Freigeben über


Weiterleiten von lokalen OT-Warnungsinformationen

Microsoft Defender for IoT-Warnungen verbessern Ihre Netzwerksicherheit und -vorgänge mit Echtzeitdetails zu in Ihrem Netzwerk protokollierten Ereignissen. OT-Warnungen werden ausgelöst, wenn OT-Netzwerksensoren Änderungen oder verdächtige Aktivitäten im Netzwerkdatenverkehr erkennen, für die Ihre Aufmerksamkeit erforderlich ist.

In diesem Artikel wird beschrieben, wie Sie Ihren OT-Sensor oder Ihre lokale Verwaltungskonsole konfigurieren, damit Warnungen an Partnerdienste, Syslog-Server, E-Mail-Adressen usw. weitergeleitet werden. Weitergeleitete Warnungsinformationen enthalten Details wie die folgenden:

  • Datum und Uhrzeit der Warnung
  • Engine, die das Ereignis erkannt hat
  • Warnungstitel und beschreibende Meldung
  • Schweregrad der Warnung
  • Quell- und -Zielname und IP-Adresse
  • Verdächtiger Datenverkehr erkannt
  • Getrennte Sensoren
  • Remotesicherungsfehler

Hinweis

Regeln für Weiterleitungswarnungen werden nur bei Warnungen ausgeführt, die nach Erstellung der Regel ausgelöst wurden. Warnungen, die es bereits vor Erstellung der Weiterleitungsregel im System gab, sind von ihr nicht betroffen.

Voraussetzungen

Erstellen von Weiterleitungsregeln auf einem OT-Sensor

  1. Melden Sie sich beim OT-Sensor an, und wählen Sie im Menü auf der linken Seite Weiterleitung>+ Neue Regel erstellen aus.

  2. Geben Sie im Bereich Weiterleitungsregel hinzufügen einen aussagekräftigen Regelnamen ein, und definieren Sie die Regelbedingungen und -aktionen wie folgt:

    Name BESCHREIBUNG
    Minimale Warnungsstufe Wählen Sie den minimalen Warnungsschweregrad aus, den Sie weiterleiten möchten.

    Wenn Sie z. B. Minor auswählen, werden Warnungen mit einem niedrigen Schweregrad und alle Warnungen mit höheren Schweregraden weitergeleitet.
    Beliebiges erkanntes Protokoll Schalten Sie diese Bedingung ein, damit Warnungen aus dem gesamten Protokolldatenverkehr weitergeleitet werden, oder schalten Sie sie aus, und wählen Sie die spezifischen Protokolle aus, die Sie einbeziehen möchten.
    Von einer beliebigen Engine erkannter Datenverkehr Schalten Sie diese Bedingung ein, damit Warnungen aus allen Analyse-Engines weitergeleitet werden, oder schalten Sie sie aus, und wählen Sie die spezifischen Engines aus, die Sie einbeziehen möchten.
    Aktionen Wählen Sie den Servertyp aus, an den Sie Warnungen weiterleiten möchten, und definieren Sie alle anderen erforderlichen Informationen für diesen Servertyp.

    Wenn Sie derselben Regel mehrere Server hinzufügen möchten, wählen Sie + Server hinzufügen aus, und fügen Sie weitere Details hinzu.

    Weitere Informationen finden Sie unter Konfigurieren von Aktionen für Warnungsweiterleitungsregeln.
  3. Wenn Sie die Konfiguration der Regel beendet haben, wählen Sie Speichern aus. Dann wird die Regel auf der Seite Weiterleitung aufgeführt.

  4. Testen Sie die von Ihnen erstellte Regel:

    1. Wählen Sie das Optionsmenü (...) für Ihre Regel >Testnachricht senden aus.
    2. Wechseln Sie zum Zieldienst, um zu überprüfen, ob die vom Sensor gesendeten Informationen empfangen wurden.

Bearbeiten oder Löschen von Weiterleitungsregeln auf einem OT-Sensor

So bearbeiten oder löschen Sie eine vorhandene Regel:

  1. Melden Sie sich bei Ihrem OT-Sensor an. und wählen Sie im Menü auf der linken Seite Weiterleitung aus.

  2. Wählen Sie das Optionsmenü (...) für Ihre Regel aus, und führen Sie einen der folgenden Schritte aus:

Erstellen von Weiterleitungsregeln in einer lokalen Verwaltungskonsole

Erstellen einer Weiterleitungsregel in der Verwaltungskonsole:

  1. Melden Sie sich bei der lokalen Verwaltungskonsole an, und wählen Sie im Menü auf der linken Seite Weiterleitung aus.

  2. Wählen Sie oben rechts die Schaltfläche + aus, um eine neue Regel zu erstellen.

  3. Geben Sie im Fenster Weiterleitungsregel erstellen einen aussagekräftigen Namen für die Regel ein, und definieren Sie die Regelbedingungen und -aktionen wie folgt:

    Name BESCHREIBUNG
    Minimale Warnungsstufe Verwenden Sie oben rechts im Dialogfeld die Dropdownliste, um den minimalen Warnungsschweregrad auszuwählen, den Sie weiterleiten möchten.

    Wenn Sie z. B. Minor auswählen, werden Warnungen mit einem niedrigen Schweregrad und alle Warnungen mit höheren Schweregraden weitergeleitet.
    Protokolle Wählen Sie Alle aus, um Warnungen aus dem gesamten Protokolldatenverkehr weiterzuleiten, oder wählen Sie Spezifisch aus, um nur bestimmte Protokolle hinzuzufügen.
    Engines Wählen Sie Alle aus, um Warnungen weiterzuleiten, die von allen Sensoranalyse-Engines ausgelöst wurden, oder wählen Sie Spezifisch aus, um nur bestimmte Engines hinzuzufügen.
    Systembenachrichtigungen Wählen Sie die Option Systembenachrichtigungen melden aus, damit über nicht verbundene Sensoren oder Remotesicherungsfehler benachrichtigt wird.
    Warnungsbenachrichtigungen Wählen Sie die Option Warnungsbenachrichtigungen melden aus, damit über Datum und Uhrzeit einer Warnung, Titel, Schweregrad, Quell- und Zielname und IP-Adresse, verdächtigen Datenverkehr und die Engine informiert wird, die das Ereignis erkannt hat.
    Aktionen Wählen Sie Hinzufügen aus, um eine anzuwendende Aktion hinzuzufügen, und geben Sie alle für die ausgewählte Aktion erforderlichen Parameterwerte ein. Wiederholen Sie den Vorgang nach Bedarf, um mehrere Aktionen hinzuzufügen.

    Weitere Informationen finden Sie unter Konfigurieren von Aktionen für Warnungsweiterleitungsregeln.
  4. Wenn Sie die Konfiguration der Regel beendet haben, wählen Sie SPEICHERN aus. Dann wird die Regel auf der Seite Weiterleitung aufgeführt.

  5. Testen Sie die von Ihnen erstellte Regel:

    1. Wählen Sie in der Zeile für Ihre Regel die Schaltfläche Diese Weiterleitungsregel testen aus. Wenn die Nachricht erfolgreich gesendet wurde, wird eine Erfolgsbenachrichtigung angezeigt.
    2. Wechseln Sie zu Ihrem Partnersystem, um zu überprüfen, ob die vom Sensor gesendeten Informationen empfangen wurden.

Erstellen oder Löschen von Weiterleitungsregeln in einer lokalen Verwaltungskonsole

So bearbeiten oder löschen Sie eine vorhandene Regel:

  1. Melden Sie sich bei Ihrer lokalen Verwaltungskonsole an, und wählen Sie im Menü auf der linken Seite Weiterleitung aus.

  2. Suchen Sie die Zeile für Ihre Regel, und wählen Sie eine der Schaltflächen Bearbeiten oder Löschen aus.

    • Wenn Sie die Regel bearbeiten, aktualisieren Sie die Felder nach Bedarf, und wählen Sie SPEICHERN aus.

    • Wenn Sie die Regel löschen, wählen Sie BESTÄTIGEN aus, um den Löschvorgang zu bestätigen.

Konfigurieren von Aktionen für Warnungsweiterleitungsregeln

In diesem Abschnitt wird beschrieben, wie Sie Einstellungen für unterstützte Weiterleitungsregelaktionen auf einem OT-Sensor oder an der lokalen Verwaltungskonsole konfigurieren.

E-Mail-Adressen-Aktion

Konfigurieren Sie eine E-Mail-Aktion zum Weiterleiten von Warnungsdaten an die konfigurierte E-Mail-Adresse.

Geben Sie im Bereich Aktionen die folgenden Details ein:

Name BESCHREIBUNG
Server Wählen Sie E-Mail aus.
E-Mail Geben Sie die E-Mail-Adresse ein, an die Sie die Warnungen weiterleiten möchten. Jede Regel unterstützt eine einzige E-Mail-Adresse.
Zeitzone Wählen Sie die Zeitzone aus, die Sie für die Warnungserkennung im Zielsystem verwenden möchten.

Syslog-Server-Aktionen

Konfigurieren Sie eine Syslog-Serveraktion, um Warnungsdaten an den ausgewählten Syslog-Servertyp weiterzuleiten.

Geben Sie im Bereich Aktionen die folgenden Details ein:

Name BESCHREIBUNG
Server Wählen Sie einen der folgenden Syslog-Formattypen aus:

- SYSLOG-Server (CEF-Format)
- SYSLOG-Server (LEEF-Format)
- SYSLOG-Server (Objekt)
- SYSLOG-Server (Textnachricht)
Host / Port Geben Sie den Hostnamen und Port des Syslog-Servers ein.
Zeitzone Wählen Sie die Zeitzone aus, die Sie für die Warnungserkennung im Zielsystem verwenden möchten.
Protokoll Wird nur bei Textnachrichten unterstützt. Wählen Sie TCP oder UDP aus.
Aktivieren der Verschlüsselung Wird nur beim CEF-Format unterstützt. Schalten Sie dies ein, um eine TLS-Verschlüsselungszertifikatdatei, eine Schlüsseldatei und eine Passphrase zu konfigurieren.

In den folgenden Abschnitten wird die Syslog-Ausgabesyntax für die einzelnen Formate beschrieben.

Ausgabefelder für Syslog-Textnachrichten

Name BESCHREIBUNG
Priorität Benutzer Warnung
`Message` Name der CyberX-Plattform: Der Sensorname.
Microsoft Defender for IoT-Warnung: Der Titel der Warnung.
Typ: der Typ der Warnung Kann Protocol Violation, Policy Violation, Malware, Anomaly oder Operational lauten.
Schweregrad: der Schweregrad der Warnung Kann Warning, Minor, Major oder Critical lauten.
Quelle: der Name des Quellgeräts
Quell-IP: Die IP-Adresse des Quellgeräts.
Protokoll (optional): Das erkannte Quellprotokoll.
Adresse (optional): Quellprotokolladresse.
Ziel: der Name des Zielgeräts
Ziel-IP: die IP-Adresse des Zielgeräts
Protokoll (optional): Das erkannte Zielprotokoll.
Adresse (optional): Die Zielprotokolladresse.
Meldung: der Meldungstext der Warnung
Warnungsgruppe: Die der Warnung zugeordnete Warnungsgruppe.
UUID (optional): Die UUID der Warnung.

Ausgabefelder für Syslog-Objekte

Name BESCHREIBUNG
Priorität User.Alert
Datum und Uhrzeit Datum und Uhrzeit des Empfangs der Informationen durch den Syslog-Servercomputer.
Hostname Sensor-IP
`Message` Sensorname: der Name der Appliance
Zeitpunkt der Warnung: Der Zeitpunkt, zu dem die Warnung erkannt wurde: Kann von der Zeit des Syslog-Servercomputers abweichen und hängt von der Zeitzonenkonfiguration der Weiterleitungsregel ab.
Titel der Warnung: Der Titel der Warnung.
Warnmeldung: Der Meldungstext der Warnung.
Schweregrad der Warnung: der Schweregrad der Warnung: Warnung, Gering, Hoch oder Kritisch
Warnungstyp: Protocol Violation, Policy Violation, Malware, Anomaly oder Operational.
Protokoll: Protokoll der Warnung
Source_MAC: IP-Adresse, Name, Hersteller oder Betriebssystem des Quellgeräts.
Destination_MAC: IP-Adresse, Name, Hersteller oder Betriebssystem des Ziels. Wenn Daten fehlen, lautet der Wert N/A.
alert_group: Die der Warnung zugeordnete Warnungsgruppe.

Ausgabefelder für Syslog-CEF

Name BESCHREIBUNG
Priorität User.Alert
Datum und Uhrzeit Datum und Uhrzeit, wann der Sensor die Informationen gesendet hat, im UTC-Format
Hostname Hostname des Sensors
`Message` CEF:0
Microsoft Defender for IoT/CyberX
Sensorname
Sensorversion
Microsoft Defender für IoT-Warnung
Titel der Warnung
Angabe des Schweregrads als ganze Zahl. 1=Warning, 4=Minor, 8=Major oder 10=Critical (Warnung, Gering, Wichtig oder Kritisch)
msg= Der Meldungstext der Warnung.
protocol= Protokoll der Warnung.
severity= Warning, Minor, Major oder Critical.
type= Protocol Violation, Policy Violation, Malware, Anomaly oder Operational.
UUID= UUID der Warnung (Optional)
start= Der Zeitpunkt, zu dem die Warnung erkannt wurde.
Kann von der Zeit des Syslog-Servercomputers abweichen und hängt von der Zeitzonenkonfiguration der Weiterleitungsregel ab.
src_ip= IP-Adresse des Quellgeräts. (Optional)
src_mac= MAC-Adresse des Quellgeräts (Optional)
dst_ip= IP-Adresse des Zielgeräts. (Optional)
dst_mac= MAC-Adresse des Zielgeräts (Optional)
cat= Die der Warnung zugeordnete Warnungsgruppe.

Ausgabefelder für Syslog-LEEF

Name BESCHREIBUNG
Priorität User.Alert
Datum und Uhrzeit Datum und Uhrzeit, wann der Sensor die Informationen gesendet hat, im UTC-Format
Hostname Sensor-IP
`Message` Sensorname: Der Name der Microsoft Defender für IoT-Appliance.
LEEF:1.0
Microsoft Defender für IoT
Sensor
Sensorversion
Microsoft Defender für IoT-Warnung
title: der Titel der Warnung
msg: Der Meldungstext der Warnung
Protokoll: Protokoll der Warnung.
severity: Warnung, Gering, Hoch oder Kritisch
type: Typ der Warnung: Verstoß gegen das Protokoll, Verstoß gegen die Richtlinien, Malware, Anomalie oder Betrieb
start: Der Zeitpunkt der Warnung. Möglicherweise weicht die Zeit von der des Syslog-Servercomputers ab. Sie ist von der Zeitzonenkonfiguration abhängig.
src_ip: IP-Adresse des Quellgeräts.
dst_ip: IP-Adresse des Zielgeräts.
cat: Die der Warnung zugeordnete Warnungsgruppe.

Webhookserveraktion

Wird nur von der lokalen Verwaltungskonsole unterstützt

Konfigurieren Sie eine Webhookaktion zum Konfigurieren einer Integration, die Defender for IoT-Warnungsereignisse abonniert. Senden Sie beispielsweise Warnungsdaten an einen Webhookserver, um ein externes SIEM-System, SOAR-System oder Incident-Management-System zu aktualisieren.

Wenn Sie Warnungen zur Weiterleitung an einen Webhookserver konfiguriert haben und ein Warnungsereignis ausgelöst wird, sendet die lokale Verwaltungskonsole eine HTTP POST-Nutzlast an die konfigurierte Webhook-URL.

Geben Sie im Bereich Aktionen die folgenden Details ein:

Name BESCHREIBUNG
Server Wählen Sie Webhook aus.
URL Geben Sie die URL für den Webhookserver ein.
Schlüssel/Wert Geben Sie Schlüssel-Wert-Paare ein, um den HTTP-Header nach Bedarf anzupassen. Die unterstützten Zeichen umfassen:
- Schlüssel dürfen nur Buchstaben, Ziffern, Bindestriche und Unterstriche enthalten.
- Werte dürfen nur ein einziges führendes und/oder nachstehendes Leerzeichen enthalten.

Webhook erweitert

Wird nur von der lokalen Verwaltungskonsole unterstützt

Konfigurieren Sie eine erweiterte Webhookaktion zum Senden der folgenden zusätzlichen Daten an Ihren Webhookserver:

  • sensorID
  • sensorName
  • zoneID
  • zoneName
  • siteID
  • siteName
  • sourceDeviceAddress
  • destinationDeviceAddress
  • remediationSteps
  • handled (verarbeitet)
  • additionalInformation

Geben Sie im Bereich Aktionen die folgenden Details ein:

Name BESCHREIBUNG
Server Wählen Sie Webhook erweitert aus.
URL Geben Sie die URL für Endpunktdaten ein.
Schlüssel/Wert Geben Sie Schlüssel-Wert-Paare ein, um den HTTP-Header nach Bedarf anzupassen. Die unterstützten Zeichen umfassen:
- Schlüssel dürfen nur Buchstaben, Ziffern, Bindestriche und Unterstriche enthalten.
- Werte dürfen nur ein einziges führendes und/oder nachstehendes Leerzeichen enthalten.

NetWitness-Aktion

Konfigurieren Sie eine NetWitness-Aktion, um Warnungsinformationen an einen NetWitness-Server zu senden.

Geben Sie im Bereich Aktionen die folgenden Details ein:

Name BESCHREIBUNG
Server Wählen Sie NetWitness aus.
Hostname/Port Geben Sie den Hostnamen und Port des NetWitness-Servers ein.
Zeitzone Geben Sie die Zeitzone ein, die Sie im Zeitstempel für die Warnungserkennung in SIEM verwenden möchten.

Konfigurieren von Weiterleitungsregeln für Partnerintegrationen

Möglicherweise integrieren Sie Defender for IoT mit einen Partnerdienst, um Warnungen oder Gerätebestandsinformationen an ein anderes Sicherheits- oder Geräteverwaltungssystem zu senden oder um mit Firewalls auf Partnerseite zu kommunizieren.

Partnerintegrationen können bei der Überbrückung von zuvor isolierten Sicherheitslösungen, der Verbesserung der Gerätesichtbarkeit und der Beschleunigung der systemweiten Reaktion zur schnelleren Risikominderung helfen.

Verwenden Sie in solchen Fällen die unterstützten Aktionen zur Eingabe von Anmeldeinformationen und anderen Informationen, die für die Kommunikation mit integrierten Partnerdiensten erforderlich sind.

Weitere Informationen finden Sie unter:

Konfigurieren von Warnungsgruppen in Partnerdiensten

Wenn Sie Weiterleitungsregeln zum Senden von Warnungsdaten an Syslog-Server, QRadar und ArcSight konfigurieren, werden Warnungsgruppen automatisch angewendet und sind auf diesen Partnerservern verfügbar.

Warnungsgruppen helfen SOC-Teams bei der Verwendung dieser Partnerlösungen, um Warnungen auf der Grundlage von Unternehmenssicherheitsrichtlinien und Geschäftsprioritäten zu verwalten. Beispielsweise werden Warnungen zu neuen Erkennungen in einer Ermittlungsgruppe organisiert, und sie enthalten alle Warnungen zu neuen Geräten, VLANs, Benutzerkonten, MAC-Adressen u. v. m.

Warnungsgruppen werden in Partnerdiensten mit den folgenden Präfixen angezeigt:

Präfix Partnerdienst
cat QRadar, ArcSight, Syslog CEF, Syslog LEEF
Alert Group Syslog-Textnachrichten
alert_group Syslog-Objekte

Wenn Sie Warnungsgruppen in Ihrer Integration verwenden möchten, müssen Sie Ihre Partnerdienste so konfigurieren, dass der Name der Warnungsgruppe angezeigt wird.

Standardmäßig werden Warnungen so gruppiert:

  • Ungewöhnliches Kommunikationsverhalten
  • Benutzerdefinierte Warnungen
  • Remotezugriff
  • Ungewöhnliches Verhalten bei der HTTP-Kommunikation
  • Ermittlung
  • Befehle zum Neustarten und Abbrechen
  • Authentifizierung
  • Firmware-Änderung
  • Scannen
  • Unautorisiertes Kommunikationsverhalten
  • Unzulässige Befehle
  • Sensordatenverkehr
  • Bandbreitenauffälligkeiten
  • Zugriff auf das Internet
  • Verdacht auf Schadsoftware
  • Pufferüberlauf
  • Vorgangsfehler
  • Verdacht auf schädliche Aktivität
  • Befehlsfehler
  • Betriebsprobleme
  • Konfigurationsänderungen
  • Programmieren

Wenn Sie weitere Informationen zum Erstellen von benutzerdefinierten Warnungsgruppen benötigen, wenden Sie sich an den Microsoft-Support.

Problembehandlung bei Weiterleitungsregeln

Wenn Ihre Regeln für Weiterleitungswarnungen nicht wie erwartet funktionieren, überprüfen Sie die folgenden Details:

  • Zertifikatüberprüfung. Weiterleitungsregeln für Syslog CEF, Microsoft Sentinel und QRadar unterstützen Verschlüsselung und Zertifikatüberprüfung.

    Wenn Ihre OT-Sensoren oder Ihre lokale Verwaltungskonsole zum Überprüfen von Zertifikaten konfiguriert sind und das Zertifikat nicht überprüft werden kann, werden die Warnungen nicht weitergeleitet.

    In diesen Fällen ist der Sensor oder die lokale Verwaltungskonsole der Client und Initiator für die Sitzung. Zertifikate werden normalerweise vom Server empfangen oder verwenden asymmetrische Verschlüsselung, bei der ein bestimmtes Zertifikat zum Einrichten der Integration bereitgestellt wird.

  • Warnungsausschlussregeln. Wenn in Ihrer lokalen Verwaltungskonsole Ausschlussregeln konfiguriert wurden, ignorieren Ihre Sensoren möglicherweise die Warnungen, die Sie weiterleiten möchten. Weitere Informationen finden Sie unter Erstellen von Warnungsausschlussregeln in einer lokalen Verwaltungskonsole.

Nächste Schritte