Изучение и реагирование на оповещение о сети OT

В этой статье описывается, как исследовать и реагировать на оповещение сети OT в Microsoft Defender для Интернета вещей.

Вы можете быть инженером центра безопасности (SOC) с помощью Microsoft Sentinel, который видел новый инцидент в рабочей области Microsoft Sentinel и продолжается в Defender для Интернета вещей для получения дополнительных сведений о связанных устройствах и рекомендуемых шагах по исправлению.

Кроме того, вы можете быть инженером OT, наблюдающим за операционными оповещениями непосредственно в Defender для Интернета вещей. Операционные оповещения могут не быть вредоносными, но могут указывать на операционные действия, которые могут помочь в расследовании безопасности.

Необходимые компоненты

Прежде чем приступить к работе, должны быть выполнены следующие условия:

• Подписка Azure. Если вам нужно, зарегистрируйте бесплатную учетную запись.

• Подключенный к облаку датчик сети OT, подключенный к Defender для Интернета вещей, с потоковой передачей оповещений в портал Azure.

• Чтобы изучить оповещение из инцидента Microsoft Sentinel, убедитесь, что вы выполнили следующие учебники:

  • Руководство по Подключение Microsoft Defender для Интернета вещей с помощью Microsoft Sentinel
  • Руководство. Изучение и обнаружение угроз для устройств Интернета вещей

• Откроется страница сведений об оповещении, доступ к ней на странице оповещений Defender для Интернета вещей на странице сведений о портал Azure, странице сведений об устройстве Defender для Интернета вещей или инциденте Microsoft Sentinel.

Изучение оповещения из портал Azure

На странице сведений об оповещении в портал Azure начните с изменения состояния оповещения на "Активный", указывая на то, что он в настоящее время находится под следствием.

Например:

Важно!

Если вы интегрируете с Microsoft Sentinel, обязательно управляйте состоянием оповещения только из инцидента в Microsoft Sentinel. Состояния оповещений не синхронизируются из Defender для Интернета вещей в Microsoft Sentinel.

После обновления состояния проверка страницу сведений об оповещении для получения следующих сведений, чтобы помочь в расследовании:

• Сведения о исходном и целевом устройстве. Исходные и конечные устройства перечислены на вкладке сведений об оповещении, а также в области сущностей ниже, как сущности Microsoft Sentinel с собственными страницами сущностей. В области сущностей вы будете использовать ссылки в столбце "Имя", чтобы открыть соответствующие страницы сведений об устройстве для дальнейшего изучения.

• Сайт и /или зона. Эти значения помогают понять географическое и сетевое расположение оповещения и, если существуют области сети, которые в настоящее время более уязвимы для атаки.

• Тактика и методы MITRE ATT&CK . Прокрутите вниз в левой области, чтобы просмотреть все сведения о MITRE ATT&CK. Помимо описания тактики и методов, выберите ссылки на сайт MITRE ATT&CK, чтобы узнать больше о каждом из них.

• Скачайте PCAP. В верхней части страницы выберите "Скачать PCAP ", чтобы скачать необработанные файлы трафика для выбранного оповещения.

Изучение связанных оповещений на портал Azure

Найдите другие оповещения, активированные тем же исходным или целевым устройством. Корреляции между несколькими оповещениями могут указывать на то, что устройство находится под угрозой и может быть использовано.

Например, устройство, пытающееся подключиться к вредоносному IP-адресу, вместе с другим оповещением о неавторизованных изменениях программирования PLC на устройстве, может указать, что злоумышленник уже получил контроль над устройством.

Чтобы найти связанные оповещения в Defender для Интернета вещей:

1. На странице "Оповещения" выберите оповещение, чтобы просмотреть сведения справа.

2. Найдите ссылки устройства в области сущностей в области сведений справа или на странице сведений об оповещении. Выберите ссылку сущности, чтобы открыть страницу сведений о связанном устройстве как для исходного, так и для целевого устройства.

3. На странице сведений об устройстве выберите вкладку "Оповещения" , чтобы просмотреть все оповещения для этого устройства. Например:

   

Изучение сведений об оповещении на датчике OT

Датчик OT, который активировал оповещение, будет иметь дополнительные сведения, чтобы помочь в расследовании.

Чтобы продолжить исследование на датчике OT, выполните следующие действия.

1. Войдите в датчик OT в качестве пользователя средства просмотра или аналитика безопасности.

2. Выберите страницу "Оповещения" , а затем найдите оповещение, в ходе исследования. Выберите **Просмотреть дополнительные сведения, чтобы открыть страницу сведений об оповещении датчика OT. Например:

   

На странице сведений об оповещении датчика:

• Перейдите на вкладку "Представление карты", чтобы просмотреть оповещение на карте устройства датчика OT, включая все подключенные устройства.

• Перейдите на вкладку "Событие временная шкала", чтобы просмотреть полный временная шкала оповещения, включая другие связанные действия, обнаруженные датчиком OT.

• Выберите "Экспорт PDF" , чтобы скачать сводку по pdf-файлу сведений об оповещении.

Действие по исправлению

Время выполнения действий по исправлению может зависеть от серьезности оповещения. Например, для оповещений с высоким уровнем серьезности может потребоваться выполнить действия, даже прежде чем исследовать, например, если необходимо немедленно поместить в карантин область вашей сети.

Для оповещений с более низкой серьезностью или для операционных оповещений может потребоваться полностью изучить перед выполнением действий.

Чтобы устранить оповещение, используйте следующие ресурсы Defender для Интернета вещей:

• На странице сведений об оповещении на портал Azure или датчике OT перейдите на вкладку "Действие", чтобы просмотреть сведения о рекомендуемых шагах по устранению риска.

• На странице сведений об устройстве в портал Azure для исходных и целевых устройств:

  • Выберите вкладку "Уязвимости" и проверка для обнаруженных уязвимостей на каждом устройстве.

  • Выберите вкладку Рекомендации и проверка для текущих рекомендаций по безопасности для каждого устройства.

Рекомендации по безопасности и данных уязвимостей Defender для Интернета вещей могут обеспечить простые действия, которые можно предпринять для устранения рисков, таких как обновление встроенного ПО или применение исправления. Другие действия могут предпринять больше планирования.

Завершив действия по устранению рисков и готовы закрыть оповещение, обязательно обновите состояние оповещения до закрытого или уведомите команду SOC для дальнейшего управления инцидентами.

Примечание.

Если вы интегрируете Defender для Интернета вещей с Microsoft Sentinel, изменения состояния оповещения, внесенные в Defender для Интернета вещей, не обновляются в Microsoft Sentinel. Не забудьте управлять оповещениями в Microsoft Sentinel вместе с соответствующим инцидентом.

Регулярное рассмотрение оповещений

Регулярное выполнение оповещений для предотвращения усталости оповещений в сети и обеспечения своевременного просмотра и обработки важных оповещений.

Для выполнения оповещений:

1. В Defender для Интернета вещей в портал Azure перейдите на страницу "Оповещения". По умолчанию оповещения сортируются по столбцу "Последнее обнаружение " от последнего до самого старого оповещения, чтобы вы могли сначала просмотреть последние оповещения в сети.

2. Используйте другие фильтры, такие как датчик или серьезность , чтобы найти определенные оповещения.

3. Проверьте сведения об оповещении и изучите их по мере необходимости, прежде чем предпринимать какие-либо действия. Когда вы будете готовы, выполните действия на странице сведений об оповещении для определенного оповещения или на странице "Оповещения" для массовых действий.

   Например, обновите состояние оповещения или серьезность или запустите оповещение для авторизации обнаруженного трафика. Оповещений обученных данных не активируются снова, если обнаружен тот же точный трафик.

   

Для оповещений с высокой серьезностью может потребоваться немедленно выполнить действия.

Следующие шаги

Повышение уровня безопасности с помощью рекомендаций по безопасности