Een geleerde basislijn voor OT-waarschuwingen maken
Dit artikel is een in een reeks artikelen waarin het implementatiepad voor OT-bewaking met Microsoft Defender voor IoT wordt beschreven en wordt beschreven hoe u een basislijn maakt voor geleerd verkeer op uw OT-sensor.
Leermodus begrijpen
Een OT-netwerksensor begint uw netwerk automatisch te bewaken nadat deze is verbonden met het netwerk en u zich hebt aangemeld. Netwerkapparaten worden weergegeven in uw apparaatinventaris en waarschuwingen worden geactiveerd voor eventuele beveiligings- of operationele incidenten die zich in uw netwerk voordoen.
In eerste instantie vindt deze activiteit plaats in de leermodus , die uw OT-sensor instrueert om de gebruikelijke activiteit van uw netwerk te leren, inclusief de apparaten en protocollen in uw netwerk, en de reguliere bestandsoverdrachten die plaatsvinden tussen specifieke apparaten. Eventuele regelmatig gedetecteerde activiteiten worden het basislijnverkeer van uw netwerk.
Tip
Gebruik uw tijd in de leermodus om uw waarschuwingen te classificeren en leer welke waarschuwingen u wilt markeren als geautoriseerde, verwachte activiteit. Geleerd verkeer genereert geen nieuwe waarschuwingen wanneer hetzelfde verkeer de volgende keer wordt gedetecteerd.
Nadat de leermodus is uitgeschakeld, wordt er een waarschuwing geactiveerd voor alle activiteiten die afwijken van uw basislijngegevens.
Zie Microsoft Defender for IoT-waarschuwingen voor meer informatie.
Tijdlijn van learn-modus
Het maken van uw basislijn voor OT-waarschuwingen kan een paar dagen tot enkele weken duren, afhankelijk van de netwerkgrootte en complexiteit. We raden u aan de leermodus na 2-6 weken handmatig te wijzigen in de dynamische modus wanneer het dagelijkse aantal waarschuwingen afneemt naar een beheerbaar niveau. In de dynamische modus blijft Defender for IoT het netwerk controleren op verdacht verkeer, waarschuwingen activeren en wordt ook automatisch een waarschuwingscategorie verplaatst naar de operationele modus als die waarschuwing gedurende een bepaalde tijd niet wordt geactiveerd.
In de operationele modus worden alle gegenereerde waarschuwingen weergegeven in de inventaris en moeten ze worden hersteld door de acties te volgen die worden vermeld in het deelvenster Waarschuwingsdetails. Als de waarschuwing is geactiveerd door veilig netwerkverkeer, moet u de knop Learn gebruiken om dit verkeer toe te voegen aan de basislijnlijst, zodat de sensor in de toekomst geen waarschuwing genereert.
Schakel de leermodus handmatig uit wanneer het niveau van waarschuwingen nauwkeurig overeenkomt met uw netwerkactiviteit.
Vereisten
U kunt de procedures in dit artikel uitvoeren vanuit Azure Portal of een OT-sensor.
Voordat u begint, moet u ervoor zorgen dat u het volgende hebt:
Een OT-sensor geïnstalleerd, geconfigureerd en geactiveerd, met waarschuwingen die worden geactiveerd door gedetecteerd verkeer.
Toegang tot uw OT-sensor als beveiligingsanalist of beheerdergebruiker . Zie On-premises gebruikers en rollen voor OT-bewaking met Defender for IoT voor meer informatie.
Waarschuwingen voor triage
Sorteer waarschuwingen aan het einde van uw implementatie om een initiële basislijn te maken voor uw netwerkactiviteit.
Meld u aan bij uw OT-sensor en selecteer de pagina Waarschuwingen .
Gebruik sorteer- en groeperingsopties om eerst uw meest kritieke waarschuwingen weer te geven. Bekijk elke waarschuwing om statussen bij te werken en waarschuwingen te leren voor geautoriseerd OT-verkeer.
Zie Waarschuwingen voor uw OT-sensor weergeven en beheren voor meer informatie.
Volgende stappen
Nadat de leermodus is uitgeschakeld, bent u overgestapt van de leermodus naar de bewerkingsmodus . Ga door met een van de volgende opties:
- Microsoft Defender for IoT-gegevens visualiseren met Azure Monitor-werkmappen
- Waarschuwingen weergeven en beheren vanuit Azure Portal
- Uw apparaatinventaris beheren vanuit Azure Portal
Integreer Defender for IoT-gegevens met Microsoft Sentinel om de beveiligingsbewaking van uw SOC-team te combineren. Zie voor meer informatie: