你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
创建习得的 OT 警报基线
本文是介绍使用 Microsoft Defender for IoT 进行 OT 监视的部署路径的系列文章之一,介绍了如何在 OT 传感器上创建习得流量的基线。
多阶段监视流程概述
OT 网络传感器在连接到网络且你登录后,开始监视网络。 网络设备开始显示在设备清单中,并且网络中发生任何安全或操作事件时会触发警报。
Defender for IoT 采用三阶段监视流程,以此了解网络的正常流量行为。 以下三个阶段确保准确检测同时减少不必要警报:
监视阶段摘要
| 模式 | 用途 | 触发警报 | 所需的用户操作 |
|---|---|---|---|
| 学习 | 生成正常网络流量的基线 | 恶意软件警报、异常警报、操作警报、协议违规警报 | 在 2 - 6 周后或当基线反映准确的网络活动时手动关闭 |
| 动态 | 优化基线,同时逐步引入策略违反警报,以确保准确性并减少警报干扰 | 引入了策略违反警报 | 可选:针对特定场景(如在 POC 期间)调整设置 |
| 可运行 | 使用稳定的基线监视所有网络流量,触发所有警报以反映偏差或可疑活动 | 所有类型的警报 | 无。 基线稳定时自动转换 |
学习模式
最初,传感器以学习模式运行,以监视你的所有网络流量,并建立所有正常流量模式的基线。 此基线包含网络中的所有设备和协议,以及设备之间发生的常规文件传输。 此过程通常需要 2 到 6 周,具体取决于网络的规模和复杂程度。 此外,之后发现的任何设备都会进入学习模式 7 天,以建立其网络流量基线。
在学习模式下,传感器通过触发相关安全警报(如恶意软件、异常和操作警报)来监视并保护你的环境。 不过,在系统处于学习模式时,不会触发指示偏离基线情况的策略违反警报。
动态模式
一旦发现过程和网络流量稳定,应手动关闭学习模式。 此时,传感器将转换为动态模式。 在动态模式下,传感器继续监视你的网络,验证并优化基线。 传感器会单独评估每个警报类别和场景,当他们的基线被确认为准确时,动态地将它们转换为运行模式。 或者,如果传感器检测到流量发生重大变化,可能会针对特定警报或场景自动延长学习模式。
在动态模式下,策略违反警报会逐步引入,并开始出现在警报清单中。
操作模式
一旦传感器识别出基线稳定且完整,它会自动转换到运行模式,监视所有网络流量并触发所有警报类型。
在学习模式关闭后,当场景转换到运行模式,且你希望将特定操作标记为授权或预期活动时,“学习”操作会发挥作用。 一旦完成学习,类似活动今后将不会生成新警报。
当警报级别准确反映网络活动时,手动关闭学习模式。
有关详细信息,请参阅 Microsoft Defender for IoT 警报。
先决条件
可以从 Azure 门户或 OT 传感器执行本文中的过程。
在开始之前,请确保已做好以下准备:
以“安全分析师”或“管理员”用户身份访问 OT 传感器。 有关详细信息,请参阅使用 Defender for IoT 进行 OT 监视的本地用户和角色。
会审警报
在部署快要结束时会审警报,为网络活动创建初始基线。
登录 OT 传感器并选择“警报”页。
首先使用排序和分组选项查看最关键的警报。 查看每个警报以更新状态并学习 OT 授权流量的警报。
有关详细信息,请参阅在 OT 网络传感器上查看和管理警报。
后续步骤
关闭学习模式后,从学习模式切换到运行模式时,可继续执行以下任一操作:
将 Defender for IoT 数据与 Microsoft Sentinel 集成,以统一 SOC 团队的安全监视。 有关详细信息,请参阅: