Avvisi di Microsoft Defender per IoT
Gli avvisi di Microsoft Defender per IoT migliorano la sicurezza e le operazioni di rete con dettagli in tempo reale sugli eventi registrati nella rete. Gli avvisi vengono attivati quando i sensori di rete OT rilevano modifiche o attività sospette nel traffico di rete che richiede attenzione.
Ad esempio:
Usare i dettagli visualizzati nella pagina Avvisi o in una pagina dei dettagli dell'avviso per analizzare e intervenire per correggere eventuali rischi per la rete, dai dispositivi correlati o dal processo di rete che ha attivato l'avviso.
Suggerimento
Usare i passaggi di correzione degli avvisi per aiutare i team SOC a comprendere possibili problemi e soluzioni. È consigliabile esaminare i passaggi di correzione consigliati prima di aggiornare lo stato di un avviso o intervenire sul dispositivo o sulla rete.
Opzioni di gestione degli avvisi
Gli avvisi di Defender per IoT sono disponibili nelle console dei sensori di rete portale di Azure o OT. Con la sicurezza IoT aziendale, gli avvisi sono disponibili anche per i dispositivi IoT aziendali rilevati da Defender per endpoint in Microsoft 365 Defender.
Anche se è possibile visualizzare i dettagli degli avvisi, analizzare il contesto degli avvisi e valutare e gestire gli stati degli avvisi da una di queste posizioni, ogni località offre anche azioni di avviso aggiuntive. La tabella seguente descrive gli avvisi supportati per ogni posizione e le azioni aggiuntive disponibili solo da tale posizione:
| Ufficio | Descrizione | Azioni di avviso aggiuntive |
|---|---|---|
| Azure portal | Avvisi da tutti i sensori OT connessi al cloud | - Visualizzare tecniche e tattiche MITRE ATT&CK correlate - Usare cartelle di lavoro predefinite per la visibilità degli avvisi con priorità elevata - Visualizzare gli avvisi da Microsoft Sentinel ed eseguire indagini più approfondite con playbook e cartelle di lavoro di Microsoft Sentinel. |
| Console del sensore di rete OT | Avvisi generati dal sensore OT | - Visualizzare l'origine e la destinazione dell'avviso nella mappa del dispositivo - Visualizzare gli eventi correlati nella sequenza temporale degli eventi - Inoltrare gli avvisi direttamente ai fornitori di partner - Creare commenti per gli avvisi - Creare regole di avviso personalizzate - Avvisi di annullamento della notifica |
| Microsoft 365 Defender | Avvisi generati per i dispositivi IoT aziendali rilevati da Microsoft Defender per endpoint | - Gestire i dati degli avvisi insieme ad altri dati di Microsoft 365 Defender, inclusa la ricerca avanzata |
Suggerimento
Tutti gli avvisi generati da sensori diversi nella stessa zona entro un intervallo di tempo di 10 minuti, con lo stesso tipo, stato, protocollo di avviso e dispositivi associati, vengono elencati come un singolo avviso unificato.
- L'intervallo di tempo di 10 minuti si basa sulla prima volta del rilevamento dell'avviso.
- Il singolo avviso unificato elenca tutti i sensori che hanno rilevato l'avviso.
- Gli avvisi vengono combinati in base al protocollo di avviso e non al protocollo del dispositivo.
Per altre informazioni, vedi:
- Conservazione dei dati degli avvisi
- Accelerazione dei flussi di lavoro degli avvisi OT
- Opzioni di valutazione e stato degli avvisi
- Pianificare siti e zone OT
Le opzioni di avviso variano anche a seconda della posizione e del ruolo utente. Per altre informazioni, vedere Ruoli utente e autorizzazioni di Azure e utenti e ruoli locali.
Aggregazione delle violazioni degli avvisi
L'affaticamento degli avvisi causato da un numero elevato di avvisi identici potrebbe causare la mancata visualizzazione o la correzione di avvisi vitali da parte del team. Ogni avviso elencato nella pagina Avvisi è il risultato di una violazione di rete, ad esempio l'utilizzo non interrotto del codice della funzione Modbus. L'aggregazione di violazioni con gli stessi parametri e gli stessi requisiti di correzione in un unico elenco di avvisi riduce il numero di avvisi visualizzati nella pagina Avvisi. I parametri corrispondenti variano a seconda del tipo di avviso. Ad esempio, l'avviso Utilizzo non generato del codice funzione Modbus deve avere gli stessi indirizzi IP di origine e di destinazione per generare una violazione di avviso aggregata. L'avviso aggregato può includere avvisi con codici di violazione diversi, ad esempio codici di lettura e scrittura.
È possibile scaricare i dati aggregati sulle violazioni degli avvisi, che elencano ogni avviso con i parametri e le funzioni pertinenti, come file CSV nella scheda Violazioni dei dettagli dell'avviso. Questi dati possono aiutare i team a identificare i modelli, valutare l'impatto e classificare in ordine di priorità le risposte in modo più efficace in base ai suggerimenti di correzione nella scheda Esegui azione . Solo gli avvisi con lo stesso processo di correzione vengono aggregati in un singolo avviso. Tuttavia, i singoli eventi di violazione possono comunque essere visualizzati separatamente all'interno dei rispettivi dispositivi, fornendo maggiore chiarezza.
Gli avvisi che è possibile aggregare sono elencati nelle tabelle degli avvisi del motore dei criteri di riferimento degli avvisi sotto l'intestazione Aggregarted .
Il raggruppamento di avvisi viene visualizzato sia nella console del sensore OT che nella portale di Azure. Per altre informazioni, vedere Correggere gli avvisi aggregati nella console del sensore e correggere gli avvisi aggregati in portale di Azure.
Avvisi focalizzati in ambienti OT/IT
Le organizzazioni in cui i sensori vengono distribuiti tra reti OT e IT gestiscono molti avvisi, correlati al traffico sia OT che IT. La quantità di avvisi, alcuni dei quali irrilevanti, possono causare affaticamento degli avvisi e influire sulle prestazioni complessive. Per risolvere questi problemi, i criteri di rilevamento di Defender per IoT indirizzano i diversi motori di avviso per concentrarsi sugli avvisi con impatto aziendale e pertinenza per una rete OT e ridurre gli avvisi correlati all'IT a basso valore. Ad esempio, l'avviso di connettività Internet non autorizzata è altamente rilevante in una rete OT, ma ha un valore relativamente basso in una rete IT.
Per concentrare gli avvisi attivati in questi ambienti, tutti i motori di avviso, ad eccezione del motore malware , attivano gli avvisi solo se rilevano una subnet o un protocollo OT correlato.
Tuttavia, per mantenere l'attivazione degli avvisi che indicano scenari critici:
- Il motore malware attiva avvisi malware indipendentemente dal fatto che gli avvisi siano correlati ai dispositivi OT o IT.
- Gli altri motori includono eccezioni per scenari critici. Ad esempio, il motore operativo attiva avvisi relativi al traffico del sensore, indipendentemente dal fatto che l'avviso sia correlato al traffico OT o IT.
Gestione degli avvisi OT in un ambiente ibrido
Gli utenti che lavorano in ambienti ibridi potrebbero gestire gli avvisi OT in Defender per IoT nel portale di Azure o nel sensore OT.
Nota
Mentre la console del sensore visualizza il campo Ultimo rilevamento di un avviso in tempo reale, Defender per IoT nel portale di Azure potrebbe richiedere fino a un'ora per visualizzare l'ora aggiornata. Questo spiega uno scenario in cui l'ora dell'ultimo rilevamento nella console del sensore non corrisponde all'ora dell'ultimo rilevamento nel portale di Azure.
Gli stati degli avvisi sono altrimenti completamente sincronizzati tra il portale di Azure e il sensore OT. Ciò significa che, indipendentemente dalla posizione in cui si gestisce l'avviso in Defender per IoT, l'avviso viene aggiornato anche in altre posizioni.
Se si imposta lo stato di un avviso su Chiuso o disattivato in un sensore, lo stato dell'avviso viene aggiornato su Chiuso nel portale di Azure.
Suggerimento
Se si usa Microsoft Sentinel, è consigliabile configurare l'integrazione per sincronizzare anche lo stato degli avvisi con Microsoft Sentinel e quindi gestire gli stati degli avvisi insieme agli eventi imprevisti di Microsoft Sentinel correlati.
Per altre informazioni, vedere Esercitazione: Analizzare e rilevare le minacce per i dispositivi IoT.
Avvisi e Microsoft Defender per endpoint IoT aziendali
Se si usa la sicurezza IoT aziendale in Microsoft 365 Defender, gli avvisi per i dispositivi IoT aziendali rilevati da Microsoft Defender per endpoint sono disponibili solo in Microsoft 365 Defender. Molti rilevamenti basati sulla rete da Microsoft Defender per endpoint sono pertinenti ai dispositivi IoT aziendali, ad esempio gli avvisi attivati dalle analisi che coinvolgono endpoint gestiti.
Per altre informazioni, vedere Protezione dei dispositivi IoT nell'organizzazione e coda avvisi in Microsoft 365 Defender.
Accelerazione dei flussi di lavoro degli avvisi OT
I nuovi avvisi vengono chiusi automaticamente se non viene rilevato alcun traffico identico 90 giorni dopo il rilevamento iniziale. Se il traffico identico viene rilevato entro i primi 90 giorni, viene reimpostato il conteggio di 90 giorni.
Oltre al comportamento predefinito, è possibile aiutare i team di gestione SOC e OT a valutare e correggere gli avvisi più velocemente. Accedere a un sensore OT come utente amministratore per usare le opzioni seguenti:
Creare regole di avviso personalizzate. Solo sensori OT.
Aggiungere regole di avviso personalizzate per attivare avvisi per attività specifiche nella rete non coperte dalla funzionalità predefinita.
Ad esempio, per un ambiente che esegue MODBUS, è possibile aggiungere una regola per rilevare tutti i comandi scritti in un registro di memoria in un indirizzo IP e una destinazione Ethernet specifici.
Per altre informazioni, vedere Creare regole di avviso personalizzate in un sensore OT.
Creare commenti di avviso. Solo sensori OT.
Creare un set di commenti di avviso che altri utenti del sensore OT possono aggiungere ai singoli avvisi, con dettagli come passaggi di mitigazione personalizzati, comunicazioni con altri membri del team o altri dati analitici o avvisi sull'evento.
I membri del team possono riutilizzare questi commenti personalizzati durante la valutazione e la gestione degli stati degli avvisi. I commenti degli avvisi vengono visualizzati in un'area commenti in una pagina dei dettagli dell'avviso. Ad esempio:
Per altre informazioni, vedere Creare commenti di avviso su un sensore OT.
Inoltrare i dati degli avvisi ai sistemi partner a SIEM partner, server syslog, indirizzi di posta elettronica specificati e altro ancora.
Supportato dai sensori OT. Per altre informazioni, vedere Inoltrare le informazioni sugli avvisi.
Opzioni di valutazione e stato degli avvisi
Usare le opzioni di valutazione e stato degli avvisi seguenti per gestire gli avvisi in Defender per IoT.
Quando si valuta un avviso, tenere presente che alcuni avvisi potrebbero riflettere modifiche di rete valide, ad esempio un dispositivo autorizzato che tenta di accedere a una nuova risorsa in un altro dispositivo.
Mentre le opzioni di valutazione del sensore OT sono disponibili solo per gli avvisi OT, le opzioni disponibili nella portale di Azure sono disponibili per gli avvisi OT e Enterprise IoT.
Usare la tabella seguente per altre informazioni su ogni opzione di valutazione e stato dell'avviso.
| Azione di valutazione/stato | Disponibile in data | Descrizione |
|---|---|---|
| New | - Portale di Azure - Sensori di rete OT |
I nuovi avvisi sono avvisi che non sono ancora stati eseguiti o esaminati dal team. Il nuovo traffico rilevato per gli stessi dispositivi non genera un nuovo avviso, ma viene aggiunto all'avviso esistente. Nota: potrebbero essere visualizzati più avvisi nuovi con lo stesso nome. In questi casi, ogni avviso separato viene attivato da traffico separato, in diversi set di dispositivi. |
| Attive | - solo portale di Azure | Impostare un avviso su Attivo per indicare che è in corso un'indagine, ma che l'avviso non può ancora essere chiuso o altrimenti valutato. Questo stato non ha alcun effetto altrove in Defender per IoT. |
| Chiusi | - Portale di Azure - Sensori di rete OT |
Chiudere un avviso per indicare che è stato esaminato completamente e si vuole ricevere di nuovo un avviso al successivo rilevamento dello stesso traffico. La chiusura di un avviso lo aggiunge alla sequenza temporale degli eventi del sensore. |
| Learn | - Portale di Azure - Sensori di rete OT Unlearning un avviso è disponibile solo sul sensore OT. |
Informazioni su un avviso quando si vuole chiuderlo e aggiungerlo come traffico consentito, in modo che non venga visualizzato di nuovo un avviso al successivo rilevamento dello stesso traffico. Ad esempio, quando il sensore rileva le modifiche della versione del firmware seguendo le procedure di manutenzione standard o quando viene aggiunto un nuovo dispositivo previsto alla rete. L'apprendimento di un avviso chiude l'avviso e aggiunge un elemento alla sequenza temporale dell'evento del sensore. Il traffico rilevato è incluso nei report di data mining, ma non quando si calcolano altri report del sensore OT. Gli avvisi di apprendimento sono disponibili solo per gli avvisi selezionati, principalmente quelli attivati dagli avvisi del motore criteri e anomalie. |
| Muto | - Sensori di rete OT L'annullamento dell'attivazione di un avviso è disponibile solo nel sensore OT. |
Disattivare un avviso quando si vuole chiuderlo e non visualizzarlo di nuovo per lo stesso traffico, ma senza aggiungere l'avviso traffico consentito. Ad esempio, quando il motore operativo attiva un avviso che indica che la modalità PLC è stata modificata in un dispositivo. La nuova modalità potrebbe indicare che il PLC non è sicuro, ma dopo l'indagine, è determinato che la nuova modalità è accettabile. La disattivazione di un avviso lo chiude, ma non aggiunge un elemento alla sequenza temporale degli eventi del sensore. Il traffico rilevato è incluso nei report di data mining, ma non quando si calcolano i dati per altri report del sensore. La disattivazione di un avviso è disponibile solo per gli avvisi selezionati, principalmente quelli attivati dai motori anomalie, violazione del protocollo o operativo . |
Valutare gli avvisi OT durante la modalità di apprendimento
La modalità di apprendimento si riferisce al periodo iniziale dopo la distribuzione di un sensore OT, quando il sensore OT apprende l'attività di base della rete, inclusi i dispositivi e i protocolli nella rete, e i normali trasferimenti di file che si verificano tra dispositivi specifici.
Usare la modalità di apprendimento per eseguire una valutazione iniziale degli avvisi nella rete, imparando a contrassegnare come attività autorizzata e prevista. Il traffico appreso non genera nuovi avvisi la volta successiva che viene rilevato lo stesso traffico.
Per altre informazioni, vedere Creare una baseline appresa degli avvisi OT.
Passaggi successivi
Esaminare i tipi di avviso e i messaggi per comprendere e pianificare le azioni di correzione e le integrazioni dei playbook. Per altre informazioni, vedere Tipi di avviso e descrizioni di monitoraggio OT.