Untersuchen von Vorfällen und Warnungen
Microsoft Defender für IoT im Microsoft Defender-Portal zeigt Incidents und Warnungen an, die Ihre Netzwerksicherheit und -vorgänge mit Echtzeitdetails zu Ereignissen verbessern, die in Ihrem OT-Netzwerk (Operational Technology) protokolliert werden.
Warnungen sind die Grundlage aller Vorfälle und weisen auf das Auftreten bösartiger oder verdächtiger Ereignisse in Ihrer Umgebung hin. Innerhalb eines Incidents analysieren Sie die Warnungen, die sich auf Ihr Netzwerk auswirken, verstehen, was sie bedeuten, und sortieren die Beweise, damit Sie einen effektiven Wiederherstellungsplan erstellen können.
Erfahren Sie mehr über Warnungen und Vorfälle im Defender-Portal.
In diesem Artikel erfahren Sie, wie Sie einen Microsoft Defender für IoT-Incident und die zugehörigen Warnungen untersuchen und die sicherheitsrelevanten Probleme beheben, die durch die Warnung ausgelöst werden.
Warnungen auf der Seite Incidents kombinieren it- und OT-Umgebungssignale eindeutig, um potenzielle Bedrohungen und Datenlecks zu erkennen. Auf der Seite Incidents wird Folgendes angezeigt:
- Ein Verlauf der Warnungen, die mit dem Incident verbunden sind, und ein Incidentdiagramm. Das Diagramm zeigt andere Geräte, die mit dem betroffenen OT-Gerät verbunden sind und möglicherweise ebenfalls kompromittiert sind.
- Warnungsbeschreibungen, die den Typ des erkannten Sicherheitsproblems erläutern.
- Korrekturoptionen zur Lösung des Sicherheitsproblems.
Hinweis
Incident- und Warnungsdaten für Defender für IoT werden erst angezeigt, wenn Sie eine Website eingerichtet haben und Ihre Geräte Daten an das Defender-Portal senden. Erfahren Sie, wie Sie eine Website einrichten.
Wichtig
In diesem Artikel wird Microsoft Defender für IoT im Defender-Portal (Vorschau) erläutert.
Wenn Sie ein Bestandskunde sind, der am klassischen Defender für IoT-Portal (Azure-Portal) arbeitet, finden Sie weitere Informationen in der Dokumentation zu Defender für IoT in Azure.
Erfahren Sie mehr über die Defender für IoT-Verwaltungsportale.
Einige Informationen in diesem Artikel beziehen sich auf ein vorab veröffentlichtes Produkt, das vor der kommerziellen Veröffentlichung möglicherweise erheblich geändert wird. Microsoft übernimmt in Bezug auf die hier bereitgestellten Informationen keine Gewährleistung, weder ausdrücklich noch konkludent.
Untersuchen von Warnungen
So untersuchen Sie eine Warnung:
Wählen Sie im Menü des Microsoft Defender-Portalsdie Option Incidents & Warnungen > Incidents aus.
So zeigen Sie OT-bezogene Incidents an:
- Wählen Sie Filter hinzufügen aus.
- Wählen Sie Produktname und dann Hinzufügen aus.
- Wählen Sie die angezeigte Registerkarte Produktnamen aus, und geben Sie Defender für IoT ein.
- Wählen Sie Anwenden aus.
Suchen Sie einen Incident, und wählen Sie ihn aus.
Auf der Seite "Spezifischer Vorfall" wird die Angriffsgeschichte angezeigt, die sich aus der Warnungszeitachse, einem Incidentdiagramm und den Details des Vorfalls zusammensetzt.
Wählen Sie eine Warnung aus der Warnungsliste aus.
Das Incidentdiagramm und die Incidentdetails zeigen spezifische Daten für diese Warnung an.
Überprüfen Sie im Bereich Incident die Informationen, lesen Sie die Warnungsbeschreibung, Nachweise und betroffenen Ressourcen , und befolgen Sie die empfohlenen Warnungsaktionen , um das Problem zu beheben.
Defender für IoT-Warnung
Defender für IoT generiert eine eigene eindeutige Warnung.
Name | Beschreibung |
---|---|
Mögliche Betriebliche Auswirkungen aufgrund eines kompromittierten Geräts | Ein kompromittiertes Gerät, das mit einem Betriebstechnologieobjekt (OT) kommuniziert wird. Ein Angreifer versucht möglicherweise, physische Vorgänge zu kontrollieren oder zu unterbrechen. |
Erweiterte Bedrohungssuche
Verwenden Sie die Site-Eigenschaft , die in der Tabelle DeviceInfo aufgeführt ist, um Abfragen für die erweiterte Suche zu schreiben. Auf diese Weise können Sie Geräte nach einer bestimmten Website filtern, z. B. alle Geräte, die mit böswilligen Geräten an einem bestimmten Standort kommuniziert haben.
Die folgende Abfrage listet alle Endpunktgeräte mit der spezifischen IP-Adresse am Standort San Francisco auf.
DeviceInfo
|where Site == "SanFrancisco" and PublicIP == "192.168.1.1" and DeviceCategory == "Endpoint"
Dies ist sowohl für den Gerätebestand als auch für die Standortsicherheit relevant. Weitere Informationen finden Sie unter Erweiterte Suche und deviceInfo-Schema für erweiterte Suche.