Оповещения Microsoft Defender для Интернета вещей
Оповещения Microsoft Defender для Интернета вещей повышают безопасность сети и операции с подробными сведениями о событиях, зарегистрированных в сети в режиме реального времени. Оповещения активируются, когда сетевые датчики OT обнаруживают изменения или подозрительные действия в сетевом трафике, который нуждается в вашем внимания.
Например:
Используйте сведения, отображаемые на странице оповещений или на странице сведений об оповещении, для изучения и принятия мер, которые устраняют любой риск для вашей сети, от связанных устройств или сетевого процесса, активировающего оповещение.
Совет
Используйте действия по исправлению оповещений, чтобы помочь командам SOC понять возможные проблемы и решения. Рекомендуется ознакомиться с рекомендациями по исправлению перед обновлением состояния оповещения или принятием действий на устройстве или сети.
Параметры управления оповещениями
Оповещения Defender для Интернета вещей доступны в консоли портал Azure или OT сетевых датчиков. Благодаря безопасности Enterprise IoT оповещения также доступны для устройств Enterprise IoT, обнаруженных Defender для конечной точки, в Microsoft 365 Defender.
Хотя вы можете просматривать сведения об оповещении, исследовать контекст генерации оповещений, а также просматривать состояния оповещений и управлять ими из любого из этих расположений, каждое расположение также предлагает дополнительные действия с оповещениями. В следующей таблице описываются оповещения, поддерживаемые для каждого расположения, и дополнительные действия, доступные только из этого расположения:
| Расположение | Description | Дополнительные действия оповещений |
|---|---|---|
| Портал Azure | Оповещения от всех подключенных к облаку датчиков OT | — Просмотр связанных тактик и методов MITRE ATT&CK — Использование книг вне коробки для видимости оповещений с высоким приоритетом — Просмотр оповещений из Microsoft Sentinel и выполнение более глубоких исследований с помощью сборников схем и книг Microsoft Sentinel. |
| Консоли сетевых датчиков OT | Оповещения, созданные этим датчиком OT | — Просмотр источника и назначения оповещения на карте устройства — Просмотр связанных событий на временной шкале событий — переадресация оповещений непосредственно поставщикам партнеров — Создание комментариев оповещений — создание настраиваемых правил генерации оповещений — отмена оповещений |
| Microsoft 365 Defender | Оповещения, созданные для устройств Enterprise IoT, обнаруженных Microsoft Defender для конечной точки | — управление данными оповещений вместе с другими данными Microsoft 365 Defender, включая расширенную охоту |
Совет
Все оповещения, созданные из разных датчиков в той же зоне в пределах 10-минутного интервала времени, с одинаковым типом, состоянием, протоколом оповещений и связанными устройствами, перечислены в виде единого единого оповещения.
- 10-минутный интервал времени основан на первом обнаружении оповещения.
- Единственное единое оповещение содержит список всех датчиков, обнаруженных оповещением.
- Оповещения объединяются на основе протокола генерации оповещений , а не протокола устройства.
Дополнительные сведения см. в разделе:
- Хранение данных оповещений
- Ускорение рабочих процессов оповещений OT
- Состояния оповещений и параметры сортировки
- Планирование сайтов и зон OT
Параметры оповещений также отличаются в зависимости от расположения и роли пользователя. Дополнительные сведения см. в статье о ролях пользователей и разрешениях Azure, а также локальных пользователей и ролей.
Агрегирование нарушений оповещений
Усталость оповещений, вызванная большим количеством идентичных оповещений, может привести к тому, что команда не сможет видеть или исправлять важные оповещения. Каждое оповещение, указанное на странице "Оповещения", является результатом нарушения сети, например непредназначенных использования кода функции Modbus. Агрегирование нарушений с теми же параметрами и требованиями к исправлению в одном списке оповещений уменьшает количество оповещений, отображаемых на странице "Оповещения". Соответствующие параметры различаются в зависимости от типа оповещения. Например, оповещение о непредназначенных использовании кода функции Modbus должно иметь одинаковые исходные и конечные IP-адреса для создания агрегированного нарушения генерации оповещений. Агрегированное оповещение может включать оповещения с различными кодами нарушений, такими как коды чтения и записи.
Вы скачиваете агрегированные данные о нарушении оповещений, которые перечисляют каждое оповещение с соответствующими параметрами и функциями, в виде CSV-файла на вкладке "Нарушения " сведений об оповещениях. Эти данные могут помочь командам определить шаблоны, оценить влияние и определить приоритеты ответов более эффективно на основе предложений по исправлению на вкладке " Действие". Только оповещения, имеющие тот же процесс исправления, объединяются в одно оповещение. Однако отдельные события нарушения по-прежнему можно просматривать отдельно на своих устройствах, обеспечивая дополнительную ясность.
Оповещения, которые можно агрегировать, перечислены в таблицах оповещений подсистемы ссылок оповещений в заголовке агрегатного элемента.
Группирование оповещений отображается как в консоли датчика OT, так и в портал Azure. Дополнительные сведения см. в статье об исправлении агрегированных оповещений в консоли датчика и исправлении агрегированных оповещений в портал Azure.
Специализированные оповещения в средах OT/IT
Организации, где датчики развертываются между OT и ИТ-сетями, имеют множество оповещений, связанных как с OT, так и с ИТ-трафиком. Количество оповещений, некоторые из которых являются неуместными, могут привести к усталости оповещений и повлиять на общую производительность. Чтобы устранить эти проблемы, политика обнаружения Defender для Интернета вещей управляет различными обработчиками оповещений, чтобы сосредоточиться на оповещениях с бизнес-воздействием и релевантностью для сети OT, а также сократить низкоценные ИТ-связанные оповещения. Например, оповещение о несанкционированном подключении к Интернету очень актуально в сети OT, но имеет относительно низкое значение в ИТ-сети.
Чтобы сосредоточить оповещения, активированные в этих средах, все подсистемы оповещений, кроме обработчика вредоносных программ , активируют оповещения только в том случае, если они обнаруживают связанную подсеть OT или протокол.
Однако для поддержания триггеров оповещений, указывающих на критические сценарии:
- Подсистема вредоносных программ запускает оповещения вредоносных программ независимо от того, связаны ли оповещения с OT или ИТ-устройствами.
- Другие механизмы включают исключения для критических сценариев. Например, операционный механизм активирует оповещения, связанные с трафиком датчика, независимо от того, связано ли оповещение с OT или ИТ-трафиком.
Управление оповещениями OT в гибридной среде
Пользователи, работающие в гибридных средах, могут управлять оповещениями OT в Defender для Интернета вещей на портал Azure или датчике OT.
Примечание.
Хотя консоль датчика отображает поле последнего обнаружения оповещения в режиме реального времени, Defender для Интернета вещей в портал Azure может занять до одного часа, чтобы отобразить обновленное время. Это объясняет сценарий, в котором время последнего обнаружения в консоли датчика не совпадает с временем последнего обнаружения в портал Azure.
Состояния оповещений в противном случае полностью синхронизированы между портал Azure и датчиком OT. Это означает, что независимо от того, где вы управляете оповещением в Defender для Интернета вещей, оповещение также обновляется в других расположениях.
Установка состояния оповещения на значение Закрыто или Отключить на датчике обновляет состояние оповещения на Закрыто на портале Azure.
Совет
Если вы работаете с Microsoft Sentinel, рекомендуется настроить интеграцию для синхронизации состояния оповещения с Microsoft Sentinel, а затем управлять состояниями оповещений вместе с соответствующими инцидентами Microsoft Sentinel.
Дополнительные сведения см. в руководстве по изучению и обнаружению угроз для устройств Интернета вещей.
Оповещения и Microsoft Defender для конечной точки Enterprise IoT
Если вы используете безопасность Enterprise IoT в Microsoft 365 Defender, оповещения для устройств Enterprise IoT, обнаруженных Microsoft Defender для конечной точки, доступны только в Microsoft 365 Defender. Многие сетевые обнаружения из Microsoft Defender для конечной точки относятся к устройствам Enterprise IoT, таким как оповещения, инициируемые сканированием с участием управляемых конечных точек.
Дополнительные сведения см. в разделе "Защита устройств Интернета вещей в организации " и очереди оповещений в Microsoft 365 Defender.
Ускорение рабочих процессов оповещений OT
Новые оповещения автоматически закрываются, если после первоначального обнаружения идентичный трафик не обнаруживается 90 дней. Если идентичный трафик обнаруживается в течение первых 90 дней, счетчик 90 дней сбрасывается.
В дополнение к поведению по умолчанию может потребоваться помочь командам управления SOC и OT и быстрее устранять оповещения. Войдите в датчик OT от имени администратора , чтобы использовать следующие параметры:
Создание настраиваемых правил генерации оповещений. Только датчики ОТ.
Добавьте настраиваемые правила генерации оповещений для определенных действий в сети, которые не охватываются встроенными функциями.
Например, для среды под управлением MODBUS можно добавить правило для обнаружения любых записанных команд в регистр памяти для определенного IP-адреса и назначения Ethernet.
Дополнительные сведения см. в разделе "Создание настраиваемых правил генерации оповещений" на датчике OT.
Создание комментариев оповещений. Только датчики ОТ.
Создайте набор комментариев оповещений, которые другие пользователи датчика OT могут добавлять в отдельные оповещения, используя такие сведения, как пользовательские действия по устранению рисков, обмен данными с другими участниками команды или другие аналитические сведения или предупреждения о событии.
Участники команды могут повторно использовать эти пользовательские комментарии по мере их обработки и управления состояниями оповещений. Примечания оповещений отображаются в области комментариев на странице сведений об оповещении. Например:
Дополнительные сведения см. в разделе "Создание комментариев оповещений" для датчика OT.
Переадресация данных оповещений в партнерские системы SIEMs, серверы системного журнала, указанные адреса электронной почты и многое другое.
Поддерживаемые датчиками OT дополнительные сведения см. в разделе "Переадресация оповещений".
Состояния оповещений и параметры сортировки
Используйте следующие состояния оповещений и тривы для управления оповещениями в Defender для Интернета вещей.
При проверке оповещения следует учитывать, что некоторые оповещения могут отражать допустимые изменения сети, такие как авторизованное устройство, пытающееся получить доступ к новому ресурсу на другом устройстве.
Несмотря на то, что для оповещений OT доступны только варианты, доступные в портал Azure для оповещений OT и Enterprise IoT.
Используйте следующую таблицу, чтобы узнать больше о каждом состоянии оповещения и параметре сортировки.
| Действие status /triage | Дата доступности | Description |
|---|---|---|
| Новый | - портал Azure — сетевые датчики OT |
Новые оповещения — это оповещения, которые еще не были расследованы или расследованы командой. Новый трафик, обнаруженный для одних и того же устройства, не создает новое оповещение, но добавляется в существующее оповещение. Примечание. Возможно, вы увидите несколько новых оповещений с одинаковым именем. В таких случаях каждое отдельное оповещение активируется отдельным трафиком на разных наборах устройств. |
| Активные | — только портал Azure | Задайте для оповещения "Активный ", чтобы указать, что ведется расследование, но оповещение пока не может быть закрыто или иным образом. Это состояние не действует в другом месте в Defender для Интернета вещей. |
| Закрытые | - портал Azure — сетевые датчики OT |
Закройте оповещение, чтобы указать, что он полностью расследуется, и вы хотите снова быть оповещенным при следующем обнаружении того же трафика. Закрытие оповещения добавляет его на временную шкалу событий датчика. |
| Learn | - портал Azure — сетевые датчики OT Отмена оповещения доступна только на датчике OT. |
Узнайте оповещение, когда вы хотите закрыть его и добавить его в качестве разрешенного трафика, чтобы вы не были оповещены еще раз при следующем обнаружении того же трафика. Например, когда датчик обнаруживает изменения версий встроенного ПО после стандартных процедур обслуживания или при добавлении нового устройства в сеть. Обучение оповещению закрывает оповещение и добавляет элемент на временную шкалу событий датчика. Обнаруженный трафик включается в отчеты интеллектуального анализа данных, но не при вычислении других отчетов датчика OT. Оповещения об обучении доступны только для выбранных оповещений, в основном тех, которые активируются оповещениями о политике и подсистеме аномалий . |
| Немой | — сетевые датчики OT Отмена оповещения доступна только на датчике OT. |
Отключите оповещение, если вы хотите закрыть его и не увидеть снова для одного и того же трафика, но без добавления разрешенного трафика. Например, когда операционный модуль активирует оповещение, указывающее, что режим PLC был изменен на устройстве. Новый режим может указывать на то, что PLC не является безопасным, но после исследования определено, что новый режим является приемлемым. Отключение оповещения закрывает его, но не добавляет элемент на временную шкалу событий датчика. Обнаруженный трафик включается в отчеты интеллектуального анализа данных, но не при вычислении данных для других отчетов датчика. Отключение оповещения доступно только для выбранных оповещений, в основном тех, которые активируются аномалией, нарушением протокола или операционными подсистемами. |
Триадж оповещений OT в режиме обучения
Режим обучения относится к начальному периоду после развертывания датчика OT, когда датчик OT узнает о базовом действии вашей сети, включая устройства и протоколы в сети, а также регулярные передачи файлов между определенными устройствами.
Используйте режим обучения, чтобы выполнить начальную проверку оповещений в сети, обучая те, которые вы хотите пометить как авторизованные, ожидаемые действия. Обученный трафик не создает новые оповещения при следующем обнаружении того же трафика.
Дополнительные сведения см. в статье "Создание базовых показателей оповещений OT".
Следующие шаги
Просмотрите типы оповещений и сообщения, которые помогут вам понять и спланировать действия по исправлению и интеграции сборников схем. Дополнительные сведения см. в разделе "Типы оповещений и описания оповещений о мониторинге OT".