Samouczek: badanie i wykrywanie zagrożeń dla urządzeń IoT

Integracja usługi Microsoft Defender dla IoT i Microsoft Sentinel umożliwia zespołom SOC efektywne i efektywne wykrywanie zagrożeń bezpieczeństwa w sieci i reagowanie na nie. Zwiększ możliwości zabezpieczeń dzięki rozwiązaniu Microsoft Defender for IoT, zestawu zawartości powiązanej specjalnie dla danych usługi Defender dla IoT, które obejmują reguły analizy, skoroszyty i podręczniki.

W tym samouczku nauczysz się następujących rzeczy:

• Instalowanie rozwiązania Microsoft Defender for IoT w obszarze roboczym usługi Microsoft Sentinel
• Dowiedz się, jak badać alerty usługi Defender dla IoT w incydentach w usłudze Microsoft Sentinel
• Dowiedz się więcej o regułach analizy, skoroszytach i podręcznikach wdrożonych w obszarze roboczym usługi Microsoft Sentinel za pomocą rozwiązania Microsoft Defender for IoT

Ważne

Środowisko centrum zawartości usługi Microsoft Sentinel jest obecnie dostępne w preview, podobnie jak rozwiązanie Microsoft Defender for IoT. Zobacz Dodatkowe warunki użytkowania dla wersji zapoznawczych platformy Microsoft Azure, aby uzyskać dodatkowe postanowienia prawne dotyczące funkcji platformy Azure, które są w wersji beta, wersji zapoznawczej lub w inny sposób nie zostały jeszcze wydane w wersji ogólnodostępnej.

Wymagania wstępne

Przed rozpoczęciem upewnij się, że masz następujące elementy:

• Uprawnienia do odczytu i zapisu w obszarze roboczym usługi Microsoft Sentinel. Aby uzyskać więcej informacji, zobacz Uprawnienia w usłudze Microsoft Sentinel.

• Ukończono samouczek: łączenie usługi Microsoft Defender dla IoT z usługą Microsoft Sentinel.

Instalowanie rozwiązania Defender for IoT

Rozwiązania usługi Microsoft Sentinel mogą ułatwić dołączanie zawartości zabezpieczeń usługi Microsoft Sentinel dla określonego łącznika danych przy użyciu jednego procesu.

Rozwiązanie Microsoft Defender for IoT integruje dane usługi Defender for IoT z możliwościami orkiestracji zabezpieczeń, automatyzacji i reakcji (SOAR) usługi Microsoft Sentinel, oferując gotowe do użycia i zoptymalizowane scenariusze działań dla zautomatyzowanego reagowania i zapobiegania.

Aby zainstalować rozwiązanie:

1. W usłudze Microsoft Sentinel w obszarze Zarządzanie zawartościąwybierz pozycję Centrum zawartości, a następnie znajdź rozwiązanie Microsoft Defender for IoT.

2. W prawym dolnym rogu wybierz pozycję Wyświetl szczegóły, a następnie pozycję Utwórz. Wybierz subskrypcję, grupę zasobów i obszar roboczy, w którym chcesz zainstalować rozwiązanie, a następnie przejrzyj powiązaną zawartość zabezpieczeń, która zostanie wdrożona.

3. Po zakończeniu wybierz pozycję Przejrzyj i utwórz , aby zainstalować rozwiązanie.

Aby uzyskać więcej informacji, zobacz Informacje o zawartości i rozwiązaniach usługi Microsoft Sentinel oraz Centralne odnajdywanie i wdrażanie gotowej zawartości i rozwiązań.

Wykrywanie zagrożeń poza urządzeniem przy użyciu danych usługi Defender dla IoT

Łącznik danych usługi Microsoft Defender for IoT zawiera domyślną regułę Microsoft Security o nazwie Create incidents based on Azure Defender for IOT alerts (Tworzenie zdarzeń w oparciu o alerty usługi Azure Defender for IoT), która automatycznie tworzy nowe zdarzenia dla wszystkich wykrytych alertów usługi Defender for IoT.

Rozwiązanie Microsoft Defender dla IoT zawiera bardziej szczegółowy zestaw wbudowanych reguł analizy, które są tworzone specjalnie dla danych usługi Defender for IoT i dostrajają zdarzenia utworzone w usłudze Microsoft Sentinel pod kątem odpowiednich alertów.

Aby skorzystać z gotowych alertów Defender dla IoT:

1. Na stronie Microsoft Sentinel Analytics wyszukaj i wyłącz regułę tworzenia incydentów na podstawie alertów z usługi Azure Defender for IOT. Ten krok uniemożliwia tworzenie zduplikowanych zdarzeń w usłudze Microsoft Sentinel dla tych samych alertów.

2. Wyszukaj i włącz dowolną z następujących wbudowanych reguł analizy zainstalowanych przy użyciu rozwiązania Microsoft Defender for IoT:

   Nazwa reguły	Opis
   Niedozwolone kody funkcji dla ruchu ICS/SCADA	Nielegalne kody funkcji w sprzęcie kontroli nadzoru i pozyskiwania danych (SCADA) mogą wskazywać na jedną z następujących sytuacji: — Niewłaściwa konfiguracja aplikacji, na przykład ze względu na aktualizację oprogramowania układowego lub ponowną instalację. - Złośliwe działanie. Na przykład zagrożenie cybernetyczne, które próbuje użyć nielegalnych wartości w protokole w celu wykorzystania luki w zabezpieczeniach programowalnego kontrolera logiki (PLC), takiego jak przepełnienie buforu.
   Aktualizacja oprogramowania układowego	Nieautoryzowane aktualizacje oprogramowania układowego mogą wskazywać na złośliwe działanie w sieci, takie jak zagrożenie cybernetyczne, które próbuje manipulować oprogramowaniem układowym PLC w celu naruszenia funkcji PLC.
   Zmiany nieautoryzowanego sterownika PLC	Nieautoryzowane zmiany kodu logiki drabiny PLC mogą być jednym z następujących elementów: - Wskazanie nowych funkcji w PLC. — Niewłaściwa konfiguracja aplikacji, na przykład ze względu na aktualizację oprogramowania układowego lub ponowną instalację. - Złośliwe działanie w sieci, takie jak zagrożenie cybernetyczne, które próbuje manipulować programowaniem PLC w celu naruszenia funkcji PLC.
   PLC niezabezpieczony stan klucza	Nowy tryb może wskazywać, że sterownik PLC nie jest bezpieczny. Pozostawienie sterownika PLC w niezabezpieczonym trybie operacyjnym może umożliwić przeciwnikom wykonywanie na nim złośliwych działań, takich jak pobieranie programu. W przypadku naruszenia zabezpieczeń sterownika PLC urządzenia i procesy, które z nim współpracują, mogą być dotknięte. które mogą mieć wpływ na ogólne zabezpieczenia i bezpieczeństwo systemu.
   Zatrzymanie PLC	Polecenie zatrzymania sterownika PLC może wskazywać niewłaściwą konfigurację aplikacji, która spowodowała, że sterownik PLC przestał działać lub złośliwy ruch w sieci. Na przykład zagrożenie cybernetyczne, które próbuje manipulować programowaniem PLC, aby wpłynąć na funkcjonalność sieci.
   wykryte podejrzane złośliwe oprogramowanie w sieci	Podejrzane złośliwe oprogramowanie wykryte w sieci wskazuje, że podejrzane złośliwe oprogramowanie próbuje naruszyć bezpieczeństwo środowiska produkcyjnego.
   wiele skanowań w sieci	Wiele skanowań w sieci może wskazywać na jedną z następujących czynności: - Nowe urządzenie w sieci - Nowe funkcje istniejącego urządzenia — Błędna konfiguracja aplikacji, na przykład ze względu na aktualizację oprogramowania układowego lub ponowną instalację - Złośliwe działanie w sieci na potrzeby rekonesansu
   Łączność z Internetem	Urządzenie OT komunikujące się z adresami internetowymi może wskazywać na niewłaściwą konfigurację aplikacji, taką jak oprogramowanie antywirusowe próbujące pobrać aktualizacje z serwera zewnętrznego lub złośliwe działanie w sieci.
   Nieautoryzowane urządzenie w sieci SCADA	Nieautoryzowane urządzenie w sieci może być legalnym, nowym urządzeniem niedawno zainstalowanym w sieci lub wskazaniem nieautoryzowanej lub nawet złośliwej aktywności w sieci, takiej jak cyberbezpieczeństwo próbujące manipulować siecią SCADA.
   Konfiguracja nieautoryzowanego protokołu DHCP w sieci SCADA	Nieautoryzowana konfiguracja DHCP w sieci może wskazywać na nowe, nieautoryzowane urządzenie działające w sieci. Może to być uzasadnione, nowe urządzenie niedawno wdrożone w sieci lub wskazanie nieautoryzowanej lub nawet złośliwej aktywności w sieci, takich jak cyberbezpieczeństwo próbujące manipulować siecią SCADA.
   Nadmierne próby logowania	Nadmierne próby logowania mogą wskazywać na niewłaściwą konfigurację usługi, błąd ludzki lub złośliwe działanie w sieci, takie jak cyberbezpieczeństwo próbujące manipulować siecią SCADA.
   wysoka przepustowość w sieci	Niezwykle wysoka przepustowość może wskazywać na nową usługę/proces w sieci, na przykład tworzenie kopii zapasowej lub wskazanie złośliwej aktywności w sieci, na przykład cyberbezpieczeństwo próbujące manipulować siecią SCADA.
   odmowa usługi	Ten alert wykrywa ataki, które uniemożliwiają użycie lub właściwą operację systemu DCS.
   Nieautoryzowany dostęp zdalny do sieci	Nieautoryzowany dostęp zdalny do sieci może naruszyć bezpieczeństwo urządzenia docelowego. Oznacza to, że jeśli inne urządzenie w sieci zostanie naruszone, dostęp do urządzeń docelowych można uzyskać zdalnie, zwiększając obszar ataków.
   Nie wykryto żadnego ruchu w czujniku	Czujnik, który nie wykrywa już ruchu sieciowego, wskazuje, że system może być niepewny.

Badanie zdarzeń usługi Defender dla IoT

Po skonfigurowaniu danych usługi Defender dla IoT w celu wyzwolenia nowych incydentów w usłudze Microsoft Sentinel, zacznij badać te incydenty w usłudze Microsoft Sentinel , tak jak w przypadku innych incydentów.

Aby zbadać zdarzenia usługi Microsoft Defender dla IoT:

1. Przejdź do strony Incydenty w usłudze Microsoft Sentinel.

2. Powyżej siatki incydentów wybierz filtr nazwę produktu i odznacz opcję wybierz wszystkie. Następnie wybierz pozycję Microsoft Defender dla IoT, aby wyświetlić tylko zdarzenia wyzwalane przez alerty usługi Defender dla IoT. Na przykład:

   

3. Wybierz określone zdarzenie, aby rozpocząć badanie.

   W okienku szczegółów zdarzenia po prawej stronie wyświetl szczegóły, takie jak ważność zdarzenia, podsumowanie zaangażowanych jednostek, wszelkie mapowane MITRE ATT&taktyki lub techniki CK i nie tylko. Na przykład:

   

4. Wybierz pozycję Wyświetl pełne szczegóły, aby otworzyć stronę szczegółów zdarzenia, gdzie możesz uzyskać dostęp do jeszcze bardziej szczegółowych informacji. Na przykład:

   • Poznaj wpływ biznesowy zdarzenia i lokalizację fizyczną przy użyciu szczegółów, takich jak lokacja, strefa, nazwa czujnika i ważność urządzenia IoT.

   • Dowiedz się więcej o zalecanych krokach naprawczych, wybierając alert na osi czasu zdarzenia i przechodząc do obszaru Kroki naprawcze.

   • Wybierz jednostkę IoT z listy jednostek , aby otworzyć stronę jednostki urządzenia . Aby uzyskać więcej informacji, zapoznaj się z , aby dowiedzieć się więcej o dalszym badaniu jednostek urządzeń IoT.

Aby uzyskać więcej informacji, zobacz Badanie zdarzeń za pomocą usługi Microsoft Sentinel.

Wskazówka

Aby zbadać incydent w usłudze Defender dla IoT, wybierz link Zbadaj w usłudze Microsoft Defender dla IoT w górnej części okienka szczegółów incydentu na stronie Incidents.

Dalsze badanie jednostek urządzeń IoT

Po zbadaniu zdarzenia w usłudze Microsoft Sentinel i otwarciu okienka szczegółów zdarzenia po prawej stronie wybierz jednostkę urządzenia IoT z listy jednostek , aby wyświetlić więcej szczegółów dotyczących wybranej jednostki. Identyfikowanie urządzenia IoT przez ikonę urządzenia IoT:

Jeśli jednostka urządzenia IoT nie jest widoczna od razu, wybierz pozycję Wyświetl pełne szczegóły, aby otworzyć pełną stronę zdarzenia, a następnie sprawdź kartę Jednostki . Wybierz jednostkę urządzenia IoT, aby wyświetlić więcej danych jednostki, takich jak podstawowe szczegóły urządzenia, informacje kontaktowe właściciela i oś czasu zdarzeń, które wystąpiły na urządzeniu.

Aby jeszcze bardziej wejść w szczegóły, wybierz link jednostki urządzenia IoT i otwórz stronę szczegółów tej jednostki, lub wyszukaj urządzenia podatne na zagrożenia na stronie zachowania jednostki na platformie Microsoft Sentinel . Na przykład wyświetl pięć pierwszych urządzeń IoT z największą liczbą alertów lub wyszukaj urządzenie według adresu IP lub nazwy urządzenia:

Aby uzyskać więcej informacji, zobacz Badanie jednostek za pomocą stron jednostek w usłudze Microsoft Sentinel i Badanie zdarzeń za pomocą usługi Microsoft Sentinel.

Badanie alertu w usłudze Defender dla IoT

Aby otworzyć alert w usłudze Defender dla IoT do dalszej analizy, w tym możliwość dostępu do danych PCAP, przejdź do strony szczegółów zdarzenia i wybierz opcję Zbadaj w usłudze Microsoft Defender dla IoT. Na przykład:

Otworzy się strona szczegółów alertu Defender dla IoT, dotycząca powiązanego alertu. Aby uzyskać więcej informacji, zobacz Zbadaj alert sieciowy OT i odpowiedz na niego.

Wizualizowanie i monitorowanie danych usługi Defender dla IoT

Aby wizualizować i monitorować dane usługi Defender dla IoT, użyj skoroszytów wdrożonych w obszarze roboczym usługi Microsoft Sentinel w ramach rozwiązania Microsoft Defender for IoT.

Skoroszyty Defenders for IoT udostępniają prowadzone badania dla podmiotów OT na podstawie otwartych zdarzeń, powiadomień o alertach i działań dotyczących zasobów OT. Zapewniają one również doświadczenie w tropieniu zagrożeń w całej strukturze MITRE ATT&CK® dla ICS i zostały zaprojektowane tak, aby umożliwić analitykom, inżynierom ds. zabezpieczeń i specjalistom MSSP uzyskanie świadomości sytuacyjnej postawy bezpieczeństwa OT.

Wyświetl skoroszyty w usłudze Microsoft Sentinel na karcie Zarządzanie zagrożeniami > Skoroszyty > Moje skoroszyty. Aby uzyskać więcej informacji, zobacz Wizualizuj zebrane dane.

W poniższej tabeli opisano skoroszyty zawarte w rozwiązaniu Microsoft Defender for IoT:

Zeszyt	Opis	Dzienniki
Przegląd	Pulpit nawigacyjny przedstawiający podsumowanie kluczowych metryk spisu urządzeń, wykrywania zagrożeń i luk w zabezpieczeniach.	Używa danych z usługi Azure Resource Graph (ARG)
Spis urządzeń	Wyświetla dane, takie jak: nazwa urządzenia OT, typ, adres IP, adres Mac, model, system operacyjny, numer seryjny, dostawca, protokoły, otwarte alerty i CVE oraz zalecenia dla każdego urządzenia. Można filtrować według lokacji, strefy i czujnika.	Używa danych z usługi Azure Resource Graph (ARG)
Incydenty	Wyświetla dane, takie jak: — Metryki zdarzeń, najważniejsze zdarzenia, zdarzenie w czasie, zdarzenie według protokołu, zdarzenie według typu urządzenia, zdarzenie według dostawcy i zdarzenie według adresu IP. — Zdarzenie według stopnia ważności, średni czas reagowania na zdarzenie, średni czas rozwiązania zdarzenia oraz powody zamknięcia zdarzenia.	Używa danych z następującego dziennika: SecurityAlert
Alerty	Wyświetla dane, takie jak: Metryki alertów, Najważniejsze alerty, Alerty w czasie, Alerty według ważności, Alerty według silnika, Alerty według typu urządzenia, Alerty według dostawcy i Alerty według adresu IP.	Używa danych z usługi Azure Resource Graph (ARG)
MITRE ATT&CK® for ICS	Wyświetla dane, takie jak Liczba taktyki, Szczegóły taktyki, Taktyka w czasie, Liczba technik.	Używa danych z następującego dziennika: SecurityAlert
Luki w zabezpieczeniach	Wyświetla luki w zabezpieczeniach i CVE dla urządzeń narażonych na zagrożenia. Można filtrować według witryny urządzenia i poziomu ważności CVE.	Używa danych z usługi Azure Resource Graph (ARG)

Automatyzowanie reagowania na alerty usługi Defender dla IoT

Playbooki to kolekcje zautomatyzowanych działań naprawczych, które mogą być uruchamiane z usługi Microsoft Sentinel jako rutynowe zadania. Podręcznik może pomóc zautomatyzować i zorganizować reakcję na zagrożenia; Można ją uruchomić ręcznie lub ustawić tak, aby była uruchamiana automatycznie w odpowiedzi na określone alerty lub zdarzenia, odpowiednio wyzwolone przez regułę analizy lub regułę automatyzacji.

Rozwiązanie Microsoft Defender dla IoT zawiera gotowe do użytku scenariusze, które zapewniają następujące funkcje:

• Automatycznie zamykaj incydenty
• Wysyłaj powiadomienia e-mail według linii produkcyjnej
• Tworzenie nowego biletu usługi ServiceNow
• aktualizowanie stanów alertów w usłudze Defender dla IoT
• Automatyzowanie przepływów pracy dla zdarzeń przy użyciu aktywnych CVEs
• Wyślij wiadomość e-mail do właściciela urządzenia IoT/OT
• Sortowanie zdarzeń obejmujących bardzo ważne urządzenia

Przed użyciem wbudowanych podręczników upewnij się, że należy wykonać kroki wymagań wstępnych wymienionych poniżej.

Aby uzyskać więcej informacji, zobacz:

• Samouczek: korzystanie z playbooków z regułami automatyzacji w usłudze Microsoft Sentinel
• Automatyzowanie reagowania na zagrożenia za pomocą podręczników w usłudze Microsoft Sentinel

Wymagania wstępne dotyczące podręcznika

Przed użyciem wbudowanych podręczników upewnij się, że spełnisz następujące wymagania wstępne, zgodnie z potrzebami dla każdego podręcznika:

• Upewnij się, że połączenia skryptu są prawidłowe
• Dodaj wymaganą rolę do subskrypcji
• Połącz zdarzenia, odpowiednie reguły analizy i podręcznik

Upewnij się, że prawidłowe są połączenia scenariusza.

Ta procedura pomaga zapewnić, że każdy etap połączenia w scenariuszu ma prawidłowe połączenia i jest niezbędny dla wszystkich scenariuszy rozwiązań.

Aby upewnić się, że prawidłowe połączenia:

1. W usłudze Microsoft Sentinel otwórz playbook z Automation>Active Playbooks.

2. Wybierz podręcznik, aby otworzyć go jako aplikację logiki.

3. Po otwarciu podręcznika jako aplikacji logiki wybierz pozycję Projektant aplikacji logiki. Rozwiń każdy krok w aplikacji logiki, aby sprawdzić nieprawidłowe połączenia, które są wskazywane przez pomarańczowy trójkąt ostrzegawczy. Na przykład:

   

   Ważne

   Upewnij się, że rozwiniesz wszystkie kroki w aplikacji logicznej. Nieprawidłowe połączenia mogą ukrywać się wewnątrz innych kroków.

4. Wybierz Zapisz.

Dodawanie wymaganej roli do subskrypcji

W tej procedurze opisano sposób dodawania wymaganej roli do subskrypcji platformy Azure, w której jest zainstalowany podręcznik i jest wymagany tylko dla następujących podręczników:

• AD4IoT-AutoAlertStatusSync
• AD4IoT-CVEAutoWorkflow
• AD4IoT-SendEmailtoIoTOwner
• AD4IoT-AutoTriageIncident

Wymagane role różnią się w zależności od podręcznika, ale kroki pozostają takie same.

Aby dodać wymaganą rolę do subskrypcji:

1. W usłudze Microsoft Sentinel otwórz playbook z sekcji Automation>Active playbooks.

2. Wybierz podręcznik, aby otworzyć go jako aplikację logiki.

3. Po otwarciu podręcznika jako aplikacji Logic wybierz pozycję Tożsamość > Systemowo przypisany, a następnie w sekcji Uprawnienia kliknij przycisk Przypisania ról w Azure.

4. Na stronie przypisań ról platformy Azure wybierz pozycję Dodaj przypisanie roli.

5. W okienku Dodaj przypisanie roli:

   1. Zdefiniuj zakres jako subskrypcję.

   2. Z listy rozwijanej wybierz Subskrypcja, w której jest zainstalowany podręcznik.

   3. Z listy rozwijanej Rola wybierz jedną z następujących ról, w zależności od podręcznika, z którym pracujesz:

      Nazwa podręcznika	Rola
      AD4IoT-AutoAlertStatusSync	Administrator zabezpieczeń
      AD4IoT-CVEAutoWorkflow	Czytelnik
      AD4IoT-SendEmailtoIoTOwner	Czytelnik
      AD4IoT-AutoTriageIncident	Czytelnik

6. Po zakończeniu wybierz opcję Zapisz.

Połącz swoje zdarzenia, odpowiednie reguły analizy i podręcznik

W tej procedurze opisano sposób konfigurowania reguły analitycznej usługi Microsoft Sentinel, aby automatycznie uruchamiać skrypty na podstawie wyzwalacza incydentu, co jest wymagane dla wszystkich skryptów rozwiązania.

Aby dodać regułę analizy:

1. W usłudze Microsoft Sentinel przejdź do Automatyzacja>Reguły automatyzacji.

2. Aby utworzyć nową regułę automatyzacji, wybierz Utwórz>regułę automatyzacji.

3. W polu wyzwalacza wybierz jeden z następujących wyzwalaczy, w zależności od planu postępowania, z którym pracujesz.

   • Podręcznik AD4IoT-AutoAlertStatusSync: wybierz wyzwalacz Po zaktualizowaniu incydentu
   • Wszystkie inne podręczniki rozwiązań: wybierz Po utworzeniu zdarzenia wyzwalacza

4. W obszarze warunków wybierz opcję Jeśli > nazwa reguły analitycznej > Zawiera, a następnie wybierz określone reguły analizy dotyczące Defender for IoT w organizacji.

   Na przykład:

   

   Możesz używać wbudowanych reguł analizy, zmodyfikować domyślną zawartość lub utworzyć własną. Aby uzyskać więcej informacji, zobacz Wykrywaj zagrożenia prosto z pudełka za pomocą danych Defender dla IoT.

5. W obszarze Actions wybierz pozycję Uruchom podręcznik>nazwa podręcznika.

6. Wybierz Uruchom.

Wskazówka

Możesz również ręcznie uruchomić podręcznik na żądanie. Może to być przydatne w sytuacjach, w których chcesz mieć większą kontrolę nad procesami orkiestracji i odpowiedzi. Aby uzyskać więcej informacji, zobacz Uruchom podręcznik na żądanie.

Automatyczne zamykanie incydentów

nazwa podręcznika: AD4IoT-AutoCloseIncidents

W niektórych przypadkach działania konserwacyjne generują alerty w usłudze Microsoft Sentinel, które mogą rozpraszać zespół SOC od obsługi rzeczywistych problemów. Procedura automatycznie zamyka zdarzenia utworzone na podstawie takich alertów w określonym przedziale czasu konserwacji, jawnie parsuje pola związane z jednostką urządzenia IoT.

Aby użyć tego podręcznika:

• Wprowadź odpowiedni okres, w jakim ma nastąpić konserwacja, oraz adresy IP odpowiednich zasobów, takich jak wymienione w pliku programu Excel.
• Utwórz listę obserwowanych zawierającą wszystkie adresy IP elementów zawartości, dla których alerty powinny być obsługiwane automatycznie.

Wysyłanie powiadomień e-mail według linii produkcyjnej

nazwa podręcznika: AD4IoT-MailByProductionLine

Ten plan działania wysyła e-maile, aby powiadomić konkretnych interesariuszy o alertach i zdarzeniach występujących w środowisku.

Jeśli na przykład masz określone zespoły ds. zabezpieczeń przypisane do określonych linii produktów lub lokalizacji geograficznych, chcesz, aby ten zespół był powiadamiany o alertach istotnych dla ich obowiązków.

Aby użyć tego podręcznika, utwórz listę obserwowanych, która powiązuje nazwy czujników i adresy wysyłkowe każdego z interesariuszy, których chcesz powiadomić.

Tworzenie nowego biletu usługi ServiceNow

nazwa podręcznika: AD4IoT-NewAssetServiceNowTicket

Zazwyczaj jednostka upoważniona do programowania PLC jest stacją roboczą inżynieryjną. W związku z tym osoby atakujące mogą tworzyć nowe stacje robocze inżynieryjne w celu utworzenia złośliwego programowania PLC.

Ten playbook otwiera zgłoszenie w usłudze ServiceNow za każdym razem, gdy wykryta zostanie nowa stacja robocza inżynieryjna, analizując jawnie pola jednostki urządzenia IoT.

Aktualizowanie stanów alertów w usłudze Defender dla IoT

nazwa podręcznika: AD4IoT-AutoAlertStatusSync

Ten skrypt aktualizuje stany alertów w usłudze Defender dla IoT za każdym razem, gdy powiązany alert w usłudze Microsoft Sentinel ma aktualizację stanu .

Ta synchronizacja zastępuje wszystkie stany zdefiniowane w usłudze Defender dla IoT w witrynie Azure Portal lub konsoli czujnika, tak aby stan alertu był zgodny z stanem powiązanego zdarzenia.

Automatyzacja przepływów pracy dla incydentów z aktywnymi CVEs

nazwa podręcznika: AD4IoT-CVEAutoWorkflow

Ten podręcznik dodaje aktywne CVEs do komentarzy dotyczących zdarzeń urządzeń, których dotyczy problem. Automatyczna klasyfikacja jest wykonywana, jeśli CVE jest krytyczna, a powiadomienie e-mail jest wysyłane do właściciela urządzenia, jak zdefiniowano na poziomie lokalizacji w usłudze Defender dla IoT.

Aby dodać właściciela urządzenia, edytuj właściciela witryny na stronie Witryny i czujniki w usłudze Defender for IoT. Aby uzyskać więcej informacji, zobacz Opcje zarządzania lokacjami w witrynie Azure Portal.

Wysyłanie wiadomości e-mail do właściciela urządzenia IoT/OT

nazwa podręcznika: AD4IoT-SendEmailtoIoTOwner

Ten podręcznik wysyła wiadomość e-mail ze szczegółami zdarzenia do właściciela urządzenia zgodnie z definicją na poziomie witryny w usłudze Defender dla IoT, aby umożliwić im rozpoczęcie badania, nawet odpowiadanie bezpośrednio z automatycznej poczty e-mail. Opcje odpowiedzi obejmują:

• Tak jest to oczekiwane. Wybierz tę opcję, aby zamknąć zdarzenie.

• Nie jest to oczekiwane. Wybierz tę opcję, aby pozostawić incydent aktywnym, zwiększyć stopień zagrożenia i dodać tag potwierdzenia do incydentu.

Zdarzenie jest automatycznie aktualizowane na podstawie odpowiedzi wybranej przez właściciela urządzenia.

Aby dodać właściciela urządzenia, edytuj właściciela witryny na stronie Witryny i czujniki w usłudze Defender for IoT. Aby uzyskać więcej informacji, zobacz Opcje zarządzania lokacjami w witrynie Azure Portal.

Priorytetyzacja incydentów dotyczących bardzo ważnych urządzeń

nazwa podręcznika: AD4IoT-AutoTriageIncident

Ten podręcznik aktualizuje ważność zdarzenia zgodnie z poziomem ważności zaangażowanych urządzeń.

Następne kroki

Wizualizowanie danych

Tworzenie niestandardowych reguł analizy

Badanie zdarzeń

Badanie podmiotów

Używanie podręczników z regułami automatyzacji

Aby uzyskać więcej informacji, zobacz nasz blog: Ochrona infrastruktury krytycznej za pomocą rozwiązania Microsoft Sentinel: IT/OT Threat Monitoring Solution