Создание базовых показателей оповещений OT
Эта статья содержит одну из рядов статей, описывающих путь развертывания для мониторинга OT с помощью Microsoft Defender для Интернета вещей, и описывает, как создать базовый план обучения трафика на датчике OT.
Общие сведения о режиме обучения
Сетевой датчик OT автоматически отслеживает сеть после подключения к сети и входа. Сетевые устройства начинают отображаться в инвентаризации устройств, а оповещения активируются для любых инцидентов безопасности или операционных инцидентов, происходящих в вашей сети.
Изначально это действие происходит в режиме обучения , который предписывает датчику OT узнать обычное действие вашей сети, включая устройства и протоколы в сети, а также обычные передачи файлов между определенными устройствами. Любое регулярно обнаруженное действие становится базовым трафиком вашей сети.
Совет
Используйте время в режиме обучения, чтобы просмотреть оповещения и узнать , что вы хотите пометить как авторизованное, ожидаемое действие. Обученный трафик не создает новые оповещения при следующем обнаружении того же трафика.
После отключения режима обучения все действия, отличающиеся от базовых данных, активируют оповещение.
Дополнительные сведения см. в оповещениях Microsoft Defender для Интернета вещей.
Временная шкала режима обучения
Создание базовых показателей оповещений OT может занять от нескольких дней до нескольких недель в зависимости от размера сети и сложности. Рекомендуется вручную изменить режим обучения на динамический режим, когда ежедневное количество оповещений уменьшается до управляемого уровня. В динамическом режиме Defender для Интернета вещей продолжает отслеживать сеть для подозрительного трафика, активировать оповещения, а также автоматически перемещать категорию оповещений в рабочий режим, если это оповещение не активируется в течение определенного периода времени.
В рабочем режиме все созданные оповещения перечислены в инвентаризации и должны быть исправлены, выполнив действия, перечисленные в области сведений об оповещении. Если оповещение было активировано безопасным сетевым трафиком, вам потребуется использовать кнопку Learn , чтобы добавить этот трафик в базовый список, чтобы датчик не вызвал оповещение для этого в будущем.
Отключите режим обучения вручную , когда уровень оповещений точно отражает сетевое действие.
Необходимые компоненты
Процедуры, описанные в этой статье, можно выполнить из портал Azure или датчика OT.
Прежде чем приступить к работе, должны быть выполнены следующие условия:
Датчик OT установлен, настроен и активирован с оповещениями, которые активируются обнаруженным трафиком.
Доступ к датчику OT в качестве аналитика безопасности или пользователя администратора . Дополнительные сведения см. в разделе локальных пользователей и ролей для мониторинга OT с помощью Defender для Интернета вещей.
Оповещения о триаже
Оповещения триажа к концу развертывания, чтобы создать начальный базовый план для сетевого действия.
Войдите в датчик OT и выберите страницу "Оповещения ".
Используйте параметры сортировки и группировки для просмотра наиболее критически важных оповещений. Просмотрите каждое оповещение, чтобы обновить состояния и узнать оповещения об авторизованном трафике OT.
Дополнительные сведения см. в разделе "Просмотр оповещений" и управление ими на датчике OT.
Следующие шаги
После отключения режима обучения вы перешли из режима обучения в режим работы . Продолжайте использовать любой из следующих элементов:
- Визуализация данных Microsoft Defender для Интернета вещей с помощью книг Azure Monitor
- Просмотр оповещений и управление ими на портале Azure
- Просмотр сведений об инвентаризации устройств на портале Azure
Интеграция данных Defender для Интернета вещей с Microsoft Sentinel для объединения мониторинга безопасности команды SOC. Дополнительные сведения см. в разделе: