Skapa en inlärd baslinje för OT-aviseringar
Den här artikeln är en i en serie artiklar som beskriver distributionssökvägen för OT-övervakning med Microsoft Defender för IoT och beskriver hur du skapar en baslinje för inlärd trafik på din OT-sensor.
Översikt över övervakningsprocessen i flera steg
En OT-nätverkssensor börjar övervaka nätverket automatiskt när det har anslutit till nätverket och du loggar in. Nätverksenheter börjar visas i enhetsinventeringen och aviseringar utlöses för eventuella säkerhets- eller driftincidenter som inträffar i nätverket.
Defender för IoT använder en övervakningsprocess i tre steg som lär sig nätverkets normala trafikbeteende. Dessa tre steg säkerställer korrekt identifiering samtidigt som onödiga aviseringar minskas, är:
Sammanfattning av övervakningsstegen
| Läge | Syfte | Utlösaraviseringar | Användaråtgärder som krävs |
|---|---|---|---|
| Lärande | Skapar en baslinje för normal nätverkstrafik | Aviseringar om skadlig kod, aviseringar om avvikelse, driftaviseringar, aviseringar om protokollöverträdelse | Inaktivera manuellt efter 2–6 veckor eller när baslinjen visar korrekt nätverksaktivitet |
| Dynamiskt | Förfinar baslinjen och introducerar gradvis aviseringar om principöverträdelser för att säkerställa noggrannhet och minska aviseringsbruset | Principöverträdelseaviseringar introduceras | Valfritt: Justera inställningar för specifika scenarier (t.ex. under POCs) |
| Operativ | Övervakar all nätverkstrafik med en stabil baslinje, utlöser alla aviseringar för att återspegla avvikelser eller misstänkt aktivitet | Alla typer av aviseringar | Inga. Automatiskt övergångar när baslinjen stabiliseras |
Inlärningsläge
Inledningsvis körs sensorn i inlärningsläge för att övervaka all nätverkstrafik och skapa en baslinje för alla normala trafikmönster. Den här baslinjen omfattar alla enheter och protokoll i nätverket och de vanliga filöverföringar som sker mellan enheter. Den här processen tar normalt mellan 2 och 6 veckor, beroende på nätverkets storlek och komplexitet. Dessutom går alla enheter som identifieras senare in i inlärningsläge i 7 dagar för att upprätta sin baslinje för nätverkstrafik.
I inlärningsläge övervakar och skyddar sensorn din miljö genom att utlösa relevanta säkerhetsaviseringar, till exempel skadlig kod, avvikelse och driftaviseringar. Aviseringar om principöverträdelse, som indikerar avvikelser från baslinjen, utlöses dock inte när systemet är i inlärningsläge.
Dynamiskt läge
När identifieringsprocessen och nätverkstrafiken är stabil bör du inaktivera inlärningsläget manuellt. Nu övergår sensorn till dynamiskt läge. I dynamiskt läge fortsätter sensorn att övervaka nätverket, validera och förfina baslinjen. Sensorn utvärderar varje aviseringskategori och scenario individuellt och ändrar dem dynamiskt till driftsläge när deras baslinjer bekräftas vara korrekta. Om sensorn upptäcker betydande ändringar i trafiken kan den också automatiskt utöka inlärningsläget för specifika aviseringar eller scenarier.
I dynamiskt läge introduceras principöverträdelseaviseringar gradvis och börjar visas i aviseringsinventeringen.
Driftläge
När sensorn identifierar att baslinjen är stabil och slutförd övergår den automatiskt till driftläge, övervakar all nätverkstrafik och utlöser alla aviseringstyper.
Learn-åtgärden blir relevant när inlärningsläget har inaktiverats, när scenariot övergår till driftläge och du vill markera specifika åtgärder som auktoriserad eller förväntad aktivitet. När du har lärt dig kommer liknande aktivitet inte att generera nya aviseringar i framtiden.
Inaktivera inlärningsläget manuellt när aviseringsnivån korrekt återspeglar nätverksaktiviteten.
Mer information finns i Microsoft Defender för IoT-aviseringar.
Förutsättningar
Du kan utföra procedurerna i den här artikeln från Azure Portal eller en OT-sensor.
Kontrollera att du har:
En OT-sensor installerad, konfigurerad och aktiverad med aviseringar som utlöses av identifierad trafik.
Åtkomst till ot-sensorn som säkerhetsanalytiker eller administratörsanvändare . Mer information finns i Lokala användare och roller för OT-övervakning med Defender för IoT.
Triage-aviseringar
Sortera aviseringar mot slutet av distributionen för att skapa en första baslinje för nätverksaktiviteten.
Logga in på ot-sensorn och välj sidan Aviseringar .
Använd sorterings- och grupperingsalternativ för att visa dina mest kritiska aviseringar först. Granska varje avisering för att uppdatera statusar och lär dig aviseringar för OT-auktoriserad trafik.
Mer information finns i Visa och hantera aviseringar på ot-sensorn.
Nästa steg
När inlärningsläget är inaktiverat och du går från inlärningsläge till driftläge fortsätter du med något av följande:
- Visualisera Microsoft Defender för IoT-data med Azure Monitor-arbetsböcker
- Visa och hantera aviseringar från Azure Portal
- Hantera enhetsinventeringen från Azure Portal
Integrera Defender för IoT-data med Microsoft Sentinel för att förena soc-teamets säkerhetsövervakning. Mer information finns i: