Afficher et gérer des alertes sur la console de gestion sur site (version héritée)

Important

Defender pour IoT recommande désormais d’utiliser des services cloud Microsoft ou une infrastructure informatique existante pour la supervision centralisée et la gestion des capteurs, et prévoit de mettre hors service la console de gestion locale le 1er janvier 2025.

Pour plus d’informations, consultez Déployer la gestion des capteurs OT hybrides ou air-gapped.

Les alertes Microsoft Defender pour IoT améliorent la sécurité et les opérations réseau avec des détails en temps réel sur les événements connectés à votre réseau. Les alertes OT sont déclenchées lorsque les capteurs réseau OT détectent les modifications ou l’activité suspecte dans le trafic réseau qui a besoin de votre attention.

Cet article explique comment afficher les alertes Defender pour IoT sur une console de gestion locale, qui agrège les alertes de tous les capteurs OT connectés. Vous pouvez également afficher des alertes OT sur le portail Azure ou un capteur réseau OT .

Conditions préalables

Avant d’effectuer les procédures décrites dans cet article, vérifiez que vous disposez des points suivants :

• Une console de gestion locale installée, activée et configurée. Pour afficher les alertes par emplacement ou zone, vérifiez que vous avez configuré des sites et des zones sur la console de gestion locale.

• Un ou plusieurs capteurs OT installés, configurés, activéset connectés à votre console de gestion locale. Pour afficher les alertes par zone, assurez-vous que chaque capteur est affecté à une zone spécifique.

• Accès à la console de gestion locale avec l’un des rôles d’utilisateur suivants:

  • Pour afficher les alertes de la console de gestion locale, connectez-vous en tant qu'administrateur , analyste de sécuritéou Viewer utilisateur.

  • Pour gérer les alertes sur la console de gestion locale, connectez-vous en tant qu’utilisateur administrateur ou analyste de sécurité. Les activités de gestion incluent l'accusé de réception ou la mise en sourdine d'une alerte, selon le type d'alerte.

Afficher les alertes sur la console de gestion locale

1. Connectez-vous à la console de gestion locale et sélectionnez Alertes dans le menu de gauche.

   Les alertes sont affichées dans un tableau simple, montrant le capteur qui a déclenché l’alerte et les détails de l’alerte dans deux colonnes.

2. Sélectionnez une ligne d’alerte pour développer ses détails complets.

3. Dans une ligne d’alerte développée, effectuez l’une des opérations suivantes pour afficher plus de contexte sur l’alerte :

   • Sélectionnez OPEN SENSOR pour ouvrir le capteur qui a généré l’alerte et poursuivre votre investigation. Pour plus d’informations, consultez Afficher et gérer les alertes sur votre capteur OT.

   • Sélectionnez AFFICHER LES APPAREILS pour afficher les appareils concernés sur une carte de zone. Pour plus d’informations, consultez Créer des sites et des zones OT sur une console de gestion locale.

Note

Sur la console de gestion locale, les alertes nouvelles sont appelées non reconnues, et les alertes fermées sont appelées reconnues. Pour plus d’informations, consultez les états des alertes et les options de triage.

Filtrer les alertes affichées

En haut de la page alertes, utilisez les options de Recherche libre, Sites, Zones, Appareilset Capteurs pour filtrer les alertes affichées par des paramètres spécifiques, ou pour localiser une alerte précise.

• alertes reconnues ne sont pas répertoriées par défaut. Sélectionnez Afficher les alertes reconnues pour les inclure dans la liste.

• Sélectionnez Effacer pour supprimer tous les filtres.

Afficher les alertes par emplacement

Pour afficher des alertes à partir de capteurs OT connectés sur l’ensemble de votre réseau mondial, utilisez la carte Enterprise View sur une console de gestion locale.

1. Connectez-vous à votre console de gestion locale et sélectionnez Vue Entreprise. La vue de carte par défaut affiche vos sites à leurs emplacements dans le monde entier.

   (Facultatif) Utilisez les menus Tous les sites et Toutes les régions en haut de la page pour filtrer votre carte et afficher uniquement des sites spécifiques ou uniquement des régions spécifiques.

2. Dans le menu affichage par défaut en haut de la page, sélectionnez l’un des éléments suivants pour explorer des types d’alertes spécifiques :

   • gestion des risques. Met en évidence les alertes de risque de site, ce qui vous aide à hiérarchiser les activités d’atténuation et à planifier les améliorations de sécurité.
   • Réponse aux incidents met en évidence toutes les alertes actives (non accusées de réception) sur chaque site.
   • Activité malveillante. Met en surbrillance les alertes de programmes malveillants, qui nécessitent une action immédiate.
   • Alertes opérationnelles. Met en surbrillance les alertes opérationnelles, telles que les arrêts PLC et les chargements de microprogrammes ou de programmes.

   Dans toute vue autre que l'affichage par défaut , vos sites apparaissent en rouge, jaune ou vert. Les sites rouges ont des alertes qui nécessitent une action immédiate, les sites jaunes ont des alertes qui justifient l’investigation et les sites verts ne nécessitent aucune action.

3. Sélectionnez n’importe quel site rouge ou jaune, puis sélectionnez le bouton d’alertes pour qu’un capteur OT spécifique accède aux alertes actuelles de ce capteur. Par exemple:

   

   La page Alertes s’ouvre, filtrée automatiquement sur les alertes sélectionnées.

Afficher les alertes par zone

Pour afficher les alertes à partir de capteurs OT connectés pour une zone spécifique, utilisez la page Gestion des sites sur une console de gestion locale.

1. Connectez-vous à votre console de gestion locale et sélectionnez Gestion des sites.

2. Recherchez le site et la zone que vous souhaitez afficher, en utilisant les options de filtrage en haut en fonction des besoins :

   • connectivité: sélectionnez pour afficher uniquement tous les capteurs OT, ou uniquement les capteurs connectés/déconnectés uniquement.
   • Mettre à niveau l’état: sélectionnez cette option pour afficher tous les capteurs OT, ou uniquement celles avec un état de mise à jour logicielle spécifique .
   • Business Unit: sélectionnez pour afficher tous les capteurs OT, ou uniquement ceux d’une unité commerciale spécifique.
   • région: sélectionnez cette option pour afficher tous les capteurs OT ou uniquement celles d’une région spécifique.

3. Sélectionnez le bouton d’alertes d’un capteur OT spécifique pour accéder aux alertes actuelles de ce capteur.

Gérer l’état des alertes et les alertes de triage

Utilisez les options suivantes pour gérer l’état des alertes sur votre console de gestion locale, en fonction du type d’alerte :

• Pour reconnaître ou ne pas reconnaître une alerte: dans une ligne d’alerte développée, sélectionnez ACKNOWLEDGE ou UNACKNOWLEDGE si nécessaire.

• Pour désactiver ou réactiver une alerte: dans une ligne d’alerte développée, pointez sur le haut de la ligne, puis sélectionnez le bouton Mute ou le bouton Unmute si nécessaire.

Pour plus d'informations, consultez les statuts d'alerte et les options de triage .

Exporter des alertes vers un fichier CSV

Vous pouvez exporter une sélection d’alertes vers un fichier CSV pour le partage hors connexion et la création de rapports.

1. Connectez-vous à votre console de gestion locale et sélectionnez la page Alertes.

2. Utilisez les options de recherche et de filtre pour afficher uniquement les alertes que vous souhaitez exporter.

3. Sélectionnez Exporter.

Le fichier CSV est généré et vous êtes invité à l’enregistrer localement.

Étapes suivantes

afficher et gérer les alertes à partir du portail Azure

afficher et gérer les alertes sur votre capteur OT

Accélérer les flux de travail d'alerte OT sur site

Transmettre les informations d’alerte

Alertes de Microsoft Defender pour IoT