Informatie over on-premises OT-waarschuwingen doorsturen
Microsoft Defender voor IoT-waarschuwingen verbeteren uw netwerkbeveiliging en -bewerkingen met realtime details over gebeurtenissen die zijn vastgelegd in uw netwerk. OT-waarschuwingen worden geactiveerd wanneer OT-netwerksensoren wijzigingen of verdachte activiteiten detecteren in netwerkverkeer waarvoor uw aandacht nodig is.
In dit artikel wordt beschreven hoe u uw OT-sensor configureert om waarschuwingen door te sturen naar partnerservices, syslog-servers, e-mailadressen en meer. Doorgestuurde waarschuwingsgegevens bevatten details zoals:
- Datum en tijd van de waarschuwing
- Engine die de gebeurtenis heeft gedetecteerd
- Titel van waarschuwing en beschrijvend bericht
- Ernst van waarschuwing
- Bron- en doelnaam en IP-adres
- Verdacht verkeer gedetecteerd
- Niet-verbonden sensoren
- Externe back-upfouten
Notitie
Waarschuwingsregels voor doorsturen worden alleen uitgevoerd op waarschuwingen die worden geactiveerd nadat de doorstuurregel is gemaakt. Waarschuwingen die al in het systeem staan voordat de doorstuurregel is gemaakt, worden niet beïnvloed door de regel.
Vereisten
Afhankelijk van waar u de doorstuurwaarschuwingsregels wilt maken, moet een OT-netwerksensor zijn geïnstalleerd, met toegang als beheerdergebruiker.
Zie Bewakingssoftware voor OT zonder agent installeren en on-premises gebruikers en rollen voor OT-bewaking met Defender for IoT voor meer informatie.
U moet ook SMTP-instellingen voor de OT-sensor definiëren.
Zie Smtp-e-mailserverinstellingen configureren op een OT-sensor voor meer informatie.
Regels voor doorsturen maken op een OT-sensor
Meld u aan bij de OT-sensor en selecteer Doorsturen in het linkermenu> + Nieuwe regel maken.
Voer in het deelvenster Doorstuurregel toevoegen een beschrijvende regelnaam in en definieer vervolgens regelvoorwaarden en acties als volgt:
Name Beschrijving Minimaal waarschuwingsniveau Selecteer het minimale ernstniveau voor waarschuwingen dat u wilt doorsturen.
Als u bijvoorbeeld Secundaire, secundaire waarschuwingen en eventuele waarschuwingen boven dit ernstniveau selecteert, worden doorgestuurd.Elk protocol gedetecteerd Schakel de schakelaar in om waarschuwingen van al het protocolverkeer door te sturen of schakel deze uit en selecteer de specifieke protocollen die u wilt opnemen. Verkeer gedetecteerd door een engine Schakel de schakelaar in om waarschuwingen van alle analyse-engines door te sturen of schakel deze uit en selecteer de specifieke engines die u wilt opnemen. Acties Selecteer het type server waarnaar u waarschuwingen wilt doorsturen en definieer vervolgens alle andere vereiste informatie voor dat servertype.
Als u meerdere servers aan dezelfde regel wilt toevoegen, selecteert u + Server toevoegen en voegt u meer details toe.
Zie Acties voor het doorsturen van waarschuwingen configureren voor meer informatie.Wanneer u klaar bent met het configureren van de regel, selecteert u Opslaan. De regel wordt weergegeven op de pagina Doorsturen .
Test de regel die u hebt gemaakt:
- Selecteer het menu Opties (...) voor de regel >Testbericht verzenden.
- Ga naar de doelservice om te controleren of de informatie die door de sensor is verzonden, is ontvangen.
Doorstuurregels op een OT-sensor bewerken of verwijderen
Een bestaande regel bewerken of verwijderen:
Meld u aan bij uw OT-sensor en selecteer Doorsturen in het menu aan de linkerkant.
Selecteer het menu Opties (...) voor uw regel en voer een van de volgende handelingen uit:
Selecteer Indien nodig de velden bewerken en bijwerken. Selecteer Opslaan als u klaar bent.
Selecteer Ja verwijderen>om de verwijdering te bevestigen.
Acties voor het doorsturen van waarschuwingen configureren
In deze sectie wordt beschreven hoe u instellingen configureert voor ondersteunde doorstuurregelacties op een OT-sensor.
Actie e-mailadres
Configureer een e-mailactie om waarschuwingsgegevens door te sturen naar het geconfigureerde e-mailadres.
Voer in het gebied Acties de volgende details in:
| Name | Beschrijving |
|---|---|
| Server | Selecteer E-mail. |
| E-mailadres | Voer het e-mailadres in waarnaar u de waarschuwingen wilt doorsturen. Elke regel ondersteunt één e-mailadres. |
| Tijdzone | Selecteer de tijdzone die u wilt gebruiken voor de detectie van waarschuwingen in het doelsysteem. |
Syslog-serveracties
Configureer een Syslog-serveractie om waarschuwingsgegevens door te sturen naar het geselecteerde type Syslog-server.
Voer in het gebied Acties de volgende details in:
| Name | Beschrijving |
|---|---|
| Server | Selecteer een van de volgende typen syslog-indelingen: - SYSLOG-server (CEF-indeling) - SYSLOG Server (LEEF-indeling) - SYSLOG-server (object) - SYSLOG-server (tekstbericht) |
| Hostpoort / | Voer de hostnaam en poort van de syslog-server in |
| Tijdzone | Selecteer de tijdzone die u wilt gebruiken voor de detectie van waarschuwingen in het doelsysteem. |
| Protocol | Alleen ondersteund voor sms-berichten. Selecteer TCP of UDP. |
| Versleuteling inschakelen | Alleen ondersteund voor CEF-indeling. Schakel de wisselknop in om een TLS-versleutelingscertificaatbestand, sleutelbestand en wachtwoordzin te configureren. |
In de volgende secties worden de syslog-uitvoersyntaxis voor elke indeling beschreven.
Uitvoervelden voor Syslog-tekstberichten
| Name | Beschrijving |
|---|---|
| Prioriteit | Gebruiker. Waarschuwing |
| Bericht | CyberX-platformnaam: de sensornaam. Microsoft Defender for IoT-waarschuwing: de titel van de waarschuwing. Type: Het type waarschuwing. Kan protocolschending, beleidsschending, malware, anomalie of operationeel zijn. Ernst: de ernst van de waarschuwing. Kan waarschuwing, secundair, primair of kritiek zijn. Bron: de naam van het bronapparaat. Bron-IP: het IP-adres van het bronapparaat. Protocol (optioneel): het gedetecteerde bronprotocol. Adres (optioneel): bronprotocoladres. Bestemming: de naam van het doelapparaat. Doel-IP: het IP-adres van het doelapparaat. Protocol (optioneel): het gedetecteerde doelprotocol. Adres (optioneel): het adres van het doelprotocol. Bericht: Het bericht van de waarschuwing. Waarschuwingsgroep: de waarschuwingsgroep die is gekoppeld aan de waarschuwing. UUID (optioneel): de UUID van de waarschuwing. |
Uitvoervelden van Syslog-objecten
| Name | Beschrijving |
|---|---|
| Prioriteit | User.Alert |
| Datum en tijd | De datum en tijd waarop de syslog-servercomputer de informatie heeft ontvangen. |
| Hostnaam | IP-adres van sensor |
| Bericht | Sensornaam: de naam van het apparaat. Waarschuwingstijd: de tijd waarop de waarschuwing is gedetecteerd: kan variëren van de tijd van de syslog-servercomputer en is afhankelijk van de tijdzoneconfiguratie van de doorstuurregel. Titel van waarschuwing: de titel van de waarschuwing. Waarschuwingsbericht: het bericht van de waarschuwing. Ernst van waarschuwing: de ernst van de waarschuwing: Waarschuwing, Secundair, Primair of Kritiek. Waarschuwingstype: Protocolschending, Beleidsschending, Malware, Anomalie of Operationeel. Protocol: het protocol van de waarschuwing. Source_MAC: IP-adres, naam, leverancier of besturingssysteem van het bronapparaat. Destination_MAC: IP-adres, naam, leverancier of besturingssysteem van de bestemming. Als er gegevens ontbreken, is de waarde N/B. alert_group: de waarschuwingsgroep die aan de waarschuwing is gekoppeld. |
Syslog CEF-uitvoervelden
| Name | Beschrijving |
|---|---|
| Prioriteit | User.Alert |
| Datum en tijd | Datum en tijd waarop de sensor de informatie heeft verzonden, in UTC-indeling |
| Hostnaam | Hostnaam van sensor |
| Bericht | CEF:0 Microsoft Defender for IoT/CyberX Sensornaam Sensorversie Microsoft Defender for IoT-waarschuwing Titel van waarschuwing Integer-indicatie van ernst. 1=Waarschuwing, 4=Secundair, 8=Primair of 10=Kritiek. msg= Het bericht van de waarschuwing. protocol= Het protocol van de waarschuwing. ernst= Waarschuwing, Secundair, Primair of Kritiek. type= Protocolovertreding, Beleidsschending, Malware, Anomalie of Operationeel. UUID= UUID van de waarschuwing (optioneel) start= De tijd waarop de waarschuwing is gedetecteerd. Kan variëren van de tijd van de syslog-servercomputer en is afhankelijk van de tijdzoneconfiguratie van de doorstuurregel. src_ip= IP-adres van het bronapparaat. (Optioneel) src_mac= MAC-adres van het bronapparaat. (Optioneel) dst_ip= IP-adres van het doelapparaat. (Optioneel) dst_mac= MAC-adres van het doelapparaat. (Optioneel) cat= De waarschuwingsgroep die aan de waarschuwing is gekoppeld. |
Syslog LEEF-uitvoervelden
| Name | Beschrijving |
|---|---|
| Prioriteit | User.Alert |
| Datum en tijd | Datum en tijd waarop de sensor de informatie heeft verzonden, in UTC-indeling |
| Hostnaam | IP-adres van sensor |
| Bericht | Sensornaam: de naam van het Microsoft Defender for IoT-apparaat. LEEF:1.0 Microsoft Defender voor IoT Sensor Sensorversie Microsoft Defender for IoT-waarschuwing titel: De titel van de waarschuwing. msg: het bericht van de waarschuwing. protocol: het protocol van de waarschuwing. ernst: waarschuwing, secundair, primair of kritiek. type: Het type waarschuwing: Protocolovertreding, Beleidsschending, Malware, Anomalie of Operationeel. start: de tijd van de waarschuwing. Dit kan afwijken van de tijd van de syslog-servercomputer en is afhankelijk van de tijdzoneconfiguratie. src_ip: IP-adres van het bronapparaat. dst_ip: IP-adres van het doelapparaat. cat: De waarschuwingsgroep die is gekoppeld aan de waarschuwing. |
NetWitness-actie
Configureer een NetWitness-actie om waarschuwingsgegevens naar een NetWitness-server te verzenden.
Voer in het gebied Acties de volgende details in:
| Name | Beschrijving |
|---|---|
| Server | Selecteer NetWitness. |
| Hostnaam/poort | Voer de hostnaam en poort van de NetWitness-server in. |
| Tijdzone | Voer de tijdzone in die u wilt gebruiken in het tijdstempel voor de detectie van waarschuwingen in de SIEM. |
Doorstuurregels configureren voor partnerintegraties
Mogelijk integreert u Defender for IoT met een partnerservice om waarschuwings- of apparaatinventarisgegevens te verzenden naar een ander beveiligings- of apparaatbeheersysteem of om te communiceren met firewalls aan de partnerzijde.
Partnerintegraties kunnen helpen om eerder gesilode beveiligingsoplossingen te overbruggingen, de zichtbaarheid van apparaten te verbeteren en het systeembrede antwoord te versnellen om risico's sneller te beperken.
In dergelijke gevallen gebruikt u ondersteunde acties om referenties en andere informatie in te voeren die nodig zijn om te communiceren met geïntegreerde partnerservices.
Zie voor meer informatie:
Waarschuwingsgroepen configureren in partnerservices
Wanneer u doorstuurregels configureert voor het verzenden van waarschuwingsgegevens naar Syslog-servers, QRadar en ArcSight, worden waarschuwingsgroepen automatisch toegepast en zijn deze beschikbaar op die partnerservers.
Waarschuwingsgroepen helpen SOC-teams bij het gebruik van deze partneroplossingen voor het beheren van waarschuwingen op basis van beveiligingsbeleid voor ondernemingen en zakelijke prioriteiten. Waarschuwingen over nieuwe detecties worden bijvoorbeeld ingedeeld in een detectiegroep , waaronder waarschuwingen over nieuwe apparaten, VLAN's, gebruikersaccounts, MAC-adressen en meer.
Waarschuwingsgroepen worden weergegeven in partnerservices met de volgende voorvoegsels:
| Voorvoegsel | Partnerservice |
|---|---|
cat |
QRadar, ArcSight, Syslog CEF, Syslog LEEF |
Alert Group |
Syslog-tekstberichten |
alert_group |
Syslog-objecten |
Als u waarschuwingsgroepen in uw integratie wilt gebruiken, moet u uw partnerservices configureren om de naam van de waarschuwingsgroep weer te geven.
Waarschuwingen worden standaard als volgt gegroepeerd:
- Abnormaal communicatiegedrag
- Aangepaste waarschuwingen
- Externe toegang
- Abnormaal HTTP-communicatiegedrag
- Detectie
- Opdrachten opnieuw opstarten en stoppen
- Verificatie
- Firmwarewijziging
- Scannen
- Niet-geautoriseerd communicatiegedrag
- Illegale opdrachten
- Sensorverkeer
- Afwijkingen in bandbreedte
- Internettoegang
- Vermoeden van malware
- Bufferoverloop
- Bewerkingsfouten
- Vermoeden van schadelijke activiteit
- Opdrachtfouten
- Operationele problemen
- Configuratiewijzigingen
- Programmeren
Neem contact op met Microsoft Ondersteuning voor meer informatie en om aangepaste waarschuwingsgroepen te maken.
Problemen met doorstuurregels oplossen
Als uw regels voor doorstuurwaarschuwingen niet werken zoals verwacht, controleert u de volgende details:
Certificaatvalidatie. Doorstuurregels voor Syslog CEF, Microsoft Sentinel en QRadar ondersteunen versleuteling en certificaatvalidatie.
Als uw OT-sensoren zijn geconfigureerd om certificaten te valideren en het certificaat niet kan worden geverifieerd, worden de waarschuwingen niet doorgestuurd.
In deze gevallen is de sensor de client en initiator van de sessie. Certificaten worden doorgaans ontvangen van de server of gebruiken asymmetrische versleuteling, waarbij een specifiek certificaat wordt verstrekt om de integratie in te stellen.