Dela via

Visa och hantera aviseringar på ot-sensorn

  • Artikel

Microsoft Defender för IoT-aviseringar förbättrar nätverkets säkerhet och åtgärder med realtidsinformation om händelser som loggas i nätverket. OT-aviseringar utlöses när OT-nätverkssensorer identifierar ändringar eller misstänkt aktivitet i nätverkstrafik som behöver din uppmärksamhet.

Den här artikeln beskriver hur du visar Defender for IoT-aviseringar direkt på en OT-nätverkssensor. Du kan också visa OT-aviseringar på Azure Portal.

Mer information finns i Microsoft Defender för IoT-aviseringar.

Förutsättningar

  • Om du vill ha aviseringar på din OT-sensor måste du ha en SPAN-port konfigurerad för sensorn och Defender för IoT-övervakningsprogramvara installerad. Mer information finns i Installera ot-agentlös övervakningsprogramvara.

  • Om du vill visa aviseringar på OT-sensorn loggar du in på sensorn som administratör, säkerhetsanalytiker eller visningsprogramanvändare .

  • Om du vill hantera aviseringar på en OT-sensor loggar du in på sensorn som administratör eller säkerhetsanalytiker. Aviseringshanteringsaktiviteter omfattar att ändra status eller allvarlighetsgrad, lära sig eller stänga av en avisering , komma åt PCAP-data eller lägga till fördefinierade kommentarer i en avisering.

Mer information finns i Lokala användare och roller för OT-övervakning med Defender för IoT.

Visa aviseringar på en OT-sensor

  1. Logga in på ot-sensorkonsolen och välj sidan Aviseringar till vänster.

    Som standard visas följande information i rutnätet:

    Name beskrivning
    Allvarlighetsgrad En fördefinierad allvarlighetsgrad för avisering som tilldelats av sensorn som du kan ändra efter behov, inklusive: Kritisk, Större, Mindre, Varning.
    Namn Aviseringsrubriken
    Motor Defender for IoT-identifieringsmotorn som identifierade aktiviteten och utlöste aviseringen.
    Senaste identifiering Senaste gången aviseringen identifierades.

    – Om en aviserings status är Ny och samma trafik visas igen uppdateras den senaste identifieringstiden för samma avisering.
    – Om aviseringens status är Stängd och trafiken visas igen uppdateras inte den senaste identifieringstiden och en ny avisering utlöses.

    Obs! Även om sensorkonsolen visar fältet Senaste identifiering i realtid kan det ta upp till en timme för Defender för IoT i Azure Portal att visa den uppdaterade tiden. Detta förklarar ett scenario där den senaste identifieringstiden i sensorkonsolen inte är samma som den senaste identifieringstiden i Azure Portal.
    Status Aviseringsstatus: Ny, Aktiv, Stängd

    Mer information finns i Aviseringsstatusar och alternativ för sortering.
    Källenhet Källenhetens IP-adress, MAC eller enhetsnamn.
    ID Det unika aviserings-ID:t, justerat efter ID:t på Azure Portal.

    Obs! Om aviseringen sammanfogades med andra aviseringar från sensorer som identifierade samma avisering visar Azure Portal aviserings-ID:t för den första sensorn som genererade aviseringarna.

    1. Om du vill visa mer information väljer du knappen Redigera kolumner.

      I fönstret Redigera kolumner till höger väljer du Lägg till kolumn och någon av följande extra kolumner:

      Name beskrivning
      Målenhet Målenhetens IP-adress.
      Första identifieringen Första gången aviseringsaktiviteten identifierades.
      ID Aviserings-ID:t.
      Senaste aktivitet Senaste gången aviseringen ändrades, inklusive manuella uppdateringar för allvarlighetsgrad eller status, eller automatiska ändringar för enhetsuppdateringar eller deduplicering av enhet/avisering

Filteraviseringar som visas

Använd alternativen Sökruta, Tidsintervall och Lägg till filter för att filtrera aviseringarna som visas med specifika parametrar eller för att hitta en specifik avisering.

Till exempel:

Skärmbild av en sida med OT-sensoraviseringar som filtreras efter grupper.

När du filtrerar aviseringar efter grupper används anpassade grupper som du kan ha skapat i enhetsinventeringen eller på mappningssidorna för enheten.

Gruppaviseringar som visas

Använd menyn Gruppera efter längst upp till höger för att dölja rutnätet i underavsnitt baserat på allvarlighetsgrad, namn, motor eller status.

Även om det totala antalet aviseringar visas ovanför rutnätet kanske du vill ha mer specifik information om uppdelning av aviseringsantal, till exempel antalet aviseringar med en specifik allvarlighetsgrad eller status.

Visa information och åtgärda en specifik avisering

  1. Logga in på OT-sensorn och välj Aviseringar på den vänstra menyn.

  2. Välj en avisering i rutnätet för att visa mer information i fönstret till höger. Fönstret med aviseringsinformation innehåller aviseringsbeskrivningen, trafikkällan och målet med mera. Välj Visa fullständig information för att öka detaljnivån ytterligare. Till exempel:

    Skärmbild av en avisering som valts från sidan Aviseringar på en OT-sensor.

  3. Sidan med aviseringsinformation innehåller mer information om aviseringen och en uppsättning reparationssteg på fliken Vidta åtgärd .

    Använd följande flikar för att få mer sammanhangsberoende insikt:

    • Kartvy. Visa käll- och målenheterna i en kartvy med andra enheter som är anslutna till sensorn.

    • Händelsetidslinje. Visa händelsen tillsammans med annan nyligen genomförd aktivitet på de relaterade enheterna. Filtrera alternativ för att anpassa de data som visas. Till exempel:

      Skärmbild av en tidslinje för händelser på sidan med aviseringsinformation.

Hantera aviseringsstatus och sorteringsaviseringar

Se till att uppdatera aviseringsstatusen när du har vidtagit åtgärdssteg så att förloppet registreras. Du kan uppdatera statusen för en enskild avisering eller för ett urval av aviseringar i grupp.

Lär dig en avisering för att ange för Defender for IoT att den identifierade nätverkstrafiken är auktoriserad. Inlärda aviseringar utlöses inte igen nästa gång samma trafik identifieras i nätverket. Stäng av en avisering när inlärningen inte är tillgänglig och du vill ignorera ett specifikt scenario i nätverket.

Mer information finns i Aviseringsstatusar och alternativ för sortering.

  • Så här hanterar du aviseringsstatus:

    1. Logga in på ot-sensorkonsolen och välj sidan Aviseringar till vänster.

    2. Välj en eller flera aviseringar i rutnätet vars status du vill uppdatera.

    3. Använd knappen Ändra status i verktygsfältet eller alternativet Status i informationsfönstret till höger för att uppdatera aviseringsstatusen.

      Alternativet Status är också tillgängligt på sidan med aviseringsinformation.

  • Så här lär du dig en eller flera aviseringar:

    Logga in på ot-sensorkonsolen och välj sidan Aviseringar till vänster och gör sedan något av följande:

    • Välj en eller flera läsbara aviseringar i rutnätet och välj sedan Lär dig i verktygsfältet.
    • På en aviseringsinformationssida går du till fliken Vidta åtgärd och väljer Läs.

  • Så här stänger du av en avisering:

    1. Logga in på ot-sensorkonsolen och välj sidan Aviseringar till vänster.
    2. Leta upp den avisering som du vill stänga av och öppna sidan med aviseringsinformation.
    3. På fliken Vidta åtgärd aktiverar du alternativet Aviseringsavstängning.

  • Om du vill avläsa eller slå på ljudet av en avisering:

    1. Logga in på ot-sensorkonsolen och välj sidan Aviseringar till vänster.
    2. Leta upp den avisering som du har lärt dig eller inaktiverat och öppna sidan med aviseringsinformation.
    3. På fliken Vidta åtgärd inaktiverar du alternativet Aviseringslära eller Aviseringsavstängning .

    När du avläser eller avaktiverar en avisering utlöses aviseringar igen när sensorn känner av den valda trafikkombinationen.

Åtkomst till PCAP-aviseringsdata

Du kanske vill komma åt råa trafikfiler, även kallade paketinsamlingsfiler eller PCAP-filer som en del av din undersökning.

Om du vill komma åt råa trafikfiler för din avisering väljer du Ladda ned PCAP i det övre vänstra hörnet på sidan med aviseringsinformation:

Till exempel:

Skärmbild av alternativen För nedladdning av PCAP på OT-sensorn.

PCAP-filen laddas ned och webbläsaren uppmanar dig att öppna eller spara den lokalt.

Exportera aviseringar till CSV eller PDF

Du kanske vill exportera ett urval av aviseringar till en CSV- eller PDF-fil för offlinedelning och rapportering.

  • Exportera aviseringar till en CSV-fil från huvudsidan för aviseringar . Exportera aviseringar en i taget eller i bulk.
  • Exportera aviseringar till en PDF-fil en i taget, antingen från huvudsidan Aviseringar eller en aviseringsinformationssida .

Så här exporterar du aviseringar till en CSV-fil:

  1. Logga in på ot-sensorkonsolen och välj sidan Aviseringar till vänster.

  2. Använd sökrutan och filteralternativen om du bara vill visa de aviseringar som du vill exportera.

  3. I verktygsfältet ovanför rutnätet väljer du Exportera till CSV.

Filen genereras och du uppmanas att öppna eller spara den lokalt.

Så här exporterar du en avisering till en PDF-fil:

Logga in på ot-sensorkonsolen och välj sidan Aviseringar till vänster och gör sedan något av följande:

  • På sidan Aviseringar väljer du en avisering och väljer sedan Exportera till PDF i verktygsfältet ovanför rutnätet.
  • På sidan med information om aviseringar väljer du Exportera till PDF.

Filen genereras och du uppmanas att spara den lokalt.

Lägga till aviseringskommentar

Med aviseringskommentare kan du påskynda undersöknings- och reparationsprocessen genom att göra kommunikationen mellan gruppmedlemmar och registreringen av data effektivare.

Om administratören har skapat anpassade kommentarer för ditt team att lägga till i aviseringar lägger du till dem från avsnittet Kommentarer på en aviseringsinformationssida.

  1. Logga in på ot-sensorkonsolen och välj sidan Aviseringar till vänster.

  2. Leta upp aviseringen där du vill lägga till en kommentar och öppna sidan med aviseringsinformation.

  3. I listan Välj kommentar väljer du den kommentar som du vill lägga till och väljer sedan Lägg till. Till exempel:

    Skärmbild av avsnittet Kommentarer på en aviseringsinformationssida på sensorn.

Mer information finns i Accelerera arbetsflöden för OT-aviseringar.

Åtgärda aggregerade aviseringsöverträdelser

För att minska aviseringströttheten visas flera versioner av samma aviseringsöverträdelse med identiska parametrar som ett aviseringsobjekt på sidan Aviseringar. När du undersöker aviseringar identifieras en aggregerad avisering med meddelandet Flera överträdelser som visas under källenhetens IP-adress. Använd fliken Överträdelser för att undersöka ytterligare och fliken Vidta åtgärder för att åtgärda aviseringarna.

  1. Logga in på ot-sensorkonsolen och välj sidan Aviseringar till vänster.

    1. För en aggregerad avisering visas meddelandet Flera överträdelser under IP-adressen för källenheten och fliken Överträdelser visas.

  2. Välj fliken Överträdelser .

    En inventeringstabell visar de första 10 aviseringarna från den här aggregerade aviseringsgruppen.

  3. Välj Exportera för att ladda ned CSV-datafilen. Öppna filen och granska data.

  4. Välj fliken Vidta åtgärd. Följ reparationsstegen.

  5. Välj Learn om det behövs. Mer information finns i Lära dig en avisering.

Nästa steg

Datakvarhållning i Microsoft Defender för IoT