Tworzenie poznanej linii bazowej alertów OT

Ten artykuł jest jednym z serii artykułów opisujących ścieżkę wdrażania monitorowania OT z Microsoft Defender dla IoT i opisuje sposób tworzenia punktu odniesienia nauczonego ruchu na czujniku OT.

Omówienie trybu uczenia

Czujnik sieci OT automatycznie monitoruje sieć po nawiązaniu połączenia z siecią i zalogowaniu się. Urządzenia sieciowe zaczynają pojawiać się w spisie urządzeń, a alerty są wyzwalane dla wszelkich zdarzeń zabezpieczeń lub operacji występujących w sieci.

Początkowo to działanie odbywa się w trybie uczenia , co nakazuje czujnikowi OT poznanie zwykłej aktywności sieci, w tym urządzeń i protokołów w sieci oraz regularnych transferów plików występujących między określonymi urządzeniami. Wszelkie regularnie wykrywane działania stają się ruchem bazowym sieci.

Porada

Użyj czasu w trybie nauki, aby sklasyfikować alerty i Dowiedz się , które chcesz oznaczyć jako autoryzowane, oczekiwane działanie. Poznany ruch nie generuje nowych alertów przy następnym wykryciu tego samego ruchu.

Po wyłączeniu trybu uczenia wszystkie działania, które różnią się od danych punktu odniesienia, będą wyzwalać alert.

Aby uzyskać więcej informacji, zobacz Microsoft Defender dla alertów IoT.

Oś czasu trybu nauki

Tworzenie planu bazowego alertów OT może potrwać od kilku dni do kilku tygodni, w zależności od rozmiaru sieci i złożoności. Tryb uczenia automatycznie wyłącza się, gdy czujnik wykryje spadek nowo wykrytego ruchu, który zazwyczaj występuje od 2 do 6 tygodni po wdrożeniu.

Wyłącz tryb uczenia ręcznie przed tym , jeśli uważasz, że bieżące alerty dokładnie odzwierciedlają aktywność sieci.

Wymagania wstępne

Procedury opisane w tym artykule można wykonać z poziomu Azure Portal, czujnika OT lub lokalnej konsoli zarządzania.

Przed rozpoczęciem upewnij się, że masz następujące elementy:

• Czujnik OT zainstalowany, skonfigurowany i aktywowany z alertami wyzwalanymi przez wykryty ruch.

• Dostęp do czujnika OT jako analityka zabezpieczeń lub użytkownika Administracja. Aby uzyskać więcej informacji, zobacz Lokalne użytkowników i role monitorowania ot za pomocą usługi Defender for IoT.

Klasyfikacja alertów

Klasyfikowanie alertów pod koniec wdrożenia w celu utworzenia początkowej linii bazowej dla działania sieci.

1. Zaloguj się do czujnika OT i wybierz stronę Alerty .

2. Użyj opcji sortowania i grupowania, aby najpierw wyświetlić najbardziej krytyczne alerty. Przejrzyj każdy alert, aby zaktualizować stany i dowiedzieć się więcej o alertach dotyczących autoryzowanego ruchu OT.

Aby uzyskać więcej informacji, zobacz Wyświetlanie alertów i zarządzanie nimi w czujniku OT.

Następne kroki

« Weryfikowanie i aktualizowanie wykrytego spisu urządzeń

Po wyłączeniu trybu nauki przeniesiono z trybu uczenia do trybu operacyjnego . Kontynuuj pracę z dowolną z następujących czynności:

• Wizualizowanie Microsoft Defender danych IoT za pomocą skoroszytów usługi Azure Monitor
• Wyświetlanie alertów z Azure Portal i zarządzanie nimi
• Zarządzanie spisem urządzeń z Azure Portal

Integracja danych usługi Defender for IoT z usługą Microsoft Sentinel w celu ujednolicenia monitorowania zabezpieczeń zespołu SOC. Aby uzyskać więcej informacji, zobacz:

• Samouczek: łączenie Microsoft Defender dla IoT za pomocą usługi Microsoft Sentinel
• Samouczek: badanie i wykrywanie zagrożeń dla urządzeń IoT