Tenere traccia dell'attività di rete e sensore con la sequenza temporale degli eventi
L'attività rilevata dal Microsoft Defender per i sensori IoT viene registrata nella sequenza temporale degli eventi. L'attività include avvisi e azioni di gestione degli avvisi, eventi di rete e operazioni utente, ad esempio l'accesso utente o l'eliminazione dell'utente.
La sequenza temporale degli eventi del sensore OT fornisce una visualizzazione cronologica e il contesto di tutte le attività di rete, per determinare la causa e l'effetto degli eventi imprevisti. La visualizzazione sequenza temporale semplifica l'estrazione di informazioni dagli eventi di rete e l'analisi più efficiente degli avvisi e degli eventi osservati nella rete. Con la possibilità di archiviare grandi quantità di dati, la visualizzazione sequenza temporale degli eventi può essere una risorsa preziosa per i team di sicurezza per eseguire indagini e acquisire una comprensione più approfondita delle attività di rete.
Usare la sequenza temporale degli eventi durante le indagini per comprendere e analizzare la catena di eventi che hanno preceduto e seguito un attacco o un evento imprevisto. La visualizzazione centralizzata di più eventi correlati alla sicurezza nella stessa sequenza temporale consente di identificare modelli e correlazioni e consentire ai team di sicurezza di valutare rapidamente l'impatto degli eventi imprevisti e rispondere di conseguenza.
Per altre informazioni, vedere:
- Visualizzare gli eventi nella sequenza temporale
- Controllare l'attività degli utenti
- Visualizzare e gestire gli avvisi
- Analizzare i dettagli e le modifiche della programmazione
Autorizzazioni
Prima di eseguire le procedure descritte in questo articolo, assicurarsi di avere accesso a un sensore OT come ruolo di Amministrazione o analista della sicurezza. Per altre informazioni, vedere Utenti e ruoli locali per il monitoraggio OT con Defender per IoT.
Visualizzare la sequenza temporale dell'evento
Accedere alla console del sensore e selezionare Sequenza temporale eventi dal menu a sinistra.
Esaminare e filtrare gli eventi in base alle esigenze.
Selezionare una riga di evento per visualizzare i dettagli dell'evento in un riquadro a destra, in cui è anche possibile filtrare per visualizzare gli eventi dei dispositivi correlati. Il filtro Operazioni utente è attivato per impostazione predefinita, è possibile selezionare per nascondere o visualizzare gli eventi utente in base alle esigenze.
Ad esempio:
È anche possibile visualizzare la sequenza temporale degli eventi di un dispositivo specifico dall'inventario dispositivi.
Per visualizzare la sequenza temporale degli eventi di un dispositivo specifico:
Nella console del sensore passare a Inventario dispositivi.
Selezionare il dispositivo specifico per aprire il riquadro dei dettagli del dispositivo e quindi selezionare Visualizza dettagli completi per aprire la pagina delle proprietà del dispositivo.
Selezionare la scheda Sequenza temporale eventi per visualizzare tutti gli eventi associati al dispositivo e filtrare gli eventi in base alle esigenze.
Ad esempio:
Filtrare gli eventi sulla sequenza temporale
Nella pagina della sequenza temporale dell'evento selezionare Aggiungi filtro per specificare gli eventi visualizzati.
Selezionare il tipo di filtro. Usare una delle opzioni seguenti per filtrare i dispositivi visualizzati:
Type Descrizione Operazioni utente Questo filtro è attivato per impostazione predefinita, scegliere di visualizzare o nascondere gli eventi dell'operazione utente. Data Cercare gli eventi in un intervallo di date specifico. Gruppo di dispositivi Filtrare i dispositivi specifici per gruppo come definito nella mappa dei dispositivi. Gravità dell'evento Mostra solo avvisi, avvisi e avvisi o tutti gli eventi. Escludere i dispositivi Cercare e filtrare i dispositivi da escludere. Includi dispositivi Cercare e filtrare i dispositivi da includere. Escludi tipi di evento Cercare e filtrare tipi di eventi specifici da escludere. Includi tipi di evento Cercare e filtrare tipi di eventi specifici da includere. Parole chiave Filtrare gli eventi in base a parole chiave specifiche. Selezionare Applica per impostare il filtro.
Esportare la sequenza temporale degli eventi in CSV
È possibile esportare la sequenza temporale degli eventi in un file CSV, i dati esportati sono in base ai filtri applicati durante l'esportazione.
Per esportare la sequenza temporale dell'evento:
Nella pagina Sequenza temporale eventi selezionare Esporta dal menu in alto per esportare la sequenza temporale degli eventi in un file CSV.
Creare un evento
Oltre a visualizzare gli eventi rilevati dal sensore, è possibile aggiungere manualmente gli eventi alla sequenza temporale. Questo processo è utile se un evento di sistema esterno influisce sulla rete e si vuole registrarlo nella sequenza temporale.
Nella pagina Sequenza temporale eventi selezionare Crea evento.
Nella finestra di dialogo Crea evento aggiungere i dettagli dell'evento seguenti:
Type. Specificare il tipo di evento (Info, Avviso o Avviso).
Timestamp. Impostare la data e l'ora dell'evento.
Dispositivo. Selezionare il dispositivo a cui deve essere connesso l'evento.
Descrizione. Specificare una descrizione dell'evento.
Selezionare Salva per aggiungere l'evento alla sequenza temporale.
Ad esempio:
Capacità sequenza temporale eventi
La quantità di dati che possono essere archiviati nella sequenza temporale degli eventi dipende da diversi fattori, ad esempio le dimensioni della rete, la frequenza degli eventi e la capacità di archiviazione del sensore. I dati archiviati nella sequenza temporale degli eventi possono includere informazioni sul traffico di rete, sugli eventi di sicurezza e su altri punti dati pertinenti.
Il numero massimo di eventi visualizzati nella sequenza temporale degli eventi dipende dal profilo hardware selezionato durante l'installazione del sensore. Ogni profilo hardware ha una capacità massima di eventi. Per altre informazioni sulla capacità massima di eventi per ogni profilo hardware, vedere Conservazione della sequenza temporale degli eventi OT.
Passaggi successivi
Per altre informazioni, vedere: