Delen via

Waarschuwingen op uw OT-sensor weergeven en beheren

  • Artikel

Microsoft Defender voor IoT-waarschuwingen verbeteren uw netwerkbeveiliging en -bewerkingen met realtime details over gebeurtenissen die zijn vastgelegd in uw netwerk. OT-waarschuwingen worden geactiveerd wanneer OT-netwerksensoren wijzigingen of verdachte activiteiten detecteren in netwerkverkeer waarvoor uw aandacht nodig is.

In dit artikel wordt beschreven hoe u Defender for IoT-waarschuwingen rechtstreeks op een OT-netwerksensor kunt weergeven. U kunt OT-waarschuwingen ook bekijken in Azure Portal.

Zie Microsoft Defender for IoT-waarschuwingen voor meer informatie.

Vereisten

  • Als u waarschuwingen wilt hebben voor uw OT-sensor, moet er een SPAN-poort zijn geconfigureerd voor uw sensor en Defender for IoT-bewakingssoftware is geïnstalleerd. Zie Controlesoftware voor OT-agentloos installeren voor meer informatie.

  • Als u waarschuwingen voor de OT-sensor wilt bekijken, meldt u zich als beheerder, beveiligingsanalist of viewergebruiker aan bij uw sensor.

  • Als u waarschuwingen voor een OT-sensor wilt beheren, meldt u zich als beheerder of beveiligingsanalist aan bij uw sensor. Activiteiten voor waarschuwingsbeheer omvatten het wijzigen van hun statussen of ernst, het leren of dempen van een waarschuwing, het openen van PCAP-gegevens of het toevoegen van vooraf gedefinieerde opmerkingen aan een waarschuwing.

Zie On-premises gebruikers en rollen voor OT-bewaking met Defender for IoT voor meer informatie.

Waarschuwingen weergeven op een OT-sensor

  1. Meld u aan bij de OT-sensorconsole en selecteer de pagina Waarschuwingen aan de linkerkant.

    Standaard worden de volgende details weergegeven in het raster:

    Name Beschrijving
    Ernst Een vooraf gedefinieerde ernst van de waarschuwing die is toegewezen door de sensor die u indien nodig kunt wijzigen, waaronder: Kritiek, Primair, Secundair, Waarschuwing.
    Naam De titel van de waarschuwing
    Motor De Defender for IoT-detectie-engine die de activiteit heeft gedetecteerd en de waarschuwing heeft geactiveerd.
    Laatste detectie De laatste keer dat de waarschuwing is gedetecteerd.

    - Als de status van een waarschuwing Nieuw is en hetzelfde verkeer opnieuw wordt weergegeven, wordt de laatste detectietijd bijgewerkt voor dezelfde waarschuwing.
    - Als de status van de waarschuwing gesloten is en verkeer opnieuw wordt weergegeven, wordt de laatste detectietijd niet bijgewerkt en wordt er een nieuwe waarschuwing geactiveerd.

    Opmerking: Terwijl in de sensorconsole het laatste detectieveld van een waarschuwing in realtime wordt weergegeven, kan het maximaal één uur duren voordat Defender for IoT in Azure Portal de bijgewerkte tijd weergeeft. Dit verklaart een scenario waarin de laatste detectietijd in de sensorconsole niet hetzelfde is als de laatste detectietijd in Azure Portal.
    -Status De waarschuwingsstatus: Nieuw, Actief, Gesloten

    Zie Voor meer informatie waarschuwingsstatussen en triatlopties.
    Bronapparaat Het IP-adres van het bronapparaat, de MAC of de apparaatnaam.
    Id De unieke waarschuwings-id, afgestemd op de id in Azure Portal.

    Opmerking: Als de waarschuwing is samengevoegd met andere waarschuwingen van sensoren die dezelfde waarschuwing hebben gedetecteerd, geeft Azure Portal de waarschuwings-id weer van de eerste sensor die de waarschuwingen heeft gegenereerd.

    1. Als u meer details wilt weergeven, selecteert u de knop Kolommen bewerken.

      Selecteer Kolom toevoegen en een van de volgende extra kolommen in het deelvenster Kolommen bewerken aan de rechterkant:

      Name Beschrijving
      Doelapparaat Het IP-adres van het doelapparaat.
      Eerste detectie De eerste keer dat de waarschuwingsactiviteit is gedetecteerd.
      Id De waarschuwings-id.
      Laatste activiteit De laatste keer dat de waarschuwing is gewijzigd, inclusief handmatige updates voor ernst of status, of automatische wijzigingen voor apparaatupdates of apparaat-/waarschuwingsontdubbeling

Weergegeven filterwaarschuwingen

Gebruik het zoekvak, het tijdsbereik en filteropties toevoegen om de waarschuwingen te filteren die worden weergegeven door specifieke parameters of om een specifieke waarschuwing te vinden.

Voorbeeld:

Schermopname van een pagina Waarschuwingen voor OT-sensor die wordt gefilterd op Groepen.

Als u waarschuwingen filtert op groepen, worden aangepaste groepen gebruikt die u mogelijk hebt gemaakt in de apparaatinventaris of op de pagina's voor apparaattoewijzing.

Groepswaarschuwingen weergegeven

Gebruik het menu Groeperen op rechtsboven om het raster samen te vouwen in subsecties op basis van ernst, naam, engine of status.

Wanneer het totale aantal waarschuwingen bijvoorbeeld boven het raster wordt weergegeven, wilt u mogelijk specifiekere informatie over uitsplitsing van het aantal waarschuwingen, zoals het aantal waarschuwingen met een specifieke ernst of status.

Details weergeven en een specifieke waarschuwing herstellen

  1. Meld u aan bij de OT-sensor en selecteer Waarschuwingen in het menu aan de linkerkant.

  2. Selecteer een waarschuwing in het raster om meer details weer te geven in het deelvenster aan de rechterkant. Het deelvenster met waarschuwingsgegevens bevat de beschrijving van de waarschuwing, de verkeersbron en het doel en meer. Selecteer Volledige details weergeven om verder in te zoomen. Voorbeeld:

    Schermopname van een waarschuwing die is geselecteerd op de pagina Waarschuwingen op een OT-sensor.

  3. De pagina met waarschuwingsgegevens bevat meer informatie over de waarschuwing en een set herstelstappen op het tabblad Actie ondernemen .

    Gebruik de volgende tabbladen om meer contextueel inzicht te krijgen:

    • Kaartweergave. Bekijk de bron- en doelapparaten in een kaartweergave met andere apparaten die zijn verbonden met uw sensor.

    • Tijdlijn van gebeurtenis. Bekijk de gebeurtenis samen met andere recente activiteiten op de gerelateerde apparaten. Filteropties om de weergegeven gegevens aan te passen. Voorbeeld:

      Schermopname van een tijdlijn voor gebeurtenissen op een pagina met waarschuwingsgegevens.

Waarschuwingsstatus en triagewaarschuwingen beheren

Zorg ervoor dat u uw waarschuwingsstatus bijwerkt zodra u herstelstappen hebt uitgevoerd, zodat de voortgang wordt vastgelegd. U kunt de status voor één waarschuwing of voor een selectie van waarschuwingen bulksgewijs bijwerken.

Informatie over een waarschuwing om aan te geven aan Defender for IoT dat het gedetecteerde netwerkverkeer is geautoriseerd. Geleerde waarschuwingen worden niet opnieuw geactiveerd wanneer hetzelfde verkeer de volgende keer wordt gedetecteerd in uw netwerk. Demp een waarschuwing wanneer leren niet beschikbaar is en u een specifiek scenario in uw netwerk wilt negeren.

Zie Voor meer informatie waarschuwingsstatussen en triatlopties.

  • Waarschuwingsstatus beheren:

    1. Meld u aan bij de OT-sensorconsole en selecteer de pagina Waarschuwingen aan de linkerkant.

    2. Selecteer een of meer waarschuwingen in het raster waarvan u de status wilt bijwerken.

    3. Gebruik de werkbalk Status wijzigen of de optie Status in het detailvenster aan de rechterkant om de waarschuwingsstatus bij te werken.

      De optie Status is ook beschikbaar op de pagina met waarschuwingsgegevens.

  • Voor meer informatie over een of meer waarschuwingen:

    Meld u aan bij de OT-sensorconsole en selecteer de pagina Waarschuwingen aan de linkerkant en voer een van de volgende handelingen uit:

    • Selecteer een of meer leesbare waarschuwingen in het raster en selecteer vervolgens Learn op de werkbalk.
    • Selecteer Learn op een pagina met waarschuwingsgegevens op het tabblad Actie ondernemen.

  • Een waarschuwing dempen:

    1. Meld u aan bij de OT-sensorconsole en selecteer de pagina Waarschuwingen aan de linkerkant.
    2. Zoek de waarschuwing die u wilt dempen en open de pagina met waarschuwingsgegevens.
    3. Schakel op het tabblad Actie ondernemen de optie Waarschuwing dempen in.

  • Een waarschuwing ongedaan maken of dempen opheffen:

    1. Meld u aan bij de OT-sensorconsole en selecteer de pagina Waarschuwingen aan de linkerkant.
    2. Zoek de waarschuwing die u hebt geleerd of gedempt en open de bijbehorende pagina met waarschuwingsgegevens.
    3. Schakel op het tabblad Actie ondernemen de optie Waarschuwing leren of Dempen van waarschuwingen uit.

    Nadat u een waarschuwing hebt afgetekend of gedempt, worden waarschuwingen opnieuw geactiveerd wanneer de sensor de geselecteerde verkeerscombinatie aanroept.

