Visualiser et gérer les alertes sur la console de gestion locale (héritée)
Important
Defender pour IoT recommande désormais d’utiliser les services de cloud computing Microsoft ou l’infrastructure informatique existante pour une supervision centralisée et une gestion des capteurs, tout en prévoyant de mettre hors service la console de gestion locale le 1er janvier 2025.
Pour plus d’informations, consultez Déployer la gestion des capteurs OT hybrides ou non connectés.
Les alertes de Microsoft Defender pour IoT améliorent la sécurité et les opérations du réseau avec des informations en temps réel sur des événements journalisés dans votre réseau. Les alertes OT sont déclenchées quand des capteurs réseau OT détectent des changements ou des activités suspectes dans le trafic réseau qui demandent votre attention.
Cet article explique comment visualiser les alertes Defender pour IoT sur une console de gestion locale, qui agrège les alertes de tous les capteurs OT connectés. Vous pouvez également voir les alertes OT sur le portail Azure ou un capteur réseau OT.
Prérequis
Avant d’effectuer les procédures décrites dans cet article, vérifiez que vous avez :
Une console de gestion locale installée, activée et configurée. Pour afficher les alertes par emplacement ou par zone, vérifiez que vous avez configuré des sites et des zones sur la console de gestion locale.
Un ou plusieurs capteurs OT installés, configurés et activés et connectés à votre console de gestion locale. Pour afficher les alertes par zone, assurez-vous que chaque capteur est attribué à une zone spécifique.
Accédez à la console de gestion locale avec l’un des rôles d’utilisateur suivants :
Pour visualiser les alertes sur la console de gestion locale, connectez-vous en tant qu’utilisateur Administrateur, Analyste Sécurité ou Observateur.
Pour gérer les alertes sur la console de gestion locale, connectez-vous en tant qu’utilisateur Administrateur ou Analyste Sécurité. Les activités de gestion comprennent la reconnaissance d’une alerte ou la désactivation du son d’une alerte, en fonction du type d’alerte.
Visualiser les alertes sur la console de gestion locale
Connectez-vous à la console de gestion locale et sélectionnez Alertes dans le menu de gauche.
Les alertes sont affichées dans un tableau simple, le capteur qui a déclenché l’alerte dans une colonne et les détails de l’alerte dans une autre.
Sélectionnez une ligne d’alerte pour en développer tous les détails.
Dans une ligne d’alerte développée, effectuez l’une des opérations suivantes pour voir plus de contexte sur l’alerte :
Sélectionnez OUVRIR LE CAPTEUR pour ouvrir le capteur qui a généré l’alerte et poursuivre votre investigation. Pour plus d’informations, consultez Visualiser et gérer les alertes sur votre capteur OT.
Sélectionnez AFFICHER LES APPAREILS pour montrer les appareils affectés sur une carte de zone. Pour plus d’informations, consultez Créer des sites et des zones OT sur une console de gestion locale.
Notes
Sur la console de gestion locale, les Nouvelles alertes sont dites Reconnues, tandis que les alertes Fermées sont dites Non reconnues. Pour plus d’informations, consultez États et options de triage des alertes.
Filtrer les alertes affichées
En haut de la page Alertes, utilisez les options Recherche gratuite, Sites, Zones, Appareils et Capteurs pour filtrer les alertes affichées par des paramètres spécifiques ou pour localiser une alerte spécifique.
Les alertes reconnues ne sont pas listées par défaut. Sélectionnez Afficher les alertes reconnues pour les inclure dans la liste.
Sélectionnez Effacer pour supprimer tous les filtres.
Afficher les alertes par emplacement
Pour afficher les alertes des capteurs OT connectés sur l’ensemble de votre réseau mondial, utilisez la carte Vue d’entreprise sur une console de gestion locale.
Connectez-vous à votre console de gestion locale et sélectionnez Vue Entreprise. La vue de carte par défaut affiche vos sites à leurs emplacements dans le monde entier.
(Facultatif) Utilisez les menus Tous les sites et Toutes les régions en haut de la page pour filtrer votre carte et afficher uniquement des sites ou des régions spécifiques.
Dans le menu Vue par défaut en haut de la page, sélectionnez l’un des éléments suivants pour accéder à des types d’alertes spécifiques :
- Gestion des risques. Met en évidence les alertes de risque de site, ce qui vous aide à hiérarchiser les activités d’atténuation et à planifier les améliorations de la sécurité.
- Réponse aux incidents Met en surbrillance toutes les alertes actives (non reconnues) sur chaque site.
- Activités malveillantes. Met en surbrillance les alertes de programme malveillant, qui nécessitent une action immédiate.
- Alertes opérationnelles. Met en surbrillance les alertes opérationnelles, telles que les arrêts PLC et les chargements de microprogrammes ou de programmes.
Dans n’importe quelle vue, sauf la vue par défaut, vos sites apparaissent en rouge, jaune ou vert. Les sites rouges ont des alertes qui nécessitent une action immédiate. Les sites jaunes ont des alertes qui justifient l’investigation. Les sites verts ne nécessitent aucune action.
Sélectionnez n’importe quel site rouge ou jaune, puis sélectionnez le bouton Alertes pour qu’un capteur OT spécifique accède aux alertes actuelles de ce capteur. Par exemple :
La page Alertes s’ouvre et est automatiquement filtrée sur les alertes sélectionnées.
Afficher les alertes par zone
Pour afficher les alertes des capteurs OT connectés pour une zone spécifique, utilisez la page Gestion de site sur une console de gestion locale.
Connectez-vous à votre console de gestion locale et sélectionnez la page Gestion des sites.
Localisez le site et la zone que vous souhaitez voir, en utilisant les options de filtrage situées en haut, selon vos besoins :
- Connectivité : permet de voir tous les capteurs OT, ou uniquement les capteurs connectés/déconnectés.
- État de la mise à niveau : permet de voir tous les capteurs OT, ou uniquement ceux qui ont un état de mise à jour logicielle spécifique.
- Unité commerciale : permet de voir tous les capteurs OT, ou uniquement ceux d’une unité commerciale spécifique.
- Région : permet de voir tous les capteurs OT, ou uniquement ceux d’une région spécifique.
Sélectionnez le bouton Alertes d’un capteur OT spécifique pour accéder aux alertes actuelles de ce capteur.
Gérer l’état des alertes et les alertes de triage
Utilisez les options suivantes pour gérer l’état des alertes sur votre console de gestion locale, en fonction du type d’alerte :
Pour reconnaître ou ne pas reconnaître une alerte : Dans une ligne d’alerte développée, sélectionnez RECONNAÎTRE ou NE PAS RECONNAÎTRE selon les besoins.
Pour désactiver ou réactiver le son d’une alerte : Dans une ligne d’alerte développée, pointez sur le haut de la ligne et sélectionnez le bouton Désactiver le son ou Réactiver le son selon les besoins.
Pour plus d’informations, consultez États et options de triage des alertes.
Exporter des alertes dans un fichier CSV
Vous pouvez avoir besoin d’exporter une sélection d’alertes dans un fichier CSV pour les partager et créer des rapports hors connexion.
Connectez-vous à votre console de gestion locale et sélectionnez la page Alertes.
Utilisez les options de recherche et de filtre pour afficher uniquement les alertes à exporter.
Sélectionnez Exporter.
Le fichier CSV est généré et vous êtes invité à l’enregistrer localement.