Anzeigen und Verwalten von Warnungen im Azure-Portal
Microsoft Defender for IoT-Warnungen verbessern Ihre Netzwerksicherheit und -vorgänge mit Echtzeitdetails zu in Ihrem Netzwerk protokollierten Ereignissen. In diesem Artikel wird beschrieben, wie Sie Microsoft Defender for IoT-Warnungen im Azure-Portal verwalten, einschließlich Warnungen, die von OT- und Enterprise IoT-Netzwerksensoren generiert werden.
OT-Warnungen sind auch in jeder OT-Netzwerksensorkonsole oder einer verbundenen lokalen Verwaltungskonsole verfügbar.
Integration in Microsoft Sentinel, um Defender for IoT-Warnungen in Microsoft Sentinel anzuzeigen und zusammen mit Sicherheitsincidents zu verwalten.
Wenn Sie Enterprise-IoT-Sicherheit in Microsoft Defender XDR aktiviert haben, sind Warnungen für von Microsoft Defender for Endpoint erkannte Enterprise-IoT-Geräte nur in Defender for Endpoint verfügbar.
Weitere Informationen finden Sie unter Sichern von IoT-Geräten im Unternehmen und Warnungswarteschlange in Microsoft Defender XDR.
Voraussetzungen
Um Warnungen in Defender for IoT zu erhalten, müssen Sie über einen OT-Sensor verfügen und Netzwerkdaten in Defender for IoT streamen.
Um Warnungen im Azure-Portal anzuzeigen, benötigen Sie Zugriff als Sicherheitsleser, Sicherheitsadministrator, Mitwirkender oder Besitzer.
Um Warnungen im Azure-Portal zu verwalten, benötigen Sie Zugriff als SicherheitsadministratorMitwirkender oder Besitzer. Aktivitäten der Warnungsverwaltung umfassen das Ändern ihrer Status oder Schweregrade, das Erlernen einer Warnung, den Zugriff auf PCAP-Daten oder die Verwendung von Regeln zur Warnungsunterdrückung.
Weitere Informationen finden Sie unter Azure-Benutzerrollen und -Berechtigungen für Defender for IoT.
Anzeigen von Warnungen im Azure-Portal
Wählen Sie in Defender for IoT im Azure-Portal auf der linken Seite Warnungen aus. Standardmäßig werden die folgenden Details im Raster angezeigt:
Column Beschreibung Severity Ein vom Sensor zugewiesener vordefinierter Warnungsschweregrad, den Sie bei Bedarf ändern können. Name Der Titel der Warnung Website Die dem Sensor, der die Warnung erkannt hat, zugeordnete Site, die auf der Seite Sites und Sensoren aufgelistet ist. Engine Die Erkennungs-Engine von Defender for IoT, die die Aktivität erkannt und die Warnung ausgelöst hat.
Hinweis: Der Wert Micro-Agent gibt an, dass das Ereignis von der Device Builder-Plattform von Defender for IoT ausgelöst wurde.Letzte Erkennung Der Zeitpunkt, zu dem die Warnung zuletzt erkannt wurde.
– Wenn der Status einer Warnung Neu lautet und derselbe Datenverkehr erneut angezeigt wird, wird der Zeitpunkt für Letzte Erkennung für dieselbe Warnung aktualisiert.
– Wenn der Status der Warnung Geschlossen lautet und der Datenverkehr erneut angezeigt wird, wird der Zeitpunkt für Letzte Erkennungnicht aktualisiert, und eine neue Warnung wird ausgelöst.
Hinweis: Während die Sensorkonsole das Feld Letzte Erkennung einer Warnung in Echtzeit anzeigt, kann es bei Defender for IoT im Azure-Portal bis zu einer Stunde dauern, bis die aktualisierte Zeit angezeigt wird. Dies erklärt ein Szenario, in dem die letzte Erkennungszeit in der Sensorkonsole nicht mit der letzten Erkennungszeit im Azure-Portal übereinstimmt.Status Der Warnungsstatus: Neu, Aktiv, Geschlossen
Weitere Informationen finden Sie unter Warnungsstatus und Selektierungsoptionen.Quellgerät Die IP-Adresse, die MAC-Adresse oder der Name des Geräts, von dem der Datenverkehr stammt, von dem die Warnung ausgelöst wurde. Taktik Die MITRE ATT&CK-Phase. Um weitere Details anzuzeigen, wählen Sie die Schaltfläche Spalten bearbeiten aus.
Wählen Sie im Bereich Spalten bearbeiten auf der rechten Seite Spalte hinzufügen und eine der folgenden zusätzlichen Spalten aus:
Column BESCHREIBUNG Quellgeräteadresse Die IP-Adresse des Quellgeräts. Zielgeräteadresse Die IP-Adresse des Zielgeräts. Zielgerät Die Ziel-IP- oder MAC-Adresse oder der Name des Zielgeräts. Erste Erkennung Wann die Warnung im Netzwerk erstmals erkannt wurde. Id Die eindeutige Warnungs-ID, die an der ID auf der Sensorkonsole ausgerichtet ist.
Hinweis: Wenn die Warnung mit anderen Warnungen von Sensoren zusammengeführt wurde, welche dieselbe Warnung erkannt haben, zeigt das Azure-Portal die Warnungs-ID des ersten Sensors an, der die Warnungen generiert hat.Letzte Aktivität Zeitpunkt der letzten Änderung der Warnung, einschließlich manueller Aktualisierungen für Schweregrad oder Status oder automatisierter Änderungen für Geräteupdates oder Geräte-/Warnungsdeduplizierung Protokoll Das Protokoll, das im Netzwerkdatenverkehr für die Warnung erkannt wurde. Sensor Dies ist der Sensor, der die Warnung erkannt hat. Zone Dies ist die Zone, die dem Sensor zugewiesen ist, der die Warnung erkannt hat. Kategorie Die Kategorie, die der Warnung zugeordnet ist, z. B. Betriebsprobleme, benutzerdefinierte Warnungen oder unzulässige Befehle. Typ Dies ist der interne Name der Warnung.
Tipp
Wenn mehr Warnungen als erwartet angezeigt werden, sollten Sie Unterdrückungsregeln erstellen, um zu verhindern, dass Warnungen für legitime Netzwerkaktivitäten ausgelöst werden. Weitere Informationen finden Sie unter Unterdrücken irrelevanter Warnungen.
Filtern der angezeigten Warnungen
Verwenden Sie das Suchfeld sowie die Optionen Zeitbereich und Filter hinzufügen, um die angezeigten Warnungen nach bestimmten Parametern zu filtern oder um eine bestimmte Warnung leichter zu finden.
Filtern Sie Warnungen beispielsweise nach Kategorie:
Gruppieren der angezeigten Warnungen
Verwenden Sie das Menü Gruppieren nach oben rechts, um das Raster anhand bestimmter Parameter in Unterabschnitte zu reduzieren.
Wenn beispielsweise die Gesamtanzahl der Warnungen über dem Raster angezeigt wird, kann es wünschenswert sein, spezifischere Informationen zur Aufschlüsselung der Warnungsanzahl anzuzeigen, z. B. die Anzahl der Warnungen mit einem bestimmten Schweregrad, Protokoll oder Standort.
Zu den unterstützten Gruppierungsoptionen gehören Engine, Name, Sensor, Schweregrad und Standort.
Anzeigen von Details und Beheben einer bestimmten Warnung
Wählen Sie auf der Seite Warnungen eine Warnung im Raster aus, um weitere Details im Bereich auf der rechten Seite anzuzeigen. Der Warnungsdetailsbereich enthält die Warnungsbeschreibung, die Datenverkehrsquelle und das -ziel und vieles mehr.
Wählen Sie Vollständige Details anzeigen aus, um noch weitere Details anzuzeigen. Beispiel:
Die Seite mit den Warnungsdetails enthält weitere Details zur Warnung und eine Reihe von Wartungsschritten auf der Registerkarte Maßnahme ergreifen. Beispiel:
Verwalten des Warnungsschweregrads und -status
Sie sollten den Warnungsschweregrad in Defender for IoT im Azure-Portal aktualisieren, sobald Sie eine Warnung selektiert haben, damit Sie die risikoreichsten Warnungen so schnell wie möglich priorisieren können. Stellen Sie sicher, dass Sie den Warnungsstatus aktualisieren, nachdem Sie Wartungsschritte ausgeführt haben, damit der Fortschritt aufgezeichnet wird.
Sie können sowohl den Schweregrad als auch den Status für eine einzelne Warnung oder für eine Auswahl von Warnungen in einem Massenvorgang aktualisieren.
Sie können eine Warnung lernen, um Defender für IoT darauf hinzuweisen, dass der erkannte Netzwerkdatenverkehr zulässig ist. Erlernte Warnungen werden nicht erneut ausgelöst, wenn der gleiche Datenverkehr das nächste Mal im Netzwerk erkannt wird. Das Erlernen wird nur für ausgewählte Warnungen unterstützt, und das Verlernen wird nur vom OT-Netzwerksensor unterstützt.
Weitere Informationen finden Sie unter Warnungsstatus und Selektierungsoptionen.
So verwalten Sie eine einzelne Warnung:
- Wählen Sie in Defender for IoT im Azure-Portal die Seite Warnungen auf der linken Seite aus, und wählen Sie dann eine Warnung im Raster aus.
- Wählen Sie entweder im Detailbereich auf der rechten Seite oder auf einer Benachrichtigungsdetailseite selbst den neuen Status und/oder Schweregrad aus.
So verwalten Sie mehrere Warnungen gleichzeitig:
- Wählen Sie in Defender for IoT im Azure-Portal die Seite Warnungen auf der linken Seite aus, und wählen Sie dann die Warnungen im Raster aus, die Sie ändern möchten.
- Verwenden Sie die Optionen Status ändern und/oder Schweregrad ändern in der Symbolleiste, um den Status und/oder den Schweregrad für alle ausgewählten Warnungen zu aktualisieren.
So erlernen Sie mindestens eine Warnung:
Wählen Sie in Defender for IoT im Azure-Portal die Seite Warnungen auf der linken Seite aus, und führen Sie dann eine der folgenden Aktionen aus:
- Wählen Sie mindestens eine erlernbare Warnung im Raster und dann in der Symbolleiste Erlernen aus.
- Wählen Sie auf einer Warnungsdetailsseite für eine erlernbare Warnung auf der Registerkarte Maßnahme ergreifen die Option Erlernen aus.
Zugreifen auf PCAP-Warnungsdaten
Möglicherweise möchten Sie im Rahmen Ihrer Untersuchung auf Rohdatenverkehrsdateien zugreifen, die auch als Paketerfassungsdateien oder PCAP-Dateien bezeichnet werden. Wenn Sie ein SOC- oder OT-Sicherheitstechniker sind, greifen Sie direkt über das Azure-Portal auf PCAP-Dateien zu, um die Untersuchung schneller durchzuführen.
Um auf Rohdatenverkehrsdateien für die Warnung zuzugreifen, wählen Sie PCAP herunterladen in der oberen linken Ecke der Warnungsdetailsseite aus.
Beispiel:
Das Portal fordert die Datei vom Sensor an, von dem die Warnung erkannt wurde, und lädt sie in Ihren Azure-Speicher herunter.
Das Herunterladen der PCAP-Datei kann anhängig von der Qualität der Sensorkonnektivität mehrere Minuten dauern.
Exportieren von Warnungen in eine CSV-Datei
Möglicherweise möchten Sie eine Auswahl von Warnungen für die Offlinefreigabe und -berichterstellung in eine CSV-Datei exportieren.
Wählen Sie in Defender for IoT im Azure-Portal auf der linken Seite Warnungen aus.
Verwenden Sie das Suchfeld und die Filteroptionen, um nur die Warnungen anzuzeigen, die Sie exportieren möchten.
Wählen Sie auf der Symbolleiste oberhalb des Rasters Exportieren>Bestätigen aus.
Die Datei wird generiert, und Sie werden aufgefordert, sie lokal zu speichern.