Freigeben über

Gelernte Baseline mit OT-Warnungen erstellen

  • Artikel

Dieser Artikel ist einer aus einer Reihe von Artikeln, die den Bereitstellungsspfad für die OT-Überwachung mit Microsoft Defender for IoT beschreiben. Außerdem wird erläutert, wie Sie eine Basislinie des gelernten Datenverkehrs auf Ihrem OT-Sensor erstellen.

Diagramm eines Fortschrittsbalkens mit hervorgehobener Optimierung der OT-Überwachung.

Grundlegendes zum Lernmodus

Sobald ein OT-Netzwerksensor mit dem Netzwerk verbunden ist und Sie sich angemeldet haben, beginnt der Sensor automatisch mit der Überwachung Ihres Netzwerks. Netzwerkgeräte werden in Ihrem Gerätebestand angezeigt, und es werden Warnungen für Sicherheits- oder Betriebsvorfälle ausgelöst, die in Ihrem Netzwerk auftreten.

Zunächst erfolgt diese Aktivität im Lernmodus. Dieser weist Ihren OT-Sensor an, die übliche Aktivität Ihres Netzwerks zu erlernen. Dazu zählen die Geräte und Protokolle in Ihrem Netzwerk und die regulären Dateiübertragungen zwischen bestimmten Geräten. Jede regelmäßig erkannte Aktivität wird zum Baselinedatenverkehr Ihres Netzwerks.

Tipp

Nutzen Sie Ihre Zeit im Lernmodus, um Ihre Alarme zu selektieren und diejenigen zu lernen, die Sie als autorisierte, erwartete Aktivität kennzeichnen möchten. Gelernter Datenverkehr erzeugt keine neuen Warnungen, wenn der gleiche Datenverkehr das nächste Mal erkannt wird.

Nachdem der Lernmodus ausgeschaltet wurde, wird jede Aktivität, die von Ihrer Baseline abweicht, einen Alarm auslösen.

Weitere Informationen finden Sie unter Warnungen in Microsoft Defender for IoT.

Zeitleiste des Lernmodus

Die Erstellung einer Baseline von OT-Warnungen kann je nach Größe und Komplexität Ihres Netzwerks zwischen einigen Tagen und mehreren Wochen dauern. Es wird empfohlen, den Lernmodus nach 2 bis 6 Wochen manuell in den dynamischen Modus zu ändern, wenn die tägliche Anzahl von Warnungen auf ein verwaltbares Niveau sinkt. Im dynamischen Modus überwacht Defender for IoT das Netzwerk weiterhin auf verdächtigen Datenverkehr, löst Warnungen aus und schaltet eine Warnungskategorie automatisch in den Betriebsmodus um, wenn diese Warnung für eine bestimmte Zeit nicht ausgelöst wird.

Im Betriebsmodus werden alle generierten Warnungen im Bestand aufgeführt und müssen anhand der im Detailbereich der Warnung aufgeführten Aktionen behoben werden. Wenn die Warnung durch sicheren Netzwerkdatenverkehr ausgelöst wurde, müssen Sie die Schaltfläche Lernen verwenden, um diesen Datenverkehr zur Baselineliste hinzuzufügen, damit der Sensor in Zukunft keine Warnung dafür generiert.

Deaktivieren Sie den Lernmodus manuell, wenn die Warnungsstufe Ihre Netzwerkaktivität genau widerspiegelt.

Voraussetzungen

Sie können die in diesem Artikel beschriebenen Verfahren über das Azure-Portal oder einen OT-Sensor durchführen.

Stellen Sie zunächst sicher, dass Sie über Folgendes verfügen:

Warnungen selektieren

Selektieren Sie Warnungen gegen Ende Ihres Einsatzes, um eine erste Baseline für Ihre Netzwerkaktivitäten zu erstellen.

  1. Melden Sie sich bei Ihrem OT-Sensor an und wählen Sie die Warnungsseite.

  2. Verwenden Sie die Sortier- und Gruppierungsoptionen, um Ihre wichtigsten Warnungen zuerst anzuzeigen. Überprüfen Sie jede Warnung, um den Status zu aktualisieren und Warnungen für OT-autorisierten Datenverkehr zu lernen.

Weitere Informationen finden Sie unter Anzeigen und Verwalten von Warnungen auf Ihrem OT-Sensor.

Nächste Schritte

« Überprüfen und Aktualisieren Ihres erkannten Gerätebestands

Nachdem der Lernmodus deaktiviert wurde, sind Sie vom Lernmodus in den Betriebsmodus gewechselt. Fahren Sie mit einer der folgenden Aktionen fort:

Integrieren Sie Defender for IoT-Daten mit Microsoft Sentinel, um die Sicherheitsüberwachung Ihres SOC-Teams zu vereinheitlichen. Weitere Informationen finden Sie unter