你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
在 OT 网络传感器上查看和管理警报
Microsoft Defender for IoT 警报通过有关网络中记录的事件的实时详细信息增强网络安全性和操作。 当 OT 网络传感器检测到网络流量出现了需要注意的变化或可疑活动时,会触发 OT 警报。
本文介绍如何直接在 OT 网络传感器上查看 Defender for IoT 警报。 你也可以在 Azure 门户或本地管理控制台上查看 OT 警报。
有关详细信息,请参阅 Microsoft Defender for IoT 警报。
先决条件
若要在 OT 传感器上收到警报,必须为传感器配置 SPAN 端口,并安装 Defender for IoT 监视软件。 有关详细信息,请参阅安装 OT 无代理监视软件。
若要在 OT 传感器上查看警报,请以 Admin、Security Analyst 或 Viewer 用户身份登录到传感器。
若要在 OT 传感器上管理警报,请以 Admin 或 Security Analyst 用户身份登录到传感器。 警报管理活动包括修改其状态或严重性、阅悉或静音警报、访问 PCAP 数据或向警报添加预定义注释。
有关详细信息,请参阅使用 Defender for IoT 进行 OT 监视的本地用户和角色。
在 OT 传感器上查看警报
登录到 OT 传感器控制台,然后选择左侧的“警报”页。
默认情况下,网格中会显示以下详细信息:
名称 说明 严重性 传感器指定的预定义警报严重性(可以根据需要修改),包括:严重、主要、次要、警告。 名称 警报标题 引擎 检测到活动并触发了警报的 Defender for IoT 检测引擎。 上次检测 上次检测到警报的时间。
- 如果警报的状态为“新建”,并且再次看到相同的流量,则会更新同一警报的“上次检测时间”。
- 如果警报的状态为“已关闭”,并且再次看到流量,则“上次检测时间”未更新,并触发新警报。
注意:传感器控制台实时显示警报的“上次检测”字段,而 Azure 门户中的 Defender for IoT 可能需要长达一小时才能显示更新的时间。 这解释了传感器控制台中的上次检测时间与 Azure 门户中的上次检测时间不同的情况。Status 警报状态:“新”、“活动”、“已关闭”
有关详细信息,请参阅警报状态和会审选项。源设备 源设备 IP 地址、MAC 或设备名称。 Id 唯一警报 ID,与 Azure 门户上的 ID 保持一致。
注意:如果警报与检测到相同警报的传感器中的其他警报合并,Azure 门户将显示生成警报的第一个传感器的警报 ID。若要查看更多详细信息,请选择“编辑列”
按钮。在右侧的“编辑列”窗格中,选择“添加列”和以下任意额外列:
名称 说明 目标设备 目标设备 IP 地址。 首次检测 检测到警报活动的首次时间。 ID 警报 ID。 上次活动 上次更改警报的时间,包括针对严重性或状态的手动更新,或针对设备更新或设备/警报重复数据删除的自动更改
筛选显示的警报
使用“搜索”框、“时间范围”和“添加筛选器”选项以按照特定参数筛选显示的警报,或者帮助查找特定警报。
例如:
按“组”筛选警报将使用可能在设备清单或设备映射页中创建的任何自定义组。
对显示的警报进行分组
使用右上角的“分组依据”菜单,根据“严重性”、“名称”、“引擎”或“状态”将网格折叠为子部分。
例如,虽然在网格上方显示了警报总数,但你可能想要有关警报计数明细的更具体信息,例如具有特定严重性或状态的警报数。
查看详细信息并修正特定警报
登录到 OT 传感器,然后在左侧菜单中选择“警报”。
在网格中选择一个警报,以在右侧窗格中显示更多详细信息。 警报详细信息窗格包括警报说明、流量源和目标等。 选择“查看完整详细信息”以深入向下钻取。 例如:
警报详细信息页提供有关警报的更多详细信息,以及“执行操作”选项卡上的一组修正步骤。
使用以下选项卡获得更多上下文见解:
地图视图。 使用连接到传感器的其他设备在地图视图中查看源和目标设备。
事件时间线。 查看事件以及相关设备上的其他最近活动。 用于自定义所显示数据的筛选器选项。 例如:
管理警报状态和会审警报
确保在采取修正步骤后更新警报状态,以便记录进度。 可以更新单个警报的状态,也可以批量更新一组警报的状态。
了解向 Defender for IoT 指示检测到的网络流量已获得授权的警报。 下次在你的网络上检测到相同的流量时,不会再次触发学习警报。 当无法阅悉并且你想要忽略网络上的特定场景时,将警报设为静音。
有关详细信息,请参阅警报状态和会审选项。
管理警报状态:
登录到 OT 传感器控制台,然后选择左侧的“警报”页。
在要更新状态的网格中选择一个或多个警报。
使用工具栏“更改状态”
按钮或右侧详细信息窗格中的“状态”选项更新警报状态。警报详细信息页上也提供了“状态”
选项。
阅悉一个或多个警报:
登录到 OT 传感器控制台,选择左侧的“警报”页,然后执行下列操作之一:
- 在网格中选择一个或多个可阅悉警报,然后在工具栏中选择“
阅悉”。 - 在警报详细信息页上的“执行操作”选项卡中,选择“了解”。
- 在网格中选择一个或多个可阅悉警报,然后在工具栏中选择“
将警报静音:
- 登录到 OT 传感器控制台,然后选择左侧的“警报”页。
- 找到要静音的警报,打开其警报详细信息页。
- 在“执行操作”选项卡上,启用“警报静音”选项。
对警报取消阅悉或取消静音:
- 登录到 OT 传感器控制台,然后选择左侧的“警报”页。
- 找到已阅悉或静音的警报,打开其警报详细信息页。
- 在“执行操作”选项卡上,关闭“警报阅悉”或“警报静音”选项。
对警报取消阅悉或取消静音后,每当传感器检测到所选流量组合时,就会重新触发警报。
访问警报 PCAP 数据
在调查过程中,可能需要访问原始流量文件,也称为数据包捕获文件或 PCAP 文件。
若要访问警报的原始流量文件,请从警报详情页面的左上角选择“下载 PCAP”:
例如:
PCAP 文件已下载,浏览器会提示你在本地打开或保存它。
将警报导出为 CSV 或 PDF
你可能希望将一组警报导出到 CSV 或 PDF 文件,以便进行脱机共享和报告。
- 从主“警报”页将警报导出到 CSV 文件。 一次导出一个警报或批量导出警报。
- 从主“警报”页面或警报详细信息页将警报导出到 PDF 文件,一次导入一个。
将警报导出到 CSV 文件:
登录到 OT 传感器控制台,然后选择左侧的“警报”页。
使用搜索框和筛选器选项仅显示要导出的警报。
在网格上方的工具栏中,选择“导出到 CSV”。
文件已生成,系统会提示你在本地打开或保存它。
将警报导出到 PDF 文件:
登录到 OT 传感器控制台,选择左侧的“警报”页,然后执行下列操作之一:
- 在“警报”页上,选择警报,然后从网格上方的工具栏中选择“导出为 PDF”。
- 在警报详细信息页上,选择“导出为 PDF”。
文件已生成,系统会提示你在本地保存它。
添加警报注释
警报注释可提高团队成员沟通和记录数据的效率,从而帮助你加快调查和修正过程。
如果管理员已创建自定义注释供团队添加到警报中,请从警报详细信息页上的“注释”部分添加它们。
登录到 OT 传感器控制台,然后选择左侧的“警报”页。
找到要添加注释的警报,打开警报详细信息页。
从“选择注释”列表中,选择要添加的注释,然后选择“添加”。 例如:
有关详细信息,请参阅加速 OT 警报工作流。