Nachverfolgen der Netzwerk- und Sensoraktivität mit der Ereigniszeitachse
Die von Ihrem Microsoft Defender for IoT-Sensoren erkannte Aktivität wird in der Ereigniszeitachse aufgezeichnet. Zu den Aktivitäten zählen Benachrichtigungen und Aktionen zur Benachrichtigungsverwaltung, Netzwerkereignisse und Benutzervorgänge wie das Anmelden oder Löschen von Benutzern.
Die Ereigniszeitachse des OT-Sensors zeigt eine chronologische Ansicht und den Kontext für alle Netzwerkaktivitäten, sodass Sie die Ursache und Auswirkungen von Incidents ermitteln können. Die Zeitachsenansicht erleichtert das Extrahieren von Informationen aus Netzwerkereignissen und die effizientere Analyse von Benachrichtigungen und Ereignissen, die im Netzwerk beobachtet werden. Mit der Möglichkeit, große Mengen an Daten zu speichern, kann die Ereigniszeitachsenansicht eine wertvolle Ressource für Sicherheitsteams sein, um Untersuchungen durchzuführen und ein tieferes Verständnis der Netzwerkaktivität zu erlangen.
Verwenden Sie die Ereigniszeitachse während Untersuchungen, um die Kette der Ereignisse vor oder nach einem Angriff oder Vorfall zu verstehen und zu analysieren. Die zentralisierte Ansicht mehrerer sicherheitsrelevanter Ereignisse auf derselben Zeitachse hilft dabei, Muster und Korrelationen zu identifizieren und Sicherheitsteams zu befähigen, die Auswirkungen von Vorfällen schnell zu bewerten und entsprechend zu reagieren.
Weitere Informationen finden Sie unter:
- Anzeigen von Ereignissen auf der Zeitachse
- Überwachen Sie die Benutzeraktivität.
- Anzeigen und Verwalten von Warnungen
- Analysieren von Programmierdetails und -änderungen
Berechtigungen
Bevor Sie eines der in diesem Artikel beschriebenen Verfahren ausführen, vergewissern Sie sich, dass Sie mit der Rolle Administrator oder Sicherheitsanalyst auf einen OT-Sensor zugreifen können. Weitere Informationen finden Sie unter Lokale Benutzer und Rollen für die OT-Überwachung mit Defender for IoT.
Anzeigen der Ereigniszeitachse
Melden Sie sich bei der Sensorkonsole an, und wählen Sie im linken Menü die Option Ereigniszeitachse aus.
Überprüfen und filtern Sie die Ereignisse nach Bedarf.
Wählen Sie eine Ereigniszeile aus, um die Ereignisdetails in einem Bereich auf der rechten Seite anzuzeigen, in dem Sie auch filtern können, um Ereignisse verwandter Geräte anzuzeigen. Der Filter Benutzervorgänge ist standardmäßig aktiviert. Sie können wählen, Benutzerereignisse nach Bedarf auszublenden oder anzuzeigen.
Zum Beispiel:
Sie können auch die Ereigniszeitachse eines bestimmten Geräts aus dem Geräteinventar anzeigen.
So zeigen Sie die Ereigniszeitachse eines bestimmten Geräts an:
Wechseln Sie in der Sensorkonsole zu Geräteinventar.
Wählen Sie das bestimmte Gerät aus, um den Bereich mit den Gerätedetails zu öffnen, und wählen Sie dann Vollständige Details anzeigen aus, um die Seite mit den Geräteeigenschaften zu öffnen.
Wählen Sie die Registerkarte Ereigniszeitachse aus, um alle diesem Gerät zugeordneten Ereignisse anzuzeigen, und filtern Sie die Ereignisse nach Bedarf.
Zum Beispiel:
Filtern von Ereignissen auf der Zeitachse
Wählen Sie auf der Ereigniszeitachsenseite Filter hinzufügen aus, um die angezeigten Ereignisse festzulegen.
Wählen Sie den Filter Typ aus. Verwenden Sie eine der folgenden Optionen, um die angezeigten Geräte zu filtern:
type BESCHREIBUNG Vorgänge von Benutzern Dieser Filter ist standardmäßig aktiviert. Wählen Sie, ob Benutzervorgangsereignisse angezeigt oder ausgeblendet werden sollen. Datum Suchen Sie nach Ereignissen in einem bestimmten Datumsbereich. Gerätegruppe Filtern Sie bestimmte Geräte nach Gruppen, wie in der Gerätezuordnung definiert. Ereignisschweregrad Suchen Sie nach Nur Benachrichtigungen, Benachrichtigungen und Hinweise oder Alle Ereignisse. Geräte ausschließen Suchen und filtern Sie nach Geräten, die Sie ausschließen wollen. Geräte einschließen Suchen und filtern Sie nach Geräten, die Sie einschließen wollen. Ereignistypen ausschließen Suchen und filtern Sie nach bestimmten Ereignistypen, die Sie ausschließen möchten. Ereignistypen einschließen Suchen und filtern Sie nach bestimmten Ereignistypen, die Sie einschließen möchten. Schlüsselwörter Filtern Sie Ereignisse nach bestimmten Schlüsselwörtern. Wählen Sie Übernehmen aus, um den Filter festlegen.
Exportieren der Ereigniszeitachse nach CSV
Sie können die Ereigniszeitachse in eine CSV-Datei exportieren, die exportierten Daten entsprechen den beim Exportieren angewendeten Filtern.
So exportieren Sie die Ereigniszeitachse:
Wählen Sie auf der Seite Ereigniszeitachse im oberen Menü die Option Exportieren aus, um die Ereigniszeitachse in eine CSV-Datei zu exportieren.
Erstellen eines Ereignisses
Zusätzlich zum Anzeigen der Ereignisse, die der Sensor erkannt hat, können Sie der Zeitachse Ereignisse manuell hinzufügen. Dieser Prozess ist nützlich, wenn ein externes Systemereignis Auswirkungen auf Ihr Netzwerk hat und Sie es auf der Zeitachse aufzeichnen möchten.
Wählen Sie auf der Seite Ereigniszeitachse die Option Ereignis erstellen aus.
Fügen Sie im Dialogfeld Ereignis erstellen die folgenden Ereignisdetails hinzu:
Typ. Geben Sie den Ereignistyp an (Info, Hinweis oder Benachrichtigung) an.
Timestamp: Legen Sie das Datum und die Uhrzeit des Ereignisses fest.
Gerät: Wählen Sie das Gerät aus, mit dem das Ereignis verbunden werden soll.
Beschreibung. Geben Sie eine Beschreibung des Ereignisses an.
Wählen Sie Speichern aus, um das Ereignis der Zeitachse hinzuzufügen.
Zum Beispiel:
Kapazität der Ereigniszeitachse
Die Menge an Daten, die in der Ereigniszeitachse gespeichert werden kann, hängt von verschiedenen Faktoren ab, z. B. der Größe des Netzwerks, der Häufigkeit von Ereignissen und der Speicherkapazität Ihres Sensors. Die in der Ereigniszeitachse gespeicherten Daten können Informationen zu Netzwerkdatenverkehr, Sicherheitsereignissen und anderen relevanten Datenpunkten enthalten.
Die maximale Anzahl von Ereignissen, die in der Ereigniszeitachse angezeigt werden, hängt vom Hardwareprofil ab, das während der Sensorinstallation ausgewählt wurde. Jedes Hardwareprofil verfügt über eine maximale Kapazität an Ereignissen. Weitere Informationen zur maximalen Ereigniskapazität für jedes Hardwareprofil finden Sie unter Datenaufbewahrung der OT-Ereigniszeitachse.
Nächste Schritte
Weitere Informationen finden Sie unter: