Wyświetlanie i zarządzanie alertami w lokalnej konsoli zarządzania (starsza wersja)

Ważne

Usługa Defender for IoT zaleca teraz używanie usług w chmurze firmy Microsoft lub istniejącej infrastruktury IT do centralnego monitorowania i zarządzania czujnikami, a planuje wycofanie lokalnej konsoli zarządzania1 stycznia 2025 r..

Aby uzyskać więcej informacji, zobacz Wdrożenie zarządzania czujnikami OT w trybie hybrydowym lub bez połączenia z siecią.

Alerty usługi Microsoft Defender dla IoT zwiększają bezpieczeństwo sieci i operacje dzięki szczegółowymi informacjami o zdarzeniach zarejestrowanych w sieci w czasie rzeczywistym. Alerty OT są wyzwalane, gdy czujniki sieciowe OT wykrywają zmiany lub podejrzane działania w ruchu sieciowym, który wymaga twojej uwagi.

W tym artykule opisano sposób wyświetlania alertów usługi Defender dla IoT w lokalnej konsoli zarządzania, która agreguje alerty ze wszystkich połączonych czujników OT. Alerty OT można również wyświetlić w witrynie Azure Portal lub w czujniku sieci OT.

Wymagania wstępne

Przed wykonaniem procedur opisanych w tym artykule upewnij się, że masz następujące elementy:

• Lokalna konsola zarządzania zainstalowana, aktywowana i skonfigurowana. Aby wyświetlić alerty według lokalizacji lub strefy, upewnij się, że skonfigurowano lokacje i strefy w lokalnej konsoli zarządzania.

• Co najmniej jeden czujnik OT zainstalowany, skonfigurowany, aktywowany i połączony z lokalną konsolą zarządzania. Aby wyświetlić alerty dla strefy, upewnij się, że każdy czujnik jest przypisany do określonej strefy.

• Dostęp do lokalnej konsoli zarządzania przy użyciu jednej z następujących ról użytkownika :

  • Aby wyświetlić alerty lokalnej konsoli zarządzania, zaloguj się jako administrator, analityk zabezpieczeń lub użytkownik przeglądarki.

  • Aby zarządzać alertami w lokalnej konsoli zarządzania, zaloguj się jako użytkownik administratora lub analityka zabezpieczeń. Działania związane z zarządzaniem obejmują potwierdzenie lub wyciszenie alertu w zależności od typu alertu.

Wyświetlanie alertów w lokalnej konsoli zarządzania

1. Zaloguj się do lokalnej konsoli zarządzania i wybierz pozycję Alerty w menu po lewej stronie.

   Alerty są wyświetlane w prostej tabeli pokazującej czujnik, który wyzwolił alert i szczegóły alertu w dwóch kolumnach.

2. Wybierz wiersz alertu, aby rozwinąć jego pełne szczegóły.

3. W rozszerzonym wierszu alertu wykonaj dowolną z następujących czynności, aby wyświetlić więcej kontekstu alertu:

   • Wybierz pozycję OPEN SENSOR , aby otworzyć czujnik, który wygenerował alert i kontynuować badanie. Aby uzyskać więcej informacji, zobacz Wyświetlanie alertów i zarządzanie nimi w czujniku OT.

   • Wybierz pozycję POKAŻ URZĄDZENIA , aby wyświetlić urządzenia, których dotyczy problem, na mapie strefy. Aby uzyskać więcej informacji, zobacz Tworzenie lokacji i stref OT w lokalnej konsoli zarządzania.

Uwaga

W lokalnej konsoli zarządzania nowe alerty są nazywane niepotwierdzone, a zamknięte alerty są nazywane potwierdzone. Aby uzyskać więcej informacji, zobacz Stan alertów i opcje triagowania.

Filtrowanie wyświetlanych alertów

W górnej części strony Alerty użyj opcji Bezpłatne wyszukiwanie, witryny, strefy, urządzenia i czujniki , aby filtrować alerty wyświetlane według określonych parametrów lub ułatwić zlokalizowanie określonego alertu.

• Potwierdzone alerty nie są domyślnie wyświetlane. Wybierz pozycję Pokaż potwierdzone alerty , aby uwzględnić je na liście.

• Wybierz pozycję Wyczyść , aby usunąć wszystkie filtry.

Wyświetlanie alertów według lokalizacji

Aby wyświetlić alerty z połączonych czujników OT w całej sieci globalnej, użyj mapy Widok przedsiębiorstwa na lokalnej konsoli zarządzania.

1. Zaloguj się do lokalnej konsoli zarządzania i wybierz pozycję Widok przedsiębiorstwa. Domyślny widok mapy przedstawia witryny w ich lokalizacjach na całym świecie.

   (Opcjonalnie) Użyj menu Wszystkie witryny i wszystkie regiony w górnej części strony, aby filtrować mapę i wyświetlać tylko określone witryny lub tylko określone regiony.

2. W menu Widok domyślny na górze strony wybierz dowolną z poniższych opcji, aby zagłębić się w szczegóły określonych typów alertów:

   • Zarządzanie ryzykiem. Wyróżnia alerty o ryzyku witryny, ułatwiając ustalanie priorytetów działań zaradczych i planowanie ulepszeń zabezpieczeń.
   • Reagowanie na incydenty wyróżnia wszystkie aktywne (niepotwierdzone) alerty w każdej witrynie.
   • Złośliwe działanie. Wyróżnia alerty złośliwego oprogramowania, które wymagają natychmiastowego działania.
   • Alerty operacyjne. Wyróżnia alerty operacyjne, takie jak zatrzymania PLC oraz wgrywanie oprogramowania układowego lub programu.

   W każdym widoku, z wyjątkiem widoku domyślnego, witryny są wyświetlane w kolorze czerwonym, żółtym lub zielonym. Czerwone witryny mają alerty, które wymagają natychmiastowej akcji, żółte witryny mają alerty, które uzasadniają badanie, a zielone witryny nie wymagają żadnych działań.

3. Wybierz dowolną stronę, która jest czerwona lub żółta, a następnie wybierz przycisk alertów dla określonego czujnika OT, aby przejrzeć bieżące alerty tego czujnika. Na przykład:

   

   Strona Alerty zostanie otwarta, automatycznie filtrowana do wybranych alertów.

Wyświetlanie alertów według strefy

Aby wyświetlić alerty z połączonych czujników OT dla określonej strefy, użyj strony Zarządzanie lokacjami w lokalnej konsoli zarządzania.

1. Zaloguj się do lokalnej konsoli zarządzania i wybierz pozycję Site Management.

2. Znajdź witrynę i strefę, którą chcesz wyświetlić, korzystając z opcji filtrowania u góry zgodnie z potrzebami:

   • Łączność: wybierz, aby wyświetlić tylko wszystkie czujniki OT lub tylko podłączone/odłączone czujniki.
   • Stan uaktualnienia: wybierz, aby wyświetlić wszystkie czujniki OT lub tylko te z określonym stanem aktualizacji oprogramowania.
   • Business Unit: wybierz, aby wyświetlić wszystkie czujniki OT lub tylko te z konkretnej jednostki biznesowej.
   • Region: wybierz, aby wyświetlić wszystkie czujniki OT lub tylko te z określonego regionu.

3. Wybierz przycisk alertów dla określonego czujnika OT, aby przejść do bieżących alertów tego czujnika.

Zarządzanie stanem alertu i priorytetyzacją alertów

Użyj następujących opcji, aby zarządzać stanem alertu w lokalnej konsoli zarządzania w zależności od typu alertu:

• Aby potwierdzić lub odwołać potwierdzenie alertu: w rozszerzonym wierszu alertu wybierz POTWIERDŹ lub UNACKNOWLEDGE w zależności od potrzeb.

• Aby wyciszyć lub cofnąć wyciszenie alertu: w rozszerzonym wierszu alertu umieść kursor na górnej części wiersza i wybierz przycisk Wycisz lub Usuń wyciszenie zgodnie z potrzebami.

Aby uzyskać więcej informacji, zobacz Statusy alertów i opcje triage.

Eksportowanie alertów do pliku CSV

Możesz wyeksportować wybrane alerty do pliku CSV na potrzeby udostępniania i raportowania w trybie offline.

1. Zaloguj się do lokalnej konsoli zarządzania i wybierz stronę Alerty .

2. Użyj opcji wyszukiwania i filtru, aby wyświetlić tylko alerty, które chcesz wyeksportować.

3. Wybierz pozycję Eksportuj.

Plik CSV jest generowany i zostanie wyświetlony monit o zapisanie go lokalnie.

Następne kroki

Wyświetlanie alertów i zarządzanie nimi w witrynie Azure Portal

Wyświetlanie alertów w czujniku OT i zarządzanie nimi

Przyspieszanie lokalnych przepływów pracy alertów OT

Przekazywanie informacji o alercie

Alerty usługi Microsoft Defender dla IoT