Skapa en inlärd baslinje för OT-aviseringar

Den här artikeln är en i en serie artiklar som beskriver distributionssökvägen för OT-övervakning med Microsoft Defender för IoT och beskriver hur du skapar en baslinje för inlärd trafik på din OT-sensor.

Förstå inlärningsläge

En OT-nätverkssensor börjar övervaka nätverket automatiskt när det är anslutet till nätverket och du har loggat in. Nätverksenheter börjar visas i enhetsinventeringen och aviseringar utlöses för eventuella säkerhets- eller driftincidenter som inträffar i nätverket.

Till en början sker den här aktiviteten i inlärningsläge , vilket instruerar OT-sensorn att lära sig nätverkets vanliga aktivitet, inklusive enheterna och protokollen i nätverket, samt de regelbundna filöverföringar som sker mellan specifika enheter. Alla aktiviteter som identifieras regelbundet blir nätverkets baslinjetrafik.

Dricks

Använd din tid i inlärningsläge för att sortera dina aviseringar och Lär dig de som du vill markera som auktoriserad, förväntad aktivitet. Den inlärda trafiken genererar inte nya aviseringar nästa gång samma trafik identifieras.

När inlärningsläget är inaktiverat utlöser alla aktiviteter som skiljer sig från dina baslinjedata en avisering.

Mer information finns i Microsoft Defender för IoT-aviseringar.

Tidslinje för Learn-läge

Det kan ta allt från några dagar till flera veckor att skapa din baslinje för OT-aviseringar, beroende på nätverkets storlek och komplexitet. Vi rekommenderar att du efter 2–6 veckor manuellt ändrar inlärningsläget till dynamiskt läge när det dagliga antalet aviseringar minskar till en hanterbar nivå. I dynamiskt läge fortsätter Defender för IoT att övervaka nätverket för misstänkt trafik, utlösa aviseringar och flyttar även automatiskt en aviseringskategori till driftläge om aviseringen inte utlöses under en viss tidsperiod.

I driftläge visas alla aviseringar som skapas i inventeringen och måste åtgärdas genom att följa de åtgärder som anges i aviseringsinformationsfönstret. Om aviseringen utlöstes av säker nätverkstrafik måste du använda knappen Learn för att lägga till den här trafiken i baslinjelistan så att sensorn inte skapar någon avisering för detta i framtiden.

Inaktivera inlärningsläget manuellt när aviseringsnivån korrekt återspeglar nätverksaktiviteten.

Förutsättningar

Du kan utföra procedurerna i den här artikeln från Azure Portal eller en OT-sensor.

Kontrollera att du har:

• En OT-sensor installerad, konfigurerad och aktiverad med aviseringar som utlöses av identifierad trafik.

• Åtkomst till ot-sensorn som säkerhetsanalytiker eller administratörsanvändare . Mer information finns i Lokala användare och roller för OT-övervakning med Defender för IoT.

Triage-aviseringar

Sortera aviseringar mot slutet av distributionen för att skapa en första baslinje för nätverksaktiviteten.

1. Logga in på ot-sensorn och välj sidan Aviseringar .

2. Använd sorterings- och grupperingsalternativ för att visa dina mest kritiska aviseringar först. Granska varje avisering för att uppdatera statusar och lär dig aviseringar för OT-auktoriserad trafik.

Mer information finns i Visa och hantera aviseringar på ot-sensorn.

Nästa steg

« Verifiera och uppdatera din identifierade enhetsinventering

När inlärningsläget har inaktiverats har du gått från inlärningsläge till driftläge . Fortsätt med något av följande:

• Visualisera Microsoft Defender för IoT-data med Azure Monitor-arbetsböcker
• Visa och hantera aviseringar från Azure Portal
• Hantera enhetsinventeringen från Azure Portal

Integrera Defender för IoT-data med Microsoft Sentinel för att förena soc-teamets säkerhetsövervakning. Mer information finns i:

• Självstudie: Ansluta Microsoft Defender för IoT till Microsoft Sentinel
• Självstudie: Undersöka och identifiera hot för IoT-enheter