Учебник. Анализ оповещений системы безопасности

Этот учебник поможет узнать, как исследовать и устранять оповещения, созданные в Defender для Интернета вещей. Устранение оповещений считается лучшим способом обеспечить соответствие требованиям и защиту для всего решения Интернета вещей.

Из этого руководства вы узнаете, как:

• Анализ оповещений системы безопасности
• Анализ сведений об оповещениях системы безопасности
• Анализ оповещений в рабочей области Log Analytics

Примечание.

Defender для Интернета вещей планирует выйти из эксплуатации микроагента 1 августа 2025 года.

Необходимые компоненты

• Учетная запись Azure с активной подпиской. Создайте учетную запись бесплатно .

• Центр Интернета вещей.

• У вас должен быть включен Microsoft Defender для Интернета вещей в Центре Интернета вещей Azure.

• Необходимо добавить группу ресурсов в решение "Интернет вещей".

• Необходимо создать двойник модуля агента Defender для Интернета вещей.

• Необходимо установить микроагент Defender для Интернета вещей.

• Необходимо настроить решение на основе агента Microsoft Defender для Интернета вещей.

• Узнайте, как исследовать рекомендации по безопасности.

Анализ оповещений системы безопасности

В списке оповещений системы безопасности Defender для Интернета вещей отображаются все агрегированные оповещения системы безопасности для Центра Интернета вещей.

Чтобы расследовать оповещения системы безопасности, выполните следующие действия.

1. Войдите на портал Azure.

2. Перейдите к разделу Центр Интернета вещей>Your hub>Defender для Интернета вещей>Оповещения системы безопасности.

3. Выберите из списка оповещение, чтобы открыть его подробные сведения.

Анализ сведений об оповещениях системы безопасности

При открытии каждого агрегированного оповещения отображается его подробное описание, действия по исправлению и идентификатор для каждого устройства, которое вызвало отправку оповещения. Уровень серьезности оповещений и прямой исследования доступен с помощью Log Analytics.

Для анализа сведений об оповещениях системы безопасности выполните следующие действия.

1. Войдите на портал Azure.

2. Перейдите к разделу Центр Интернета вещей>Your hub>Defender для Интернета вещей>Оповещения системы безопасности.

3. Выберите любое оповещение системы безопасности из списка и откройте его.

4. Просмотрите описание оповещения, серьезность, источник обнаружения и сведения об устройстве всех устройств, которые выпустили это оповещение в период агрегирования.

   

5. После просмотра особенностей оповещения используйте инструкции по исправлению вручную, чтобы устранить проблему, вызванную оповещением.

   

Изучение оповещений в рабочей области Log Analytics

Вы можете получить доступ к оповещениям и исследовать их с помощью рабочей области Log Analytics.

Чтобы получить доступ к оповещениям в рабочей области Log Analytics после настройки, выполните указанные ниже действия.

1. Войдите на портал Azure.

2. Перейдите к разделу Центр Интернета вещей>Your hub>Defender для Интернета вещей>Оповещения системы безопасности.

3. Выберите оповещение.

4. Выберите пункт Анализ оповещений в рабочей области Log Analytics.

   

Следующие шаги

Изучите учебник Интеграция Microsoft Sentinel и Microsoft Defender для Интернета вещей.