Vidarebefordra information om lokala OT-aviseringar
Microsoft Defender för IoT-aviseringar förbättrar nätverkets säkerhet och åtgärder med realtidsinformation om händelser som loggas i nätverket. OT-aviseringar utlöses när OT-nätverkssensorer identifierar ändringar eller misstänkt aktivitet i nätverkstrafik som behöver din uppmärksamhet.
Den här artikeln beskriver hur du konfigurerar din OT-sensor eller lokala hanteringskonsol för att vidarebefordra aviseringar till partnertjänster, syslog-servrar, e-postadresser med mera. Vidarebefordrad aviseringsinformation innehåller information som:
- Datum och tid för aviseringen
- Motor som identifierade händelsen
- Aviseringsrubrik och beskrivande meddelande
- Allvarlighetsgrad för avisering
- Käll- och målnamn och IP-adress
- Misstänkt trafik har identifierats
- Frånkopplade sensorer
- Fel vid fjärrsäkerhetskopiering
Kommentar
Vidarebefordran av aviseringsregler körs endast på aviseringar som utlöses när vidarebefordringsregeln har skapats. Aviseringar som redan finns i systemet från innan vidarebefordringsregeln skapades påverkas inte av regeln.
Förutsättningar
Beroende på var du vill skapa aviseringsregler för vidarebefordran måste du ha antingen en OT-nätverkssensor eller en lokal hanteringskonsol installerad, med åtkomst som administratörsanvändare .
Mer information finns i Installera ot agentless monitoring software and On-premises users and roles for OT monitoring with Defender for IoT (Installera ot agentless monitoring software and On-premises users and roles for OT monitoring with Defender for IoT).
Du måste också definiera SMTP-inställningar på OT-sensorn eller den lokala hanteringskonsolen.
Mer information finns i Konfigurera SMTP-e-postserverinställningar på en OT-sensor och Konfigurera SMTP-e-postserverinställningar i den lokala hanteringskonsolen.
Skapa regler för vidarebefordran på en OT-sensor
Logga in på OT-sensorn och välj Vidarebefordran på den vänstra menyn >+ Skapa ny regel.
I fönstret Lägg till vidarebefordringsregel anger du ett beskrivande regelnamn och definierar sedan regelvillkor och åtgärder enligt följande:
Name beskrivning Minimal aviseringsnivå Välj den lägsta allvarlighetsgrad för aviseringar som du vill vidarebefordra.
Om du till exempel väljer Mindre vidarebefordras mindre aviseringar och eventuella aviseringar över den här allvarlighetsnivån.Alla protokoll har identifierats Växla på för att vidarebefordra aviseringar från all protokolltrafik eller växla av och välj de specifika protokoll som du vill inkludera. Trafik identifierad av alla motorer Växla på för att vidarebefordra aviseringar från alla analysmotorer, eller växla bort och välj de specifika motorer som du vill inkludera. Åtgärder Välj den typ av server som du vill vidarebefordra aviseringar till och definiera sedan annan nödvändig information för den servertypen.
Om du vill lägga till flera servrar i samma regel väljer du + Lägg till server och lägger till mer information.
Mer information finns i Konfigurera regelåtgärder för vidarebefordran av aviseringar.När du är klar med att konfigurera regeln väljer du Spara. Regeln visas på sidan Vidarebefordran .
Testa regeln som du har skapat:
- Välj alternativmenyn (...) för regeln >Skicka testmeddelande.
- Gå till måltjänsten för att kontrollera att informationen som skickades av sensorn togs emot.
Redigera eller ta bort vidarebefordransregler på en OT-sensor
Så här redigerar eller tar du bort en befintlig regel:
Logga in på OT-sensorn och välj Vidarebefordran på den vänstra menyn.
Välj alternativmenyn (...) för regeln och gör sedan något av följande:
Välj Redigera och uppdatera fälten efter behov. När du är klar väljer du Spara.
Välj Ta bort>Ja för att bekräfta borttagningen.
Skapa vidarebefordransregler i en lokal hanteringskonsol
Så här skapar du en vidarebefordringsregel i hanteringskonsolen:
Logga in på den lokala hanteringskonsolen och välj Vidarebefordran på den vänstra menyn.
+ Välj knappen längst upp till höger för att skapa en ny regel.
I fönstret Skapa vidarebefordransregel anger du ett beskrivande namn för regeln och definierar sedan regelvillkor och åtgärder enligt följande:
Name beskrivning Minimal aviseringsnivå Längst upp till höger i dialogrutan använder du listrutan för att välja den lägsta allvarlighetsgrad för aviseringar som du vill vidarebefordra.
Om du till exempel väljer Mindre vidarebefordras mindre aviseringar och eventuella aviseringar över den här allvarlighetsnivån.Protokoll Välj Alla om du vill vidarebefordra aviseringar från all protokolltrafik eller välj Specifik för att endast lägga till specifika protokoll. Motorer Välj Alla för att vidarebefordra aviseringar som utlöses av alla sensoranalysmotorer eller välj Specifik för att endast lägga till specifika motorer. Systemaviseringar Välj alternativet Rapportera systemaviseringar för att meddela om frånkopplade sensorer eller fel vid fjärrsäkerhetskopiering. Aviseringsaviseringar Välj alternativet Rapportaviseringar för att meddela om en aviserings datum och tid, rubrik, allvarlighetsgrad, käll- och målnamn och IP-adress, misstänkt trafik och motorn som identifierade händelsen. Åtgärder Välj Lägg till för att lägga till en åtgärd som ska tillämpas och ange de parametrar som krävs för den valda åtgärden. Upprepa efter behov för att lägga till flera åtgärder.
Mer information finns i Konfigurera regelåtgärder för vidarebefordran av aviseringar.När du är klar med att konfigurera regeln väljer du SPARA. Regeln visas på sidan Vidarebefordran .
Testa regeln som du har skapat:
- På raden för regeln väljer du knappen testa den
här vidarebefordranregeln . Ett meddelande visas om meddelandet har skickats. - Gå till ditt partnersystem för att kontrollera att informationen som skickades av sensorn togs emot.
- På raden för regeln väljer du knappen testa den
Redigera eller ta bort vidarebefordransregler i en lokal hanteringskonsol
Så här redigerar eller tar du bort en befintlig regel:
Logga in på den lokala hanteringskonsolen och välj Vidarebefordran på den vänstra menyn.
Leta upp raden för regeln och välj sedan knappen
Redigera eller
Ta bort.Om du redigerar regeln uppdaterar du fälten efter behov och väljer SPARA.
Om du tar bort regeln väljer du BEKRÄFTA för att bekräfta borttagningen.
Konfigurera regelåtgärder för vidarebefordran av aviseringar
I det här avsnittet beskrivs hur du konfigurerar inställningar för vidarebefordran av regelåtgärder som stöds, antingen på en OT-sensor eller den lokala hanteringskonsolen.
E-postadressåtgärd
Konfigurera en e-poståtgärd för att vidarebefordra aviseringsdata till den konfigurerade e-postadressen.
I området Åtgärder anger du följande information:
| Name | beskrivning |
|---|---|
| Server | Välj E-postmeddelande. |
| E-post | Ange den e-postadress som du vill vidarebefordra aviseringarna till. Varje regel stöder en enda e-postadress. |
| Tidszon | Välj den tidszon som du vill använda för aviseringsidentifieringen i målsystemet. |
Syslog-serveråtgärder
Konfigurera en Syslog-serveråtgärd för att vidarebefordra aviseringsdata till den valda typen av Syslog-server.
I området Åtgärder anger du följande information:
| Name | beskrivning |
|---|---|
| Server | Välj någon av följande typer av syslog-format: - SYSLOG Server (CEF-format) - SYSLOG Server (LEEF-format) - SYSLOG Server (objekt) - SYSLOG Server (textmeddelande) |
| Värdport / | Ange syslog-serverns värdnamn och port |
| Tidszon | Välj den tidszon som du vill använda för aviseringsidentifieringen i målsystemet. |
| Protokoll | Stöds endast för textmeddelanden. Välj TCP eller UDP. |
| Aktivera kryptering | Stöds endast för CEF-format. Växla på för att konfigurera en TLS-krypteringscertifikatfil, nyckelfil och lösenfras. |
I följande avsnitt beskrivs syslog-utdatasyntaxen för varje format.
Utdatafält för Syslog-textmeddelande
| Name | beskrivning |
|---|---|
| Prioritet | Användare. Varning |
| Meddelande | CyberX-plattformsnamn: Sensornamnet. Microsoft Defender för IoT-avisering: Aviseringens rubrik. Typ: Typen av avisering. Kan vara protokollöverträdelse, principöverträdelse, skadlig kod, avvikelse eller drift. Allvarlighetsgrad: Aviseringens allvarlighetsgrad. Kan vara Varning, Mindre, Större eller Kritisk. Källa: Källans enhetsnamn. Käll-IP: Källenhetens IP-adress. Protokoll (valfritt): Det identifierade källprotokollet. Adress (valfritt): Källans protokolladress. Mål: Målenhetens namn. Mål-IP: IP-adressen för målenheten. Protokoll (valfritt): Det identifierade målprotokollet. Adress (valfritt): Målprotokolladressen. Meddelande: Meddelandet om aviseringen. Aviseringsgrupp: Aviseringsgruppen som är associerad med aviseringen. UUID (valfritt): UUID-aviseringen. |
Utdatafält för Syslog-objekt
| Name | beskrivning |
|---|---|
| Prioritet | User.Alert |
| Datum och tid | Datum och tid då syslog-serverdatorn tog emot informationen. |
| Värdnamn | Sensor-IP |
| Meddelande | Sensornamn: Namnet på installationen. Aviseringstid: Den tid då aviseringen identifierades: Kan variera från tidpunkten för syslog-serverdatorn och beror på tidszonskonfigurationen för vidarebefordringsregeln. Aviseringsrubrik: Aviseringens rubrik. Aviseringsmeddelande: Meddelandet om aviseringen. Allvarlighetsgrad för avisering: Allvarlighetsgraden för aviseringen: Varning, Mindre, Större eller Kritisk. Aviseringstyp: Protokollöverträdelse, principöverträdelse, skadlig kod, avvikelse eller drift. Protokoll: Protokollet för aviseringen. Source_MAC: IP-adress, namn, leverantör eller operativsystem för källenheten. Destination_MAC: IP-adress, namn, leverantör eller operativsystem för målet. Om data saknas är värdet N/A. alert_group: Aviseringsgruppen som är associerad med aviseringen. |
Syslog CEF-utdatafält
| Name | beskrivning |
|---|---|
| Prioritet | User.Alert |
| Datum och tid | Datum och tid då sensorn skickade informationen i UTC-format |
| Värdnamn | Sensorvärdnamn |
| Meddelande | CEF:0 Microsoft Defender för IoT/CyberX Sensornamn Sensorversion Microsoft Defender för IoT-avisering Aviseringsrubrik Heltalsindikator för allvarlighetsgrad. 1=Varning, 4=Mindre, 8=Större eller 10=Kritisk. msg= Meddelandet om aviseringen. protocol= Protokollet för aviseringen. severity= Warning, Minor, Major eller Critical. type= Protokollöverträdelse, principöverträdelse, skadlig kod, avvikelse eller drift. UUID= UUID för aviseringen (valfritt) start= Den tid då aviseringen identifierades. Kan variera från tidpunkten för syslog-serverdatorn och beror på tidszonskonfigurationen för vidarebefordringsregeln. src_ip= IP-adress för källenheten. (Valfritt) src_mac= MAC-adressen för källenheten. (Valfritt) dst_ip= IP-adress för målenheten. (Valfritt) dst_mac= MAC-adressen för målenheten. (Valfritt) cat= Aviseringsgruppen som är associerad med aviseringen. |
Syslog LEEF-utdatafält
| Name | beskrivning |
|---|---|
| Prioritet | User.Alert |
| Datum och tid | Datum och tid då sensorn skickade informationen i UTC-format |
| Värdnamn | Sensor-IP |
| Meddelande | Sensornamn: Namnet på Microsoft Defender för IoT-installationen. LEEF:1.0 Microsoft Defender för IoT Sensor Sensorversion Microsoft Defender för IoT-avisering title: Aviseringens rubrik. msg: Meddelandet om aviseringen. protokoll: Protokollet för aviseringen. allvarlighetsgrad: Varning, Mindre, Större eller Kritisk. typ: Typen av avisering: Protokollöverträdelse, Principöverträdelse, Skadlig kod, avvikelse eller drift. start: Tidpunkten för aviseringen. Det kan skilja sig från tidpunkten för syslog-serverdatorn och beror på tidszonskonfigurationen. src_ip: KÄLLENHETENs IP-adress. dst_ip: MÅLenhetens IP-adress. cat: Aviseringsgruppen som är associerad med aviseringen. |
Webhook-serveråtgärd
Stöds endast från den lokala hanteringskonsolen
Konfigurera en Webhook-åtgärd för att konfigurera en integrering som prenumererar på Defender för IoT-aviseringshändelser. Skicka till exempel aviseringsdata till en webhook-server för att uppdatera ett externt SIEM-system, SOAR-system eller incidenthanteringssystem.
När du har konfigurerat aviseringar som ska vidarebefordras till en webhook-server och en aviseringshändelse utlöses, skickar den lokala hanteringskonsolen en HTTP POST-nyttolast till den konfigurerade webhooks-URL:en.
I området Åtgärder anger du följande information:
| Name | beskrivning |
|---|---|
| Server | Välj Webhook. |
| URL | Ange webhook-serverns URL. |
| Nyckel/värde | Ange nyckel/värde-par för att anpassa HTTP-huvudet efter behov. Exempel på tecken som stöds är: - Nycklar kan bara innehålla bokstäver, siffror, bindestreck och understreck. - Värden kan bara innehålla ett inledande och/eller avslutande blanksteg. |
Webhook utökad
Stöds endast från den lokala hanteringskonsolen
Konfigurera en utökad Webhook-åtgärd för att skicka följande extra data till webhook-servern:
- sensorID
- sensorName
- Zonid
- Zonnamn
- siteID
- Platsnamn
- sourceDeviceAddress
- destinationDeviceAddress
- remediationSteps
- Hanteras
- additionalInformation
I området Åtgärder anger du följande information:
| Name | beskrivning |
|---|---|
| Server | Välj Webhook extended (Webhook extended). |
| URL | Ange url:en för slutpunktsdata. |
| Nyckel/värde | Ange nyckel/värde-par för att anpassa HTTP-huvudet efter behov. Exempel på tecken som stöds är: - Nycklar kan bara innehålla bokstäver, siffror, bindestreck och understreck. - Värden kan bara innehålla ett inledande och/eller avslutande blanksteg. |
NetWitness-åtgärd
Konfigurera en NetWitness-åtgärd för att skicka aviseringsinformation till en NetWitness-server.
I området Åtgärder anger du följande information:
| Name | beskrivning |
|---|---|
| Server | Välj NetWitness. |
| Värdnamn/port | Ange NetWitness-serverns värdnamn och port. |
| Tidszon | Ange den tidszon som du vill använda i tidsstämpeln för aviseringsidentifieringen i SIEM. |
Konfigurera vidarebefordransregler för partnerintegreringar
Du kanske integrerar Defender för IoT med en partnertjänst för att skicka aviserings- eller enhetsinventeringsinformation till ett annat säkerhets- eller enhetshanteringssystem eller för att kommunicera med brandväggar på partnersidan.
Partnerintegreringar kan hjälpa till att överbrygga tidigare silobaserade säkerhetslösningar, förbättra enhetens synlighet och påskynda systemomfattande åtgärder för att snabbare minska riskerna.
I sådana fall använder du åtgärder som stöds för att ange autentiseringsuppgifter och annan information som krävs för att kommunicera med integrerade partnertjänster.
Mer information finns i:
Konfigurera aviseringsgrupper i partnertjänster
När du konfigurerar vidarebefordransregler för att skicka aviseringsdata till Syslog-servrar, QRadar och ArcSight tillämpas aviseringsgrupper automatiskt och är tillgängliga på dessa partnerservrar.
Aviseringsgrupper hjälper SOC-team att använda dessa partnerlösningar för att hantera aviseringar baserat på företagets säkerhetsprinciper och affärsprioriteringar. Till exempel ordnas aviseringar om nya identifieringar i en identifieringsgrupp , som innehåller eventuella aviseringar om nya enheter, VLAN, användarkonton, MAC-adresser med mera.
Aviseringsgrupper visas i partnertjänster med följande prefix:
| Prefix | Partnertjänst |
|---|---|
cat |
QRadar, ArcSight, Syslog CEF, Syslog LEEF |
Alert Group |
Syslog-textmeddelanden |
alert_group |
Syslog-objekt |
Om du vill använda aviseringsgrupper i integreringen måste du konfigurera dina partnertjänster så att de visar aviseringsgruppens namn.
Som standard grupperas aviseringar på följande sätt:
- Onormalt kommunikationsbeteende
- Anpassade aviseringar
- Fjärråtkomst
- Onormalt HTTP-kommunikationsbeteende
- Identifiering
- Starta om och stoppa kommandon
- Autentisering
- Ändring av inbyggd programvara
- Skanna
- Otillåtet kommunikationsbeteende
- Otillåtna kommandon
- Sensortrafik
- Bandbreddsavvikelser
- Internetåtkomst
- Misstanke om skadlig kod
- Buffertspill
- Åtgärdsfel
- Misstanke om skadlig aktivitet
- Kommandofel
- Driftsproblem
- Konfigurationsändringar
- Programmering
Kontakta Microsoft Support om du vill ha mer information och skapa anpassade aviseringsgrupper.
Felsöka regler för vidarebefordran
Om dina aviseringsregler för vidarebefordran inte fungerar som förväntat kontrollerar du följande information:
Certifikatverifiering. Vidarebefordringsregler för Syslog CEF, Microsoft Sentinel och QRadar stöder kryptering och certifikatverifiering.
Om dina OT-sensorer eller den lokala hanteringskonsolen är konfigurerade för att verifiera certifikat och certifikatet inte kan verifieras vidarebefordras inte aviseringarna.
I dessa fall är sensorn eller den lokala hanteringskonsolen sessionens klient och initierare. Certifikat tas vanligtvis emot från servern eller använder asymmetrisk kryptering, där ett specifikt certifikat tillhandahålls för att konfigurera integreringen.
Regler för aviseringsundantag. Om du har undantagsregler konfigurerade i den lokala hanteringskonsolen kanske dina sensorer ignorerar de aviseringar som du försöker vidarebefordra. Mer information finns i Skapa regler för aviseringsundantag i en lokal hanteringskonsol.