PcAP-gegevens openen

Mogelijk wilt u toegang krijgen tot onbewerkte verkeersbestanden, ook wel pakketopnamebestanden of PCAP-bestanden genoemd als onderdeel van uw onderzoek.

Als u toegang wilt krijgen tot onbewerkte verkeersbestanden voor uw waarschuwing, selecteert u PCAP downloaden in de linkerbovenhoek van de pagina met waarschuwingsgegevens:

Voorbeeld:

Schermopname van de PCAP-opties downloaden op de OT-sensor.

Het PCAP-bestand wordt gedownload en uw browser vraagt u om het lokaal te openen of op te slaan.

Waarschuwingen exporteren naar CSV of PDF

U kunt een selectie waarschuwingen exporteren naar een CSV- of PDF-bestand voor offline delen en rapportage.

  • Exporteer waarschuwingen naar een CSV-bestand vanaf de hoofdpagina Waarschuwingen . Waarschuwingen één voor één exporteren of bulksgewijs.
  • Exporteer waarschuwingen één voor één naar een PDF-bestand, hetzij vanaf de hoofdpagina Waarschuwingen of een pagina met waarschuwingsgegevens.

Waarschuwingen exporteren naar een CSV-bestand:

  1. Meld u aan bij de OT-sensorconsole en selecteer de pagina Waarschuwingen aan de linkerkant.

  2. Gebruik het zoekvak en filteropties om alleen de waarschuwingen weer te geven die u wilt exporteren.

  3. Selecteer Exporteren naar CSV in de werkbalk boven het raster.

Het bestand wordt gegenereerd en u wordt gevraagd het lokaal te openen of op te slaan.

Een waarschuwing exporteren naar een PDF-bestand:

Meld u aan bij de OT-sensorconsole en selecteer de pagina Waarschuwingen aan de linkerkant en voer een van de volgende handelingen uit:

  • Selecteer op de pagina Waarschuwingen een waarschuwing en selecteer vervolgens Exporteren naar PDF op de werkbalk boven het raster.
  • Selecteer Exporteren naar PDF op een pagina met details van waarschuwingen.

Het bestand wordt gegenereerd en u wordt gevraagd het lokaal op te slaan.

Waarschuwingsopmerkingen toevoegen

Met waarschuwingsopmerkingen kunt u uw onderzoek en herstelproces versnellen door communicatie tussen teamleden en het registreren van gegevens efficiënter te maken.

Als uw beheerder aangepaste opmerkingen heeft gemaakt die uw team kan toevoegen aan waarschuwingen, voegt u deze toe vanuit de sectie Opmerkingen op een pagina met waarschuwingsgegevens.

  1. Meld u aan bij de OT-sensorconsole en selecteer de pagina Waarschuwingen aan de linkerkant.

  2. Zoek de waarschuwing waaraan u een opmerking wilt toevoegen en open de pagina met waarschuwingsgegevens.

  3. Selecteer in de lijst Opmerkingen kiezen de opmerking die u wilt toevoegen en selecteer vervolgens Toevoegen. Voorbeeld:

    Schermopname van de sectie Opmerkingen op een pagina met waarschuwingsgegevens op de sensor.

Zie Werkstromen voor OT-waarschuwingen versnellen voor meer informatie.

Geaggregeerde waarschuwingsschendingen herstellen

Om de vermoeidheid van waarschuwingen te verminderen, worden meerdere versies van dezelfde waarschuwingsfout met identieke parameters weergegeven als één waarschuwingsitem op de pagina Waarschuwingen. Wanneer u waarschuwingen onderzoekt, wordt een geaggregeerde waarschuwing geïdentificeerd door het bericht Meerdere schendingen dat wordt weergegeven onder het IP-adres van het bronapparaat. Gebruik het tabblad Schendingen om verder te onderzoeken en het tabblad Actie ondernemen om de waarschuwingen te herstellen.

  1. Meld u aan bij de OT-sensorconsole en selecteer de pagina Waarschuwingen aan de linkerkant.

    1. Voor een geaggregeerde waarschuwing wordt het bericht Meerdere schendingen weergegeven onder het IP-adres van het bronapparaat en wordt het tabblad Schendingen weergegeven.

  2. Selecteer het tabblad Schendingen .

    In een inventaristabel worden de eerste 10 waarschuwingen van deze geaggregeerde waarschuwingsgroep weergegeven.

  3. Selecteer Exporteren om het CSV-gegevensbestand te downloaden. Open het bestand en bekijk de gegevens.

  4. Selecteer het tabblad Actie ondernemen . Volg de herstelstappen.

  5. Selecteer Indien nodig Learn. Zie Een waarschuwing leren voor meer informatie.

Volgende stappen

Gegevensretentie in Microsoft Defender for IoT