Benutzer Warnung |
| `Message` | Name der CyberX-Plattform: Der Sensorname. Microsoft Defender for IoT-Warnung: Der Titel der Warnung. Typ: der Typ der Warnung Kann Protocol Violation, Policy Violation, Malware, Anomaly oder Operational lauten. Schweregrad: der Schweregrad der Warnung Kann Warning, Minor, Major oder Critical lauten. Quelle: der Name des Quellgeräts Quell-IP: Die IP-Adresse des Quellgeräts. Protokoll (optional): Das erkannte Quellprotokoll. Adresse (optional): Quellprotokolladresse. Ziel: der Name des Zielgeräts Ziel-IP: die IP-Adresse des Zielgeräts Protokoll (optional): Das erkannte Zielprotokoll. Adresse (optional): Die Zielprotokolladresse. Meldung: der Meldungstext der Warnung Warnungsgruppe: Die der Warnung zugeordnete Warnungsgruppe. UUID (optional): Die UUID der Warnung. |
Ausgabefelder für Syslog-Objekte
| Name | BESCHREIBUNG |
|---|---|
| Priorität | User.Alert |
| Datum und Uhrzeit | Datum und Uhrzeit des Empfangs der Informationen durch den Syslog-Servercomputer. |
| Hostname | Sensor-IP |
| `Message` | Sensorname: der Name der Appliance Zeitpunkt der Warnung: Der Zeitpunkt, zu dem die Warnung erkannt wurde: Kann von der Zeit des Syslog-Servercomputers abweichen und hängt von der Zeitzonenkonfiguration der Weiterleitungsregel ab. Titel der Warnung: Der Titel der Warnung. Warnmeldung: Der Meldungstext der Warnung. Schweregrad der Warnung: der Schweregrad der Warnung: Warnung, Gering, Hoch oder Kritisch Warnungstyp: Protocol Violation, Policy Violation, Malware, Anomaly oder Operational. Protokoll: Protokoll der Warnung Source_MAC: IP-Adresse, Name, Hersteller oder Betriebssystem des Quellgeräts. Destination_MAC: IP-Adresse, Name, Hersteller oder Betriebssystem des Ziels. Wenn Daten fehlen, lautet der Wert N/A. alert_group: Die der Warnung zugeordnete Warnungsgruppe. |
Ausgabefelder für Syslog-CEF
| Name | BESCHREIBUNG |
|---|---|
| Priorität | User.Alert |
| Datum und Uhrzeit | Datum und Uhrzeit, wann der Sensor die Informationen gesendet hat, im UTC-Format |
| Hostname | Hostname des Sensors |
| `Message` | CEF:0 Microsoft Defender for IoT/CyberX Sensorname Sensorversion Microsoft Defender für IoT-Warnung Titel der Warnung Angabe des Schweregrads als ganze Zahl. 1=Warning, 4=Minor, 8=Major oder 10=Critical (Warnung, Gering, Wichtig oder Kritisch) msg= Der Meldungstext der Warnung. protocol= Protokoll der Warnung. severity= Warning, Minor, Major oder Critical. type= Protocol Violation, Policy Violation, Malware, Anomaly oder Operational. UUID= UUID der Warnung (Optional) start= Der Zeitpunkt, zu dem die Warnung erkannt wurde. Kann von der Zeit des Syslog-Servercomputers abweichen und hängt von der Zeitzonenkonfiguration der Weiterleitungsregel ab. src_ip= IP-Adresse des Quellgeräts. (Optional) src_mac= MAC-Adresse des Quellgeräts (Optional) dst_ip= IP-Adresse des Zielgeräts. (Optional) dst_mac= MAC-Adresse des Zielgeräts (Optional) cat= Die der Warnung zugeordnete Warnungsgruppe. |
Ausgabefelder für Syslog-LEEF
| Name | BESCHREIBUNG |
|---|---|
| Priorität | User.Alert |
| Datum und Uhrzeit | Datum und Uhrzeit, wann der Sensor die Informationen gesendet hat, im UTC-Format |
| Hostname | Sensor-IP |
| `Message` | Sensorname: Der Name der Microsoft Defender für IoT-Appliance. LEEF:1.0 Microsoft Defender für IoT Sensor Sensorversion Microsoft Defender für IoT-Warnung title: der Titel der Warnung msg: Der Meldungstext der Warnung Protokoll: Protokoll der Warnung. severity: Warnung, Gering, Hoch oder Kritisch type: Typ der Warnung: Verstoß gegen das Protokoll, Verstoß gegen die Richtlinien, Malware, Anomalie oder Betrieb start: Der Zeitpunkt der Warnung. Möglicherweise weicht die Zeit von der des Syslog-Servercomputers ab. Sie ist von der Zeitzonenkonfiguration abhängig. src_ip: IP-Adresse des Quellgeräts. dst_ip: IP-Adresse des Zielgeräts. cat: Die der Warnung zugeordnete Warnungsgruppe. |
NetWitness-Aktion
Konfigurieren Sie eine NetWitness-Aktion, um Warnungsinformationen an einen NetWitness-Server zu senden.
Geben Sie im Bereich Aktionen die folgenden Details ein:
| Name | BESCHREIBUNG |
|---|---|
| Server | Wählen Sie NetWitness aus. |
| Hostname/Port | Geben Sie den Hostnamen und Port des NetWitness-Servers ein. |
| Zeitzone | Geben Sie die Zeitzone ein, die Sie im Zeitstempel für die Warnungserkennung in SIEM verwenden möchten. |
Konfigurieren von Weiterleitungsregeln für Partnerintegrationen
Möglicherweise integrieren Sie Defender for IoT mit einen Partnerdienst, um Warnungen oder Gerätebestandsinformationen an ein anderes Sicherheits- oder Geräteverwaltungssystem zu senden oder um mit Firewalls auf Partnerseite zu kommunizieren.
Partnerintegrationen können bei der Überbrückung von zuvor isolierten Sicherheitslösungen, der Verbesserung der Gerätesichtbarkeit und der Beschleunigung der systemweiten Reaktion zur schnelleren Risikominderung helfen.
Verwenden Sie in solchen Fällen die unterstützten Aktionen zur Eingabe von Anmeldeinformationen und anderen Informationen, die für die Kommunikation mit integrierten Partnerdiensten erforderlich sind.
Weitere Informationen finden Sie unter:
- Integrieren von Fortinet in Microsoft Defender für loT
- Integrieren von Qradar in Microsoft Defender für loT
Konfigurieren von Warnungsgruppen in Partnerdiensten
Wenn Sie Weiterleitungsregeln zum Senden von Warnungsdaten an Syslog-Server, QRadar und ArcSight konfigurieren, werden Warnungsgruppen automatisch angewendet und sind auf diesen Partnerservern verfügbar.
Warnungsgruppen helfen SOC-Teams bei der Verwendung dieser Partnerlösungen, um Warnungen auf der Grundlage von Unternehmenssicherheitsrichtlinien und Geschäftsprioritäten zu verwalten. Beispielsweise werden Warnungen zu neuen Erkennungen in einer Ermittlungsgruppe organisiert, und sie enthalten alle Warnungen zu neuen Geräten, VLANs, Benutzerkonten, MAC-Adressen u. v. m.
Warnungsgruppen werden in Partnerdiensten mit den folgenden Präfixen angezeigt:
| Präfix | Partnerdienst |
|---|---|
cat |
QRadar, ArcSight, Syslog CEF, Syslog LEEF |
Alert Group |
Syslog-Textnachrichten |
alert_group |
Syslog-Objekte |
Wenn Sie Warnungsgruppen in Ihrer Integration verwenden möchten, müssen Sie Ihre Partnerdienste so konfigurieren, dass der Name der Warnungsgruppe angezeigt wird.
Standardmäßig werden Warnungen so gruppiert:
- Ungewöhnliches Kommunikationsverhalten
- Benutzerdefinierte Warnungen
- Remotezugriff
- Ungewöhnliches Verhalten bei der HTTP-Kommunikation
- Ermittlung
- Befehle zum Neustarten und Abbrechen
- Authentifizierung
- Firmware-Änderung
- Scannen
- Unautorisiertes Kommunikationsverhalten
- Unzulässige Befehle
- Sensordatenverkehr
- Bandbreitenauffälligkeiten
- Zugriff auf das Internet
- Verdacht auf Schadsoftware
- Pufferüberlauf
- Vorgangsfehler
- Verdacht auf schädliche Aktivität
- Befehlsfehler
- Betriebsprobleme
- Konfigurationsänderungen
- Programmieren
Wenn Sie weitere Informationen zum Erstellen von benutzerdefinierten Warnungsgruppen benötigen, wenden Sie sich an den Microsoft-Support.
Problembehandlung bei Weiterleitungsregeln
Wenn Ihre Regeln für Weiterleitungswarnungen nicht wie erwartet funktionieren, überprüfen Sie die folgenden Details:
Zertifikatüberprüfung. Weiterleitungsregeln für Syslog CEF, Microsoft Sentinel und QRadar unterstützen Verschlüsselung und Zertifikatüberprüfung.
Wenn Ihre OT-Sensoren zum Überprüfen von Zertifikaten konfiguriert sind und das Zertifikat nicht überprüft werden kann, werden die Warnungen nicht weitergeleitet.
In diesen Fällen ist der Sensor der Client und Initiator der Sitzung. Zertifikate werden normalerweise vom Server empfangen oder verwenden asymmetrische Verschlüsselung, bei der ein bestimmtes Zertifikat zum Einrichten der Integration bereitgestellt wird.