Undersöka incidenter och aviseringar
Microsoft Defender för IoT i Microsoft Defender-portalen visar incidenter och aviseringar som förbättrar nätverkets säkerhet och åtgärder med realtidsinformation om händelser som loggas i ditt nätverk för driftteknik (OT).
Aviseringar är grunden för alla incidenter och anger förekomsten av skadliga eller misstänkta händelser i din miljö. I en incident analyserar du aviseringarna som påverkar nätverket, förstår vad de innebär och sorterar bevisen så att du kan utforma en effektiv reparationsplan.
Läs mer om aviseringar och incidenter i Defender-portalen.
I den här artikeln får du lära dig hur du undersöker en Microsoft Defender for IoT-incident och tillhörande aviseringar samt hur du åtgärdar de säkerhetsproblem som genereras av aviseringen.
Aviseringar på sidan Incidenter kombinerar unikt IT- och OT-miljösignaler för att identifiera potentiella hot och dataläckor. Sidan Incidenter visar:
- En historik över aviseringarna som är anslutna till incidenten och ett incidentdiagram. Diagrammet visar andra enheter som är anslutna till den berörda OT-enheten som också kan komprometteras.
- Aviseringsbeskrivningar som förklarar typen av identifierat säkerhetsproblem.
- Reparationsalternativ för att lösa säkerhetsproblemet.
Obs!
Incident- och aviseringsdata för Defender för IoT visas bara när du har konfigurerat en webbplats och dina enheter skickar data till Defender-portalen. Lär dig hur du konfigurerar en webbplats.
Viktigt
Den här artikeln beskriver Microsoft Defender för IoT i Defender-portalen (förhandsversion).
Om du är en befintlig kund som arbetar med den klassiska Defender för IoT-portalen (Azure-portalen) läser du dokumentationen om Defender för IoT i Azure.
Läs mer om Defender för IoT-hanteringsportaler.
Viss information i den här artikeln gäller en förhyrd produkt som kan ändras avsevärt innan den släpps kommersiellt. Microsoft lämnar inga garantier, uttryckta eller underförstådda, med avseende på den information som tillhandahålls här.
Undersöka aviseringar
Så här undersöker du en avisering:
I menyn i Microsoft Defender-portalen väljer du Incidenter & aviseringar > Incidenter.
Så här visar du OT-relaterade incidenter:
- Välj Lägg till filter.
- Välj Produktnamn och välj Lägg till.
- Välj fliken Produktnamn som visas och skriv: Defender för IoT.
- Välj Använd.
Leta upp och välj en incident.
Den specifika incidentsidan visar attackberättelsen som består av aviseringstidslinjen, en incidentgraf och incidentinformationen.
Välj en avisering i aviseringslistan.
Incidentdiagrammet och incidentinformationen visar specifika data för den här aviseringen.
I panelen Incident granskar du informationen, läser aviseringsbeskrivningen, Bevis och påverkade tillgångar och följer de rekommenderade åtgärderna avisering för att åtgärda problemet.
Defender for IoT-avisering
Defender för IoT genererar en egen unik avisering.
| Namn | Beskrivning |
|---|---|
| Möjlig driftspåverkan på grund av en komprometterad enhet | En komprometterad enhet kommunicerade med en tillgång för driftsteknik (OT). En angripare kan försöka kontrollera eller störa fysiska åtgärder. |
Avancerad jakt
Använd egenskapen Webbplats som anges i tabellen DeviceInfo för att skriva frågor för avancerad jakt. På så sätt kan du filtrera enheter efter en specifik plats, till exempel alla enheter som kommunicerade med skadliga enheter på en viss plats.
Följande fråga visar en lista över alla slutpunktsenheter med den specifika IP-adressen på San Francisco-webbplatsen.
DeviceInfo
|where Site == "SanFrancisco" and PublicIP == "192.168.1.1" and DeviceCategory == "Endpoint"
Detta är relevant för både enhetsinventering och platssäkerhet. Mer information finns i Avancerad jakt och DeviceInfo-schemat för avancerad jakt.