Udostępnij za pośrednictwem

Przekazywanie lokalnych informacji o alertach OT

  • Artykuł

Alerty usługi Microsoft Defender dla IoT zwiększają bezpieczeństwo sieci i operacje dzięki szczegółowymi informacjami o zdarzeniach zarejestrowanych w sieci w czasie rzeczywistym. Alerty OT są wyzwalane, gdy czujniki sieciowe OT wykrywają zmiany lub podejrzane działania w ruchu sieciowym, który wymaga twojej uwagi.

W tym artykule opisano sposób konfigurowania czujnika OT w celu przekazywania alertów do usług partnerskich, serwerów syslog, adresów e-mail i nie tylko. Informacje o przesłaniu dalej alertu zawierają szczegółowe informacje, takie jak:

  • Data i godzina alertu
  • Aparat, który wykrył zdarzenie
  • Tytuł alertu i komunikat opisowy
  • Ważność alertu
  • Nazwa źródła i miejsca docelowego oraz adres IP
  • Wykryto podejrzany ruch
  • Odłączone czujniki
  • Błędy tworzenia kopii zapasowej zdalnej

Uwaga

Przekazywanie reguł alertów jest uruchamiane tylko dla alertów wyzwalanych po utworzeniu reguły przekazywania. Alerty już w systemie przed utworzeniem reguły przekazywania nie mają wpływu na regułę.

Wymagania wstępne

Tworzenie reguł przesyłania dalej na czujniku OT

  1. Zaloguj się do czujnika OT i wybierz pozycję Przekazywanie w menu >po lewej stronie + Utwórz nową regułę.

  2. W okienku Dodawanie reguły przesyłania dalej wprowadź zrozumiałą nazwę reguły, a następnie zdefiniuj warunki i akcje reguły w następujący sposób:

    Nazwa/nazwisko opis
    Minimalny poziom alertu Wybierz minimalny poziom ważności alertu, który chcesz przekazać dalej.

    Jeśli na przykład wybierzesz pozycję Pomocnicza, alerty pomocnicze i alert powyżej tego poziomu ważności zostaną przekazane.
    Wykryto dowolny protokół Przełącz się, aby przekazywać alerty ze wszystkich ruchów protokołu lub przełączać się i wybierać określone protokoły, które chcesz uwzględnić.
    Ruch wykryty przez dowolny aparat Przełącz się, aby przekazywać alerty ze wszystkich aparatów analitycznych lub przełączać się i wybierać określone aparaty, które chcesz uwzględnić.
    Akcje Wybierz typ serwera, do którego chcesz przekazać alerty, a następnie zdefiniuj inne wymagane informacje dla tego typu serwera.

    Aby dodać wiele serwerów do tej samej reguły, wybierz pozycję + Dodaj serwer i dodaj więcej szczegółów.

    Aby uzyskać więcej informacji, zobacz Konfigurowanie akcji reguły przekazywania alertów.

  3. Po zakończeniu konfigurowania reguły wybierz pozycję Zapisz. Reguła jest wyświetlana na stronie Przekazywanie .

  4. Przetestuj utworzoną regułę:

    1. Wybierz menu opcji (...) dla reguły >Wyślij testowy komunikat.
    2. Przejdź do usługi docelowej, aby sprawdzić, czy odebrano informacje wysłane przez czujnik.

Edytowanie lub usuwanie reguł przesyłania dalej na czujniku OT

Aby edytować lub usunąć istniejącą regułę:

  1. Zaloguj się do czujnika OT i wybierz pozycję Przekazywanie w menu po lewej stronie.

  2. Wybierz menu opcji (...) dla reguły, a następnie wykonaj jedną z następujących czynności:

Konfigurowanie akcji reguły przekazywania alertów

W tej sekcji opisano sposób konfigurowania ustawień obsługiwanych akcji reguły przekazywania na czujnik OT.

Akcja adresu e-mail

Skonfiguruj akcję Poczta e-mail, aby przekazywać dane alertu na skonfigurowany adres e-mail.

W obszarze Akcje wprowadź następujące szczegóły:

Nazwa/nazwisko opis
Server (Serwer) Wybierz Wiadomość e-mail.
Poczta e-mail Wprowadź adres e-mail, do którego chcesz przekazać alerty. Każda reguła obsługuje jeden adres e-mail.
Strefa czasowa Wybierz strefę czasową, której chcesz użyć do wykrywania alertów w systemie docelowym.

Akcje serwera Syslog

Skonfiguruj akcję serwera Syslog, aby przekazywać dane alertów do wybranego typu serwera Syslog.

W obszarze Akcje wprowadź następujące szczegóły:

Nazwa/nazwisko opis
Server (Serwer) Wybierz jeden z następujących typów formatów dziennika systemowego:

- Serwer SYSLOG (format CEF)
- Serwer SYSLOG (format LEEF)
- Serwer SYSLOG (obiekt)
- Serwer SYSLOG (wiadomość SMS)
Port hosta / Wprowadź nazwę hosta i port serwera syslog
Strefa czasowa Wybierz strefę czasową, której chcesz użyć do wykrywania alertów w systemie docelowym.
Protokół Obsługiwane tylko w przypadku wiadomości tekstowych. Wybierz pozycję TCP lub UDP.
Włączanie szyfrowania Obsługiwane tylko w przypadku formatu CEF. Przełącz się, aby skonfigurować plik certyfikatu szyfrowania TLS, plik klucza i hasło.

W poniższych sekcjach opisano składnię danych wyjściowych dziennika systemowego dla każdego formatu.

Pola wyjściowe komunikatu tekstowego dziennika systemowego

Nazwa/nazwisko opis
Priorytet Użytkownika. Alerty
Komunikat Nazwa platformy CyberX: nazwa czujnika.
Alert usługi Microsoft Defender dla IoT: tytuł alertu.
Typ: typ alertu. Może to być naruszenie protokołu, naruszenie zasad, złośliwe oprogramowanie, anomalia lub działanie.
Ważność: ważność alertu. Może to być ostrzeżenie, pomocnicza, główna lub krytyczna.
Źródło: nazwa urządzenia źródłowego.
Źródłowy adres IP: źródłowy adres IP urządzenia.
Protokół (opcjonalnie): wykryty protokół źródłowy.
Adres (opcjonalnie): adres protokołu źródłowego.
Miejsce docelowe: nazwa urządzenia docelowego.
Docelowy adres IP: adres IP urządzenia docelowego.
Protokół (opcjonalnie): wykryty protokół docelowy.
Adres (opcjonalnie): adres protokołu docelowego.
Komunikat: komunikat alertu.
Grupa alertów: grupa alertów skojarzona z alertem.
UUID (opcjonalnie): identyfikator UUID alertu.

Pola wyjściowe obiektu syslog

Nazwa/nazwisko opis
Priorytet User.Alert
Data i godzina Data i godzina odebrania informacji przez maszynę serwera syslog.
Hostname (Nazwa hosta) Adres IP czujnika
Komunikat Nazwa czujnika: nazwa urządzenia.
Czas alertu: czas wykrycia alertu: może się różnić od czasu maszyny serwera dziennika systemu i zależy od konfiguracji strefy czasowej reguły przekazywania.
Tytuł alertu: tytuł alertu.
Komunikat alertu: komunikat alertu.
Ważność alertu: ważność alertu: Ostrzeżenie, Pomocnicza, Główna lub Krytyczna.
Typ alertu: naruszenie protokołu, naruszenie zasad, złośliwe oprogramowanie, anomalia lub działanie.
Protokół: protokół alertu.
Source_MAC: adres IP, nazwa, dostawca lub system operacyjny urządzenia źródłowego.
Destination_MAC: adres IP, nazwa, dostawca lub system operacyjny miejsca docelowego. Jeśli brakuje danych, wartość to N/A.
alert_group: grupa alertów skojarzona z alertem.

Pola wyjściowe dziennika systemu CEF

Nazwa/nazwisko opis
Priorytet User.Alert
Data i godzina Data i godzina wysłania informacji przez czujnik w formacie UTC
Hostname (Nazwa hosta) Nazwa hosta czujnika
Komunikat CEF:0
Usługa Microsoft Defender dla IoT/CyberX
Nazwa czujnika
Wersja czujnika
Alert usługi Microsoft Defender dla IoT
Tytuł alertu
Liczba całkowita wskazująca ważność. 1 = Ostrzeżenie, 4 =Drobne, 8 = Główne lub 10 = Krytyczne.
msg = komunikat alertu.
protocol = protokół alertu.
ważność = Ostrzeżenie, Pomocnicza, Główna lub Krytyczna.
type = naruszenie protokołu, naruszenie zasad, złośliwe oprogramowanie, anomalia lub działanie.
UUID= UUID alertu (opcjonalnie)
start = czas wykrycia alertu.
Może się różnić od czasu maszyny serwera syslog i zależy od konfiguracji strefy czasowej reguły przekazywania.
src_ip = adres IP urządzenia źródłowego. (Opcjonalnie)
src_mac = adres MAC urządzenia źródłowego. (Opcjonalnie)
dst_ip = adres IP urządzenia docelowego. (Opcjonalne)
dst_mac = adres MAC urządzenia docelowego. (Opcjonalne)
cat = grupa alertów skojarzona z alertem.

Pola wyjściowe leef dziennika systemowego

Nazwa/nazwisko opis
Priorytet User.Alert
Data i godzina Data i godzina wysłania informacji przez czujnik w formacie UTC
Hostname (Nazwa hosta) Adres IP czujnika
Komunikat Nazwa czujnika: nazwa urządzenia Usługi Microsoft Defender dla IoT.
LEEF:1.0
Usługa Microsoft Defender dla IoT
Czujnik
Wersja czujnika
Alert usługi Microsoft Defender dla IoT
title: tytuł alertu.
msg: komunikat alertu.
protocol: protokół alertu.
ważność: Ostrzeżenie, Pomocnicza, Główna lub Krytyczna.
typ: typ alertu: Naruszenie protokołu, Naruszenie zasad, Złośliwe oprogramowanie, Anomalia lub Operacyjna.
start: czas alertu. Może się to różnić od czasu maszyny serwera syslog i zależy od konfiguracji strefy czasowej.
src_ip: adres IP urządzenia źródłowego.
dst_ip: adres IP urządzenia docelowego.
cat: grupa alertów skojarzona z alertem.

Akcja NetWitness

Skonfiguruj akcję NetWitness, aby wysyłać informacje o alertach do serwera NetWitness.

W obszarze Akcje wprowadź następujące szczegóły:

Nazwa/nazwisko opis
Server (Serwer) Wybierz pozycję NetWitness.
Nazwa hosta/port Wprowadź nazwę hosta i port serwera NetWitness.
Strefa czasowa Wprowadź strefę czasową, której chcesz użyć w sygnaturze czasowej na potrzeby wykrywania alertów w rozwiązaniu SIEM.

Konfigurowanie reguł przekazywania dla integracji partnerów

Możesz zintegrować usługę Defender for IoT z usługą partnerską, aby wysyłać informacje o spisie alertów lub urządzeń do innego systemu zabezpieczeń lub zarządzania urządzeniami albo komunikować się z zaporami po stronie partnera.

Integracje partnerów mogą ułatwić łączenie wcześniej silosowych rozwiązań zabezpieczeń, zwiększanie widoczności urządzeń i przyspieszanie reagowania na cały system w celu szybszego ograniczania ryzyka.

W takich przypadkach użyj obsługiwanych akcji , aby wprowadzić poświadczenia i inne informacje wymagane do komunikowania się ze zintegrowanymi usługami partnerskimi.

Aby uzyskać więcej informacji, zobacz:

Konfigurowanie grup alertów w usługach partnerskich

Podczas konfigurowania reguł przekazywania w celu wysyłania danych alertów do serwerów syslog, QRadar i ArcSight grupy alertów są automatycznie stosowane i są dostępne na tych serwerach partnerskich.

Grupy alertów pomagają zespołom SOC używać tych rozwiązań partnerskich do zarządzania alertami na podstawie zasad zabezpieczeń przedsiębiorstwa i priorytetów biznesowych. Na przykład alerty dotyczące nowych wykryć są zorganizowane w grupę odnajdywania , która obejmuje wszelkie alerty dotyczące nowych urządzeń, sieci VLAN, kont użytkowników, adresów MAC i nie tylko.

Grupy alertów są wyświetlane w usługach partnerskich z następującymi prefiksami:

Prefiks Usługa partnerów
cat QRadar, ArcSight, Syslog CEF, Syslog LEEF
Alert Group Komunikaty tekstowe dziennika systemowego
alert_group Obiekty dziennika systemowego

Aby użyć grup alertów w integracji, upewnij się, że skonfigurować usługi partnerskie w celu wyświetlenia nazwy grupy alertów.

Domyślnie alerty są grupowane w następujący sposób:

  • Nietypowe zachowanie komunikacji
  • Alerty niestandardowe
  • Dostęp zdalny
  • Nietypowe zachowanie komunikacji HTTP
  • Odnajdowanie
  • Ponowne uruchamianie i zatrzymywanie poleceń
  • Uwierzytelnianie
  • Zmiana oprogramowania układowego
  • Skanuj
  • Zachowanie nieautoryzowanej komunikacji
  • Niedozwolone polecenia
  • Ruch czujnika
  • Anomalie przepustowości
  • Dostęp do Internetu
  • Podejrzenie złośliwego oprogramowania
  • Przepełnienie buforu
  • Błędy operacji
  • Podejrzenie złośliwego działania
  • Błędy poleceń
  • Problemy operacyjne
  • Zmiany konfiguracji
  • Programowanie

Aby uzyskać więcej informacji i utworzyć niestandardowe grupy alertów, skontaktuj się z pomoc techniczna firmy Microsoft.

Rozwiązywanie problemów z regułami przekazywania

Jeśli reguły alertów przesyłania dalej nie działają zgodnie z oczekiwaniami, sprawdź następujące szczegóły:

  • Weryfikacja certyfikatu. Reguły przekazywania dla formatu CEF dziennika systemowego, usługi Microsoft Sentinel i usługi QRadar obsługują szyfrowanie i walidację certyfikatu.

    Jeśli czujniki OT są skonfigurowane do weryfikowania certyfikatów i nie można zweryfikować certyfikatu, alerty nie są przekazywane.

    W takich przypadkach czujnik jest klientem sesji i inicjatorem. Certyfikaty są zwykle odbierane z serwera lub używają szyfrowania asymetrycznego, w przypadku gdy określony certyfikat jest udostępniany do skonfigurowania integracji.

Następne kroki

Alerty usługi Microsoft Defender dla IoT