Udostępnij za pośrednictwem


Wyświetlanie alertów i zarządzanie nimi w witrynie Azure Portal

Alerty usługi Microsoft Defender dla IoT zwiększają bezpieczeństwo sieci i operacje dzięki szczegółowymi informacjami o zdarzeniach zarejestrowanych w sieci w czasie rzeczywistym. W tym artykule opisano sposób zarządzania alertami usługi Microsoft Defender dla IoT w witrynie Azure Portal, w tym alertami generowanymi przez czujniki sieciowe OT i Enterprise IoT.

Wymagania wstępne

  • Aby mieć alerty w usłudze Defender dla IoT, musisz mieć dołączony protokół OT i przesyłanie strumieniowe danych sieciowych do usługi Defender for IoT.

  • Aby wyświetlić alerty w witrynie Azure Portal, musisz mieć dostęp jako czytelnik zabezpieczeń, administrator zabezpieczeń, współautor lub właściciel

  • Aby zarządzać alertami w witrynie Azure Portal, musisz mieć dostęp jako administrator zabezpieczeń, współautor lub właściciel. Działania związane z zarządzaniem alertami obejmują modyfikowanie ich stanów lub ważności, uczenie alertu, uzyskiwanie dostępu do danych PCAP lub używanie reguł pomijania alertów.

Aby uzyskać więcej informacji, zobacz Role i uprawnienia użytkownika platformy Azure dla usługi Defender dla IoT.

Wyświetlanie alertów w witrynie Azure Portal

  1. W usłudze Defender for IoT w witrynie Azure Portal wybierz stronę Alerty po lewej stronie. Domyślnie w siatce są wyświetlane następujące szczegóły:

    Kolumna Opis
    Ważność Wstępnie zdefiniowana ważność alertu przypisana przez czujnik, który można zmodyfikować zgodnie z potrzebami.
    Nazwa/nazwisko Tytuł alertu.
    Oddział Witryna skojarzona z czujnikiem, który wykrył alert, jak pokazano na stronie Witryny i czujniki .
    Silnik Aparat wykrywania usługi Defender for IoT, który wykrył działanie i wyzwolił alert.

    Uwaga: wartość micro-agenta wskazuje, że zdarzenie zostało wyzwolone przez platformę Defender for IoT Device Builder .
    Ostatnie wykrywanie Ostatni raz wykryto alert.

    — Jeśli stan alertu to Nowy, a ten sam ruch będzie widoczny ponownie, czas ostatniego wykrywania zostanie zaktualizowany dla tego samego alertu.
    — Jeśli stan alertu jest zamknięty, a ruch będzie widoczny ponownie, czas ostatniego wykrywania nie zostanie zaktualizowany i zostanie wyzwolony nowy alert.

    Uwaga: Podczas gdy konsola czujnika wyświetla pole Ostatnie wykrywanie alertu w czasie rzeczywistym, usługa Defender dla IoT w witrynie Azure Portal może potrwać do jednej godziny, aby wyświetlić zaktualizowany czas. W tym artykule wyjaśniono scenariusz, w którym czas ostatniego wykrywania w konsoli czujnika nie jest taki sam jak czas ostatniego wykrywania w witrynie Azure Portal.
    Stan Stan alertu: Nowy, Aktywny, Zamknięty

    Aby uzyskać więcej informacji, zobacz Stan alertów i opcje klasyfikacji.
    Urządzenie źródłowe Adres IP, adres MAC lub nazwa urządzenia, na którym pochodzi ruch, który wyzwolił alert.
    Taktyka Etap MITRE ATT&CK.
    1. Aby wyświetlić więcej szczegółów, wybierz przycisk Edytuj kolumny .

      W okienku Edytuj kolumny po prawej stronie wybierz pozycję Dodaj kolumnę i dowolną z następujących dodatkowych kolumn:

      Kolumna opis
      Źródłowy adres urządzenia Adres IP urządzenia źródłowego.
      Docelowy adres urządzenia Adres IP urządzenia docelowego.
      Urządzenie docelowe Docelowy adres IP lub adres MAC albo nazwa urządzenia docelowego.
      Pierwsze wykrywanie Przy pierwszym wykryciu alertu w sieci.
      Id Unikatowy identyfikator alertu zgodny z identyfikatorem w konsoli czujnika.

      Uwaga: jeśli alert został scalony z innymi alertami z czujników, które wykryły ten sam alert, w witrynie Azure Portal zostanie wyświetlony identyfikator alertu pierwszego czujnika, który wygenerował alerty.
      Ostatnie działanie Czas ostatniej zmiany alertu, w tym ręczne aktualizacje ważności lub stanu, lub automatyczne zmiany aktualizacji urządzenia lub deduplikacji urządzenia/alertu
      Protokół Protokół wykryty w ruchu sieciowym dla alertu.
      Czujnik Czujnik, który wykrył alert.
      Strefa Strefa przypisana do czujnika, który wykrył alert.
      Kategoria Kategoria skojarzona z alertem, taka jak problemy operacyjne, alerty niestandardowe lub nielegalne polecenia.
      Type Wewnętrzna nazwa alertu.

Napiwek

Jeśli widzisz więcej alertów niż oczekiwano, możesz utworzyć reguły pomijania, aby zapobiec wyzwalaniu alertów dla uzasadnionej aktywności sieciowej. Aby uzyskać więcej informacji, zobacz Pomijanie nieistotnych alertów.

Filtruj wyświetlane alerty

Użyj pola wyszukiwania, zakresu czasu i opcji Dodaj filtr, aby filtrować alerty wyświetlane według określonych parametrów lub ułatwić zlokalizowanie określonego alertu.

Na przykład filtruj alerty według kategorii:

Zrzut ekranu przedstawiający opcję Filtr kategorii na stronie Alerty w witrynie Azure Portal.

Wyświetlane alerty grupy

Użyj menu Grupuj według w prawym górnym rogu, aby zwinąć siatkę do podsekcji zgodnie z określonymi parametrami.

Na przykład, gdy łączna liczba alertów pojawia się powyżej siatki, możesz chcieć uzyskać bardziej szczegółowe informacje na temat podziału liczby alertów, takich jak liczba alertów o określonej ważności, protokole lub witrynie.

Obsługiwane opcje grupowania obejmują aparat, nazwę, czujnik, ważność i witrynę.

Wyświetlanie szczegółów i korygowanie określonego alertu

  1. Na stronie Alerty wybierz alert w siatce, aby wyświetlić więcej szczegółów w okienku po prawej stronie. Okienko szczegółów alertu zawiera opis alertu, źródło ruchu i miejsce docelowe oraz inne.

    Wybierz pozycję Wyświetl pełne szczegóły , aby przejść do szczegółów dalej. Na przykład:

    Zrzut ekranu przedstawiający alert wybrany ze strony Alerty w witrynie Azure Portal.

  2. Strona szczegółów alertu zawiera więcej szczegółów dotyczących alertu oraz zestaw kroków korygowania na karcie Wykonaj akcję . Na przykład:

    Zrzut ekranu przedstawiający stronę szczegółów alertu w witrynie Azure Portal.

Zarządzanie ważnością i stanem alertu

Zalecamy zaktualizowanie ważności alertu w usłudze Defender dla IoT w witrynie Azure Portal tak szybko, jak tylko sklasyfikowano alert, tak aby można było jak najszybciej określić priorytety najbardziej ryzykownych alertów. Pamiętaj, aby zaktualizować stan alertu po podjęciu kroków korygowania, aby postęp był rejestrowany.

Można zaktualizować zarówno ważność, jak i stan pojedynczego alertu lub zbiorczo wybrać alerty.

Informacje o alercie wskazującym usłudze Defender dla IoT, że wykryty ruch sieciowy jest autoryzowany. Wyuczone alerty nie są wyzwalane ponownie przy następnym wykryciu tego samego ruchu w sieci. Uczenie jest obsługiwane tylko w przypadku wybranych alertów, a uczenie nie jest obsługiwane tylko z czujnika sieciowego OT.

Aby uzyskać więcej informacji, zobacz Stan alertów i opcje klasyfikacji.

  • Aby zarządzać pojedynczym alertem:

    1. W usłudze Defender for IoT w witrynie Azure Portal wybierz stronę Alerty po lewej stronie, a następnie wybierz alert w siatce.
    2. W okienku szczegółów po prawej stronie lub na samej stronie szczegółów alertu wybierz nowy stan i/lub ważność.
  • Aby zbiorczo zarządzać wieloma alertami:

    1. W usłudze Defender for IoT w witrynie Azure Portal wybierz stronę Alerty po lewej stronie, a następnie wybierz alerty w siatce, którą chcesz zmodyfikować.
    2. Użyj opcji Zmień stan i/lub Zmień ważność na pasku narzędzi, aby zaktualizować stan i/lub ważność wszystkich wybranych alertów.
  • Aby dowiedzieć się więcej o co najmniej jednym alertzie:

    W usłudze Defender for IoT w witrynie Azure Portal wybierz stronę Alerty po lewej stronie, a następnie wykonaj jedną z następujących czynności:

    • Wybierz co najmniej jeden alert z możliwością nauki w siatce, a następnie wybierz pozycję Learn na pasku narzędzi.
    • Na stronie szczegółów alertu dotyczącego alertu z możliwością nauki na karcie Akcja wykonaj wybierz pozycję Learn.

Uzyskiwanie dostępu do danych protokołu PCAP alertu

Możesz chcieć uzyskać dostęp do nieprzetworzonych plików ruchu, nazywanych również plikami przechwytywania pakietów lub plikami PCAP w ramach badania. Jeśli jesteś inżynierem zabezpieczeń SOC lub OT, uzyskaj dostęp do plików PCAP bezpośrednio z witryny Azure Portal, aby ułatwić szybsze badanie.

Aby uzyskać dostęp do nieprzetworzonych plików ruchu dla alertu, wybierz pozycję Pobierz plik PCAP w lewym górnym rogu strony szczegółów alertu.

Na przykład:

Zrzut ekranu przedstawiający przycisk Pobierz PCAP.

Portal zażąda pliku z czujnika, który wykrył alert i pobierze go do usługi Azure Storage.

Pobieranie pliku PCAP może potrwać kilka minut, w zależności od jakości łączności czujnika.

Eksportowanie alertów do pliku CSV

Możesz wyeksportować wybrane alerty do pliku CSV w celu udostępniania i raportowania w trybie offline.

  1. W usłudze Defender for IoT w witrynie Azure Portal wybierz stronę Alerty po lewej stronie.

  2. Użyj pola wyszukiwania i opcji filtru, aby wyświetlić tylko alerty, które chcesz wyeksportować.

  3. Na pasku narzędzi powyżej siatki wybierz pozycję Eksportuj>potwierdź.

Plik zostanie wygenerowany i zostanie wyświetlony monit o zapisanie go lokalnie.

Następne kroki