Tworzenie poznanego punktu odniesienia alertów OT
Ten artykuł znajduje się w serii artykułów opisujących ścieżkę wdrażania monitorowania ot w usłudze Microsoft Defender dla IoT i opisano sposób tworzenia punktu odniesienia poznanego ruchu na czujniku OT.
Omówienie wieloetapowego procesu monitorowania
Czujnik sieciowy OT automatycznie monitoruje sieć po nawiązaniu połączenia z siecią i zalogowaniu się. Urządzenia sieciowe zaczynają pojawiać się w spisie urządzeń, a alerty są wyzwalane dla wszelkich zdarzeń zabezpieczeń lub operacji występujących w sieci.
Usługa Defender for IoT wykorzystuje trzy etapy procesu monitorowania, który uczy się normalnego zachowania ruchu w sieci. Te trzy etapy zapewniają dokładne wykrywanie przy jednoczesnym zmniejszeniu niepotrzebnych alertów:
Podsumowanie etapów monitorowania
| Tryb | Purpose | Wyzwalanie alertów | Wymagane są akcje użytkownika |
|---|---|---|---|
| Szkolenie | Tworzy punkt odniesienia normalnego ruchu sieciowego | Alerty złośliwego oprogramowania, alerty anomalii, alerty operacyjne, alerty naruszenia protokołu | Wyłącz ręcznie po 2–6 tygodniach lub gdy punkt odniesienia odzwierciedla dokładną aktywność sieci |
| Dynamic | Uściśli punkt odniesienia, stopniowo wprowadzając alerty naruszenia zasad, aby zapewnić dokładność i zmniejszyć szum alertów | Wprowadzono alerty naruszenia zasad | Opcjonalnie: Dostosuj ustawienia dla określonych scenariuszy (np. podczas weryfikacji koncepcji) |
| Operacyjne | Monitoruje cały ruch sieciowy ze stabilnym punktem odniesienia, wyzwalając wszystkie alerty w celu odzwierciedlenia odchyleń lub podejrzanych działań | Wszystkie typy alertów | Brak. Automatyczne przechodzenie, gdy punkt odniesienia się stabilizuje |
Tryb uczenia
Początkowo czujnik działa w trybie uczenia , aby monitorować cały ruch sieciowy i utworzyć punkt odniesienia wszystkich normalnych wzorców ruchu. Ten punkt odniesienia obejmuje wszystkie urządzenia i protokoły w sieci oraz zwykłe transfery plików, które występują między urządzeniami. Ten proces zwykle trwa od 2 do 6 tygodni, w zależności od rozmiaru sieci i złożoności. Ponadto wszystkie urządzenia odnalezione później wchodzą w tryb uczenia przez 7 dni, aby ustanowić punkt odniesienia ruchu sieciowego.
W trybie uczenia czujnik monitoruje i chroni środowisko, wyzwalając odpowiednie alerty zabezpieczeń, takie jak złośliwe oprogramowanie, anomalie i alerty operacyjne. Jednak alerty naruszenia zasad, które wskazują odchylenia od punktu odniesienia, nie są wyzwalane, gdy system jest w trybie uczenia.
Tryb dynamiczny
Po stabilnym procesie odnajdywania i ruchu sieciowego należy ręcznie wyłączyć tryb uczenia. W tym momencie czujnik przechodzi do trybu dynamicznego. W trybie dynamicznym czujnik kontynuuje monitorowanie sieci, weryfikowanie i udoskonalanie punktu odniesienia. Czujnik ocenia pojedynczo każdą kategorię alertów i scenariusz, dynamicznie zmieniając je na tryb operacyjny, gdy ich punkty odniesienia są potwierdzane jako dokładne. Alternatywnie, jeśli czujnik wykryje znaczące zmiany w ruchu, może automatycznie rozszerzyć tryb uczenia dla określonych alertów lub scenariuszy.
W trybie dynamicznym alerty naruszenia zasad są stopniowo wprowadzane i zaczynają pojawiać się w spisie alertów.
Tryb operacyjny
Gdy czujnik zidentyfikuje, że punkt odniesienia jest stabilny i ukończy automatyczne przejście do trybu operacyjnego, monitorowanie całego ruchu sieciowego i wyzwalanie wszystkich typów alertów.
Akcja Learn staje się odpowiednia po wyłączeniu trybu uczenia, gdy scenariusz przechodzi do trybu operacyjnego i chcesz oznaczyć określone operacje jako autoryzowane lub oczekiwane działanie. Po uzyskaniu wiedzy podobne działanie nie wygeneruje nowych alertów w przyszłości.
Wyłącz tryb uczenia ręcznie , gdy poziom alertów dokładnie odzwierciedla aktywność sieci.
Aby uzyskać więcej informacji, zobacz Alerty usługi Microsoft Defender dla IoT.
Wymagania wstępne
Procedury opisane w tym artykule można wykonać w witrynie Azure Portal lub w czujniku OT.
Przed rozpoczęciem upewnij się, że masz następujące elementy:
Czujnik OT zainstalowany, skonfigurowany i aktywowany z alertami wyzwalanymi przez wykryty ruch.
Dostęp do czujnika OT jako analityka zabezpieczeń lub użytkownika administratora . Aby uzyskać więcej informacji, zobacz Temat Użytkownicy i role lokalne na potrzeby monitorowania ot za pomocą usługi Defender dla IoT.
Klasyfikacja alertów
Klasyfikowanie alertów pod koniec wdrożenia w celu utworzenia początkowego punktu odniesienia dla aktywności sieciowej.
Zaloguj się do czujnika OT i wybierz stronę Alerty .
Użyj opcji sortowania i grupowania, aby najpierw wyświetlić najbardziej krytyczne alerty. Przejrzyj każdy alert, aby zaktualizować stany i poznać alerty dotyczące autoryzowanego ruchu OT.
Aby uzyskać więcej informacji, zobacz Wyświetlanie alertów i zarządzanie nimi w czujniku OT.
Następne kroki
Po wyłączeniu trybu uczenia i przejściu z trybu uczenia do trybu akcji kontynuuj każdą z następujących czynności:
- Wizualizowanie danych usługi Microsoft Defender dla IoT za pomocą skoroszytów usługi Azure Monitor
- Wyświetlanie alertów i zarządzanie nimi w witrynie Azure Portal
- Zarządzanie spisem urządzeń w witrynie Azure Portal
Integrowanie danych usługi Defender dla IoT z usługą Microsoft Sentinel w celu ujednolicenia monitorowania zabezpieczeń zespołu SOC. Aby uzyskać więcej informacji, zobacz: