你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

从 Azure 门户查看和管理警报

Microsoft Defender for IoT 警报通过有关网络中记录的事件的实时详细信息增强网络安全性和操作。 本文介绍如何在 Azure 门户上管理 Microsoft Defender for IoT 警报,包括 OT 和企业 IoT 网络传感器生成的警报。

先决条件

  • 若要在 Defender for IoT 中显示警报,必须加入 OT,并且将网络数据流式传输到 Defender for IoT。

  • 若要在 Azure 门户中查看警报,必须以安全读取者安全管理员参与者所有者的身份拥有访问权限

  • 若要在 Azure 门户中管理警报,必须以安全管理员参与者所有者的身份拥有访问权限。 警报管理活动包括修改其状态或严重性、了解警报、访问 PCAP 数据或使用警报抑制规则。

有关详细信息,请参阅 Defender for IoT 的 Azure 用户角色和权限

在 Azure 门户中查看警报

  1. 在 Azure 门户的 Defender for IoT 中,选择左侧的“警报”页。 默认情况下,网格中会显示以下详细信息:

    描述
    严重性 传感器分配的预定义警报严重性,可根据需要修改
    名称 警报标题。
    站点 与检测到警报的传感器关联的站点,如“站点和传感器”页上所列。
    引擎 检测到活动并触发了警报的 Defender for IoT 检测引擎

    注意:Micro-agent 的值指示事件由 Defender for IoT Device Builder 平台触发。
    上次检测 上次检测到警报的时间。

    - 如果警报的状态为“新建”,并且再次看到相同的流量,则会更新同一警报的“上次检测时间”。
    - 如果警报的状态为“已关闭”,并且再次看到流量,则“上次检测时间”未更新,并触发新警报。

    注意:传感器控制台实时显示警报的“上次检测”字段,而 Azure 门户中的 Defender for IoT 可能需要长达一小时才能显示更新的时间。 这解释了传感器控制台中的上次检测时间与 Azure 门户中的上次检测时间不同的情况。
    Status 警报状态:“新”、“活动”、“已关闭”

    有关详细信息,请参阅警报状态和会审选项
    源设备 IP 地址、MAC 地址或触发警报的流量所源自设备的名称。
    策略 MITRE ATT&CK 阶段
    1. 若要查看更多详细信息,请选择“编辑列”按钮。

      在右侧的“编辑列”窗格中,选择“添加列”和以下任意额外列:

      说明
      源设备地址 源设备的 IP 地址。
      目标设备地址 目标设备的 IP 地址。
      目标设备 目标 IP 或 MAC 地址,或者目标设备名称。
      首次检测 在网络中首次检测到警报的时间。
      Id 唯一警报 ID,与传感器控制台上的 ID 保持一致。

      注意:如果警报与检测到相同警报的传感器中的其他警报合并,Azure 门户将显示生成警报的第一个传感器的警报 ID。
      上次活动 上次更改警报的时间,包括针对严重性或状态的手动更新,或针对设备更新或设备/警报重复数据删除的自动更改
      协议 该警报的网络流量中检测到的协议。
      传感器 检测到警报的传感器。
      区域 分配给已检测到警报的传感器的区域。
      类别 警报关联的类别,例如操作问题、自定义警报或非法命令。
      类型 警报的内部名称。

提示

如果看到的警报数与预期的要多,可能需要创建抑制规则,以防止为合法网络活动触发警报。 有关详细信息,请参阅抑制不相关的警报

筛选显示的警报

使用“搜索”框、“时间范围”和“添加筛选器”选项以按照特定参数筛选显示的警报,或者帮助查找特定警报。

例如,按“类别”筛选警报:

Azure 门户的“警报”页面中的“类别”筛选器选项的屏幕截图。

对显示的警报进行分组

使用右上角的“分组依据”菜单根据特定参数将网格折叠为子节。

例如,虽然在网格上方显示了警报总数,但你可能想要有关警报计数明细的更具体信息,例如具有特定严重性、协议或站点的警报数。

支持的分组选项包括“引擎”、“名称”、“传感器”、“严重性”和“站点”。

查看详细信息并修正特定警报

  1. 在“警报”页上,在网格中选择一个警报,以在右侧窗格中显示更多详细信息。 警报详细信息窗格包括警报说明、流量源和目标等。

    选择“查看完整详细信息”以深入向下钻取。 例如:

    从 Azure 门户的“警报”页面中选择的警报的屏幕截图。

  2. 警报详细信息页提供有关警报的更多详细信息,以及“执行操作”选项卡上的一组修正步骤。例如:

    Azure 门户中警报详细信息页的屏幕截图。

管理警报严重性和状态

建议在会审警报后立即在 Azure 门户的 Defender for IoT 中更新警报严重性,以便尽快优先处理风险最大的警报。 确保在采取修正步骤后更新警报状态,以便记录进度。

可以更新单个警报的严重性和状态,也可以批量更新一组警报的状态。

了解向 Defender for IoT 指示检测到的网络流量已获得授权的警报。 下次在你的网络上检测到相同的流量时,不会再次触发学习警报。 仅所选警报才支持学习,并且仅支持从 OT 网络传感器取消学习。

有关详细信息,请参阅警报状态和会审选项

  • 若要管理单个警报,请执行以下操作:

    1. 在 Azure 门户的 Defender for IoT 中,选择左侧的“警报”页,然后在网格中选择警报。
    2. 无论是在右侧的详细信息窗格上,还是在警报详细信息页本身中,选择新的状态和/或严重性。
  • 若要批量管理多个警报,请执行以下操作:

    1. 在 Azure 门户的 Defender for IoT 中,选择左侧的“警报”页,然后在网格中选择要修改的警报。
    2. 使用工具栏中的“更改状态”和/或“更改严重性”选项来更新所有选定警报的状态和/或严重性。
  • 阅悉一个或多个警报:

    在 Azure 门户的 Defender for IoT 中,选择左侧的“警报”页,然后执行下列操作之一:

    • 在网格中选择一个或多个可阅悉警报,然后在工具栏中选择“阅悉”。
    • 在可了解警报的警报详细信息页上,在“执行操作”选项卡中,选择“了解”。

访问警报 PCAP 数据

在调查过程中,可能需要访问原始流量文件,也称为数据包捕获文件或 PCAP 文件。 如果你是 SOC 或 OT 安全工程师,请直接从Azure 门户访问 PCAP 文件,帮助你以更快的速度调查。

若要访问警报的原始流量文件,请在警报详情页面的左上角选择“下载 PCAP”。

例如:

“下载 PCAP”按钮的屏幕截图。

门户从检测到警报的传感器请求文件并将其下载到你的 Azure 存储。

下载 PCAP 文件可能需要几分钟时间,具体取决于传感器连接的质量。

将警报导出到 CSV 文件

你可能希望将一组警报导出到 CSV 文件,以便进行脱机共享和报告。

  1. 在 Azure 门户的 Defender for IoT 中,选择左侧的“警报”页。

  2. 使用搜索框和筛选器选项仅显示要导出的警报。

  3. 在网格上方的工具栏中,选择“导出”>“确认”。

文件已生成,系统会提示你在本地保存它。

后续步骤