Een geleerde basislijn van OT-waarschuwingen maken
Dit artikel is een in een reeks artikelen waarin het implementatiepad voor OT-bewaking met Microsoft Defender voor IoT wordt beschreven en wordt beschreven hoe u een basislijn van geleerd verkeer op uw OT-sensor maakt.
Leermodus begrijpen
Een OT-netwerksensor begint uw netwerk automatisch te bewaken nadat deze is verbonden met het netwerk en u zich hebt aangemeld. Netwerkapparaten worden weergegeven in uw apparaatinventaris en er worden waarschuwingen geactiveerd voor eventuele beveiligings- of operationele incidenten die zich in uw netwerk voordoen.
In eerste instantie vindt deze activiteit plaats in de leermodus , waarbij uw OT-sensor wordt geïnstrueerd om de gebruikelijke activiteit van uw netwerk te leren, inclusief de apparaten en protocollen in uw netwerk, en de regelmatige bestandsoverdrachten die plaatsvinden tussen specifieke apparaten. Elke regelmatig gedetecteerde activiteit wordt het basisverkeer van uw netwerk.
Tip
Gebruik uw tijd in de leermodus om uw waarschuwingen te sorteren en Leer de waarschuwingen die u wilt markeren als geautoriseerde, verwachte activiteit. Geleerd verkeer genereert geen nieuwe waarschuwingen wanneer hetzelfde verkeer de volgende keer wordt gedetecteerd.
Nadat de leermodus is uitgeschakeld, wordt een waarschuwing geactiveerd voor elke activiteit die afwijkt van de basislijngegevens.
Zie Microsoft Defender voor IoT-waarschuwingen voor meer informatie.
Tijdlijn leermodus
Het maken van uw basislijn van OT-waarschuwingen kan enkele dagen tot enkele weken duren, afhankelijk van de grootte en complexiteit van uw netwerk. De leermodus wordt automatisch uitgeschakeld wanneer de sensor een afname van nieuw gedetecteerd verkeer detecteert, meestal tussen 2-6 weken na de implementatie.
Schakel de leermodus voor die tijd handmatig uit als u denkt dat de huidige waarschuwingen uw netwerkactiviteit nauwkeurig weerspiegelen.
Vereisten
U kunt de procedures in dit artikel uitvoeren vanuit de Azure Portal, een OT-sensor of een on-premises beheerconsole.
Voordat u begint, moet u het volgende doen:
Er is een OT-sensor geïnstalleerd, geconfigureerd en geactiveerd, waarbij waarschuwingen worden geactiveerd door gedetecteerd verkeer.
Toegang tot uw OT-sensor als beveiligingsanalist of Beheer gebruiker. Zie On-premises gebruikers en rollen voor OT-bewaking met Defender for IoT voor meer informatie.
Waarschuwingen sorteren
Sorteer waarschuwingen aan het einde van uw implementatie om een eerste basislijn voor uw netwerkactiviteit te maken.
Meld u aan bij uw OT-sensor en selecteer de pagina Waarschuwingen .
Gebruik sorteer- en groepeeropties om eerst uw meest kritieke waarschuwingen weer te geven. Bekijk elke waarschuwing voor updatestatussen en meer informatie over waarschuwingen voor door OT geautoriseerd verkeer.
Zie Waarschuwingen op uw OT-sensor weergeven en beheren voor meer informatie.
Volgende stappen
Nadat de leermodus is uitgeschakeld, bent u overgestapt van de leermodus naar de bewerkingsmodus . Ga verder met een van de volgende handelingen:
- Visualiseer Microsoft Defender voor IoT-gegevens met Azure Monitor-werkmappen
- Waarschuwingen van de Azure Portal weergeven en beheren
- Uw apparaatinventaris beheren vanuit de Azure Portal
Integreer Defender for IoT-gegevens met Microsoft Sentinel om de beveiligingsbewaking van uw SOC-team te uniformeren. Zie voor meer informatie: