Создание базовых показателей оповещений OT
Эта статья содержит одну из рядов статей, описывающих путь развертывания для мониторинга OT с помощью Microsoft Defender для Интернета вещей, и описывает, как создать базовый план обучения трафика на датчике OT.
Обзор процесса мониторинга с несколькими этапами
Сетевой датчик OT автоматически отслеживает сеть после подключения к сети и входа. Сетевые устройства начинают отображаться в инвентаризации устройств, а оповещения активируются для любых инцидентов безопасности или операционных инцидентов, происходящих в вашей сети.
Defender для Интернета вещей использует три этапа мониторинга, который изучает нормальное поведение трафика вашей сети. Эти три этапа обеспечивают точное обнаружение при снижении ненужных оповещений:
Сводка этапов мониторинга
| Режим | Характер использования | Активация оповещений | Необходимые действия пользователя |
|---|---|---|---|
| Обучение | Создает базовый план нормального сетевого трафика | Оповещения вредоносных программ, оповещения аномалий, операционные оповещения, оповещения о нарушении протокола | Выключите вручную через 2–6 недель или когда базовые показатели отражают точную сетевую активность |
| динамически; | Уточнены базовые показатели при постепенном внедрении оповещений о нарушениях политики для обеспечения точности и снижения шума оповещений | Вводятся оповещения о нарушении политики | Необязательно. Настройка параметров для определенных сценариев (например, во время poCs) |
| Эксплуатационный | Отслеживает весь сетевой трафик с стабильной базовой базой, активируя все оповещения для отражения отклонений или подозрительных действий. | Все типы оповещений | Нет. Автоматическое переход при стабилизации базовых показателей |
Режим обучения
Изначально датчик работает в режиме обучения , чтобы отслеживать весь сетевой трафик и создавать базовые показатели всех обычных шаблонов трафика. Этот базовый план включает все устройства и протоколы в сети, а также регулярные передачи файлов между устройствами. Обычно этот процесс занимает от 2 до 6 недель в зависимости от размера сети и сложности. Кроме того, все устройства, обнаруженные позже, ввели режим обучения в течение 7 дней, чтобы установить базовые показатели сетевого трафика.
В режиме обучения датчик отслеживает и защищает среду путем активации соответствующих оповещений системы безопасности, таких как вредоносные программы, аномалии и операционные оповещения. Однако оповещения о нарушении политики, указывающие на отклонения от базового плана, не активируются, пока система находится в режиме обучения.
Динамический режим
После стабильного процесса обнаружения и сетевого трафика необходимо вручную отключить режим обучения. На этом этапе датчик переходит в динамический режим. В динамическом режиме датчик продолжает отслеживать сеть, проверяя и уточняя базовые показатели. Датчик оценивает каждую категорию оповещений и сценарий по отдельности, динамически изменяя их на рабочий режим, когда их базовые показатели подтверждены точно. Кроме того, если датчик обнаруживает значительные изменения в трафике, он может автоматически расширить режим обучения для определенных оповещений или сценариев.
В динамическом режиме оповещения о нарушении политики постепенно появляются и начинают отображаться в инвентаризации оповещений.
Рабочий режим
После того как датчик идентифицирует, что базовый план является стабильным и автоматически переходит в рабочий режим, отслеживая весь сетевой трафик и активируя все типы оповещений.
Действие Learn становится актуальным после отключения режима обучения, когда сценарий переходит в рабочий режим, и вы хотите пометить определенные операции как авторизованные или ожидаемые действия. После обучения аналогичные действия не будут создавать новые оповещения в будущем.
Отключите режим обучения вручную , когда уровень оповещений точно отражает сетевое действие.
Дополнительные сведения см. в оповещениях Microsoft Defender для Интернета вещей.
Необходимые компоненты
Процедуры, описанные в этой статье, можно выполнить из портал Azure или датчика OT.
Прежде чем приступить к работе, должны быть выполнены следующие условия:
Датчик OT установлен, настроен и активирован с оповещениями, активируемыми обнаруженным трафиком.
Доступ к датчику OT в качестве аналитика безопасности или пользователя администратора . Дополнительные сведения см. в разделе локальных пользователей и ролей для мониторинга OT с помощью Defender для Интернета вещей.
Оповещения о триаже
Оповещения триажа к концу развертывания, чтобы создать начальный базовый план для сетевого действия.
Войдите в датчик OT и выберите страницу "Оповещения ".
Используйте параметры сортировки и группировки для просмотра наиболее критически важных оповещений. Просмотрите каждое оповещение, чтобы обновить состояния и узнать оповещения об авторизованном трафике OT.
Дополнительные сведения см. в разделе "Просмотр оповещений" и управление ими на датчике OT.
Следующие шаги
После отключения режима обучения и перехода от режима обучения к режиму работы продолжите работу с любым из следующих элементов:
- Визуализация данных Microsoft Defender для Интернета вещей с помощью книг Azure Monitor
- Просмотр оповещений и управление ими на портале Azure
- Просмотр сведений об инвентаризации устройств на портале Azure
Интеграция данных Defender для Интернета вещей с Microsoft Sentinel для объединения мониторинга безопасности команды SOC. Дополнительные сведения см. в разделе: