Gelernte Baseline mit OT-Warnungen erstellen
Dieser Artikel ist einer aus einer Reihe von Artikeln, die den Bereitstellungsspfad für die OT-Überwachung mit Microsoft Defender for IoT beschreiben. Außerdem wird erläutert, wie Sie eine Basislinie des gelernten Datenverkehrs auf Ihrem OT-Sensor erstellen.
Übersicht über den mehrstufigen Überwachungsprozess
Wenn ein OT-Netzwerksensor mit dem Netzwerk verbunden ist und Sie sich angemeldet haben, beginnt der Sensor automatisch mit der Überwachung Ihres Netzwerks. Netzwerkgeräte werden in Ihrem Gerätebestand angezeigt, und es werden Warnungen für Sicherheits- oder Betriebsvorfälle ausgelöst, die in Ihrem Netzwerk auftreten.
Defender for IoT wendet einen dreistufigen Überwachungsprozess an, der das normale Datenverkehrsverhalten Ihres Netzwerks erlernt. Diese drei Stufen stellen eine präzise Erkennung sicher und reduziert unnötige Warnungen:
Zusammenfassung der Überwachungsphasen
| Mode | Zweck | Auslösen von Warnungen | Benutzeraktionen erforderlich |
|---|---|---|---|
| Weiterbildung | Erstellt eine Baseline für den normalen Netzwerkdatenverkehr | Schadsoftwarewarnungen, Anomaliewarnungen, Betriebswarnungen, Warnungen zu Protokollverletzungen | Manuelles Deaktivieren nach 2 bis 6 Wochen oder wenn die Baseline die Netzwerkaktivitäten präzise widerspiegelt |
| Dynamisch | Optimiert die Baseline und führt schrittweise Warnungen zu Richtlinienverstößen ein, um die Genauigkeit zu steigern und unnötige Warnungen zu reduzieren | Warnungen zu Richtlinienverstößen werden eingeführt | Optional: Anpassen von Einstellungen für bestimmte Szenarien (z. B. während PoCs) |
| Betriebsbereit | Überwacht den gesamten Netzwerkdatenverkehr mit einer stabilen Baseline und löst alle Warnungen aus, um Abweichungen oder verdächtige Aktivitäten zu melden | Alle Warnungstypen | Keine. Automatische Übergänge, wenn sich die Baseline stabilisiert |
Lernmodus
Zunächst wird der Sensor im Lernmodus ausgeführt, um den gesamten Netzwerkdatenverkehr zu überwachen und eine Baseline aller normalen Datenverkehrsmuster zu erstellen. Diese Baseline umfasst alle Geräte und Protokolle in Ihrem Netzwerk sowie die normalen Dateiübertragungen zwischen Geräten. Dieser Vorgang dauert je nach Netzwerkgröße und -komplexität normalerweise zwischen 2 und 6 Wochen. Darüber hinaus werden alle Geräte, die später entdeckt werden, 7 Tage lang in den Lernmodus einbezogen, um auch für sie eine Baseline für den Netzwerkdatenverkehr zu erstellen.
Im Lernmodus überwacht und schützt der Sensor Ihre Umgebung, indem relevante Sicherheitswarnungen ausgelöst werden, z. B. Schadsoftware-, Anomalie- und Betriebswarnungen. Warnungen zu Richtlinienverletzungen, die auf Abweichungen von der Baseline hindeuten, werden jedoch nicht ausgelöst, während sich das System im Lernmodus befindet.
Dynamischer Modus
Wenn der Ermittlungsprozess und der Netzwerkdatenverkehr stabil sind, sollten Sie den Lernmodus manuell deaktivieren. Damit wechselt der Sensor in den dynamischen Modus. Im dynamischen Modus überwacht der Sensor weiterhin Ihr Netzwerk und überprüft und optimiert die Baseline. Der Sensor bewertet jede Warnungskategorie und jedes Szenario einzeln und überführt sie dynamisch in den Betriebsmodus, wenn ihre Baselines als korrekt bestätigt wurden. Alternativ kann der Lernmodus automatisch für bestimmte Warnungen oder Szenarien erweitert werden, wenn der Sensor erhebliche Änderungen am Datenverkehr erkennt.
Im dynamischen Modus werden schrittweise Warnungen zu Richtlinienverstößen eingeführt und nach und nach in den Warnungsbestand übernommen.
Betriebsmodus.
Wenn der Sensor erkennt, dass die Baseline stabil und vollständig ist, wechselt er automatisch in den Betriebsmodus, überwacht den gesamten Netzwerkdatenverkehr und löst alle Warnungstypen aus.
Die Lernaktion wird relevant, nachdem der Lernmodus deaktiviert und in den Betriebsmodus gewechselt wurde, wenn Sie bestimmte Vorgänge als autorisierte oder erwartete Aktivitäten kennzeichnen möchten. Nachdem sie erlernt wurden, werden in Zukunft keine neuen Warnungen mehr generiert.
Deaktivieren Sie den Lernmodus manuell, wenn die Warnungsstufe Ihre Netzwerkaktivität genau widerspiegelt.
Weitere Informationen finden Sie unter Warnungen in Microsoft Defender for IoT.
Voraussetzungen
Sie können die in diesem Artikel beschriebenen Verfahren über das Azure-Portal oder einen OT-Sensor durchführen.
Stellen Sie zunächst sicher, dass Sie über Folgendes verfügen:
Ein OT-Sensor wurde installiert, konfiguriert und aktiviert, und Warnungen werden durch erkannten Datenverkehr ausgelöst.
Zugriff auf Ihren OT-Sensor als Sicherheitsanalyst oder Admin-Benutzer. Weitere Informationen finden Sie unter Lokale Benutzer und Rollen für die OT-Überwachung mit Defender for IoT.
Warnungen selektieren
Selektieren Sie Warnungen gegen Ende Ihres Einsatzes, um eine erste Baseline für Ihre Netzwerkaktivitäten zu erstellen.
Melden Sie sich bei Ihrem OT-Sensor an und wählen Sie die Warnungsseite.
Verwenden Sie die Sortier- und Gruppierungsoptionen, um Ihre wichtigsten Warnungen zuerst anzuzeigen. Überprüfen Sie jede Warnung, um den Status zu aktualisieren und Warnungen für OT-autorisierten Datenverkehr zu lernen.
Weitere Informationen finden Sie unter Anzeigen und Verwalten von Warnungen auf Ihrem OT-Sensor.
Nächste Schritte
Nachdem der Lernmodus deaktiviert wurde und Sie vom Lernmodus auf den Betriebsmodus umgestellt haben, fahren Sie wie folgt fort:
- Visualisieren von Microsoft Defender for IoT-Daten mit Azure Monitor-Arbeitsmappen
- Anzeigen und Verwalten von Warnungen über das Azure-Portal
- Anzeigen des Gerätebestands im Azure-Portal
Integrieren Sie Defender for IoT-Daten mit Microsoft Sentinel, um die Sicherheitsüberwachung Ihres SOC-Teams zu vereinheitlichen. Weitere Informationen finden Sie unter