Создание изученной базовой базы оповещений OT
Эта статья является одной из серии статей, описывающих путь развертывания для мониторинга OT с помощью Microsoft Defender для Интернета вещей, а также описывает, как создать базовый уровень изученного трафика на датчике OT.
Общие сведения о режиме обучения
Сетевой датчик OT начинает автоматически отслеживать сеть после подключения к сети и входа в систему. Сетевые устройства начинают отображаться в инвентаризации устройств, и оповещения активируются для любых инцидентов безопасности или эксплуатации, происходящих в вашей сети.
Изначально это действие выполняется в режиме обучения , который предписывает датчику OT изучить обычную активность вашей сети, включая устройства и протоколы в сети, а также регулярную передачу файлов между конкретными устройствами. Любое регулярно обнаруженное действие становится базовым трафиком вашей сети.
Совет
Используйте свое время в режиме обучения для рассмотрения оповещений и изучения тех, которые вы хотите пометить как авторизованные и ожидаемые действия. Обученный трафик не создает новые оповещения при следующем обнаружении того же трафика.
После отключения режима обучения все действия, отличные от базовых данных, будут вызывать оповещение.
Дополнительные сведения см. в разделе Microsoft Defender для оповещений Интернета вещей.
Режим обучения временная шкала
Создание базовых показателей оповещений OT может занять от нескольких дней до нескольких недель в зависимости от размера и сложности сети. Режим обучения автоматически отключается, когда датчик обнаруживает снижение вновь обнаруженного трафика, которое обычно происходит через 2–6 недель после развертывания.
Выключите режим обучения вручную, если вы считаете, что текущие оповещения точно отражают вашу сетевую активность.
Предварительные требования
Процедуры, описанные в этой статье, можно выполнить из портал Azure, датчика OT или локального консоль управления.
Прежде чем приступить к работе, должны быть выполнены следующие условия:
Датчик OT, установленный, настроенный и активированный, с оповещениями, активируемыми обнаруженным трафиком.
Доступ к датчику OT в качестве аналитика безопасности или Администратор пользователя. Дополнительные сведения см. в статье Локальные пользователи и роли для мониторинга OT с помощью Defender для Интернета вещей.
Рассмотрение оповещений
Рассмотрите оповещения в конце развертывания, чтобы создать начальный базовый план для сетевой активности.
Войдите в датчик OT и выберите страницу Оповещения .
Используйте параметры сортировки и группировки, чтобы сначала просмотреть наиболее важные оповещения. Просмотрите каждое оповещение, чтобы обновить состояния и узнать оповещения об авторизованном трафике OT.
Дополнительные сведения см. в статье Просмотр оповещений и управление ими на датчике OT.
Дальнейшие действия
После отключения режима обучения вы перешли из режима обучения в режим работы . Перейдите к любому из следующих действий:
- Визуализация Microsoft Defender для данных Интернета вещей с помощью книг Azure Monitor
- Просмотр оповещений и управление ими на портале Azure
- Просмотр сведений об инвентаризации устройств на портале Azure
Интегрируйте данные Defender для Интернета вещей с Microsoft Sentinel, чтобы объединить мониторинг безопасности вашей команды SOC. Дополнительные сведения см. в разделе: