Spåra nätverks- och sensoraktivitet med händelsetidslinjen
Aktivitet som identifieras av din Microsoft Defender för IoT-sensorer registreras i händelsetidslinjen. Aktiviteten omfattar aviseringar och aviseringshanteringsåtgärder, nätverkshändelser och användaråtgärder, till exempel användarinloggning eller borttagning av användare.
Ot-sensorns händelsetidslinje ger en kronologisk vy och kontext för all nätverksaktivitet för att fastställa orsaken till och effekten av incidenter. Tidslinjevyn gör det enkelt att extrahera information från nätverkshändelser och mer effektivt analysera aviseringar och händelser som observerats i nätverket. Med möjligheten att lagra stora mängder data kan vyn händelsetidslinje vara en värdefull resurs för säkerhetsteam för att utföra undersökningar och få en djupare förståelse för nätverksaktivitet.
Använd händelsetidslinjen under undersökningar för att förstå och analysera händelsekedjan som föregick och följde en attack eller incident. Den centraliserade vyn av flera säkerhetsrelaterade händelser på samma tidslinje hjälper till att identifiera mönster och korrelationer, och gör det möjligt för säkerhetsteam att snabbt utvärdera effekten av incidenter och svara därefter.
Mer information finns i:
- Visa händelser på tidslinjen
- Granska användaraktivitet
- Visa och hantera aviseringar
- Analysera programmeringsinformation och ändringar
Behörigheter
Innan du utför de procedurer som beskrivs i den här artikeln kontrollerar du att du har åtkomst till en OT-sensor som en Admin- eller säkerhetsanalytikerroll. Mer information finns i Lokala användare och roller för OT-övervakning med Defender för IoT.
Visa händelsetidslinjen
Logga in på sensorkonsolen och välj Händelsetidslinje på den vänstra menyn.
Granska och filtrera händelserna efter behov.
Välj en händelserad för att visa händelseinformationen i ett fönster till höger, där du också kan filtrera för att visa händelser för relaterade enheter. Filtret Användaråtgärder är aktiverat som standard. Du kan välja att dölja eller visa användarhändelser efter behov.
Exempel:
Du kan också visa händelsetidslinjen för en specifik enhet från enhetsinventeringen.
Så här visar du händelsetidslinjen för en specifik enhet:
Gå till Enhetsinventering i sensorkonsolen.
Välj den specifika enheten för att öppna fönstret med enhetsinformation och välj sedan Visa fullständig information för att öppna sidan med enhetsegenskaper.
Välj fliken Händelsetidslinje för att visa alla händelser som är associerade med den här enheten och filtrera händelserna efter behov.
Exempel:
Filtrera händelser på tidslinjen
På sidan händelsetidslinje väljer du Lägg till filter för att ange vilka händelser som visas.
Välj filtertyp. Använd något av följande alternativ för att filtrera de enheter som visas:
Typ Beskrivning Användaråtgärder Det här filtret är aktiverat som standard, välj att visa eller dölja användaråtgärdshändelser. Datum Sök efter händelser i ett visst datumintervall. Enhetsgrupp Filtrera specifika enheter efter grupp enligt definitionen i enhetskartan. Allvarlighetsgrad för händelsen Visa endast aviseringar, aviseringar och meddelanden eller Alla händelser. Exkludera enheter Sök efter och filtrera enheter som du vill exkludera. Inkludera enheter Sök efter och filtrera enheter som du vill inkludera. Exkludera händelsetyper Sök efter och filtrera specifika händelsetyper som ska undantas. Inkludera händelsetyper Sök efter och filtrera specifika händelsetyper som ska inkluderas. Nyckelord Filtrera händelser efter specifika nyckelord. Välj Använd för att ange filtret.
Exportera händelsetidslinjen till CSV
Du kan exportera händelsetidslinjen till en CSV-fil. Exporterade data är enligt alla filter som tillämpas vid export.
Så här exporterar du händelsetidslinjen:
På sidan Händelsetidslinje väljer du Exportera på den översta menyn för att exportera händelsetidslinjen till en CSV-fil.
Skapa en händelse
Förutom att visa de händelser som sensorn har identifierat kan du manuellt lägga till händelser i tidslinjen. Den här processen är användbar om en extern systemhändelse påverkar nätverket och du vill registrera den på tidslinjen.
På sidan Händelsetidslinje väljer du Skapa händelse.
I dialogrutan Skapa händelse lägger du till följande händelseinformation:
Skriv. Ange händelsetyp (information, meddelande eller avisering).
Tidsstämpel. Ange datum och tid för händelsen.
Enhet. Välj den enhet som händelsen ska anslutas till.
Beskrivning. Ange en beskrivning av händelsen.
Välj Spara för att lägga till händelsen på tidslinjen.
Exempel:
Kapacitet för händelsetidslinje
Mängden data som kan lagras i händelsetidslinjen beror på olika faktorer, till exempel nätverkets storlek, händelsefrekvensen och sensorns lagringskapacitet. De data som lagras i händelsetidslinjen kan innehålla information om nätverkstrafik, säkerhetshändelser och andra relevanta datapunkter.
Det maximala antalet händelser som visas i händelsetidslinjen beror på vilken maskinvaruprofil som valts under sensorinstallationen. Varje maskinvaruprofil har en maximal kapacitet för händelser. Mer information om den maximala händelsekapaciteten för varje maskinvaruprofil finns i Kvarhållning av ot-händelsetidslinje.
Nästa steg
Mer information finns i: