你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
在本地管理控制台上查看和管理警报(旧版)
重要
Defender for IoT 现在建议使用 Microsoft 云服务或现有的 IT 基础结构进行集中监视和传感器管理,并计划于 2025 年 1 月 1 日停用本地管理控制台。
有关详细信息,请参阅部署混合或气隙 OT 传感器管理。
Microsoft Defender for IoT 警报通过有关网络中记录的事件的实时详细信息增强网络安全性和操作。 当 OT 网络传感器检测到网络流量出现了需要注意的变化或可疑活动时,会触发 OT 警报。
本文介绍如何在本地管理控制台上查看 Defender for IoT 警报,该控制台聚合来自所有连接的 OT 传感器的警报。 还可以在 Azure 门户或 OT 网络传感器上查看 OT 警报。
先决条件
在执行本文中的过程之前,请确保你有:
已安装、配置并激活的一个或多个 OT 传感器,且已将其连接到本地管理控制台。 若要按区域查看警报,请确保将每个传感器分配给一个特定区域。
以下用户角色之一有权访问本地管理控制台:
若要查看本地管理控制台中的警报,请以管理员、安全分析师或查看者用户身份登录。
若要管理本地管理控制台中的警报,请以管理员或安全分析师用户身份登录。 管理活动包括确认警报或静音警报,具体取决于警报类型。
在本地管理控制台中查看警报
登录本地管理控制台并在左侧菜单中选择“警报”。
警报显示在一个简单表格中,并以两个列显示触发警报的传感器和警报详细信息。
选择一个警报行,以展开其完整详细信息。
在展开的警报行中,执行以下任一操作以查看有关警报的详细上下文:
选择“打开传感器”以打开生成警报的传感器并继续调查。 有关详细信息,请参阅查看和管理 OT 传感器上的警报。
选择“显示设备”以在区域地图上显示相关设备。 有关详细信息,请参阅在本地管理控制台上创建 OT 站点和区域。
注意
在本地管理控制台上,“新”警报称为“未确认”,“已关闭”警报称为“已确认”。 有关详细信息,请参阅警报状态和会审选项。
筛选显示的警报
在“警报”页面的顶部,使用“免费搜索”、“站点”、“区域”、“设备”和“传感器”选项来筛选按特定参数显示的警报,或查找特定警报。
默认情况下,不列出已确认的警报。 选择“显示已确认的警报”以将其包含在列表中。
选择“清除”以删除所有筛选器。
按位置查看警报
若要查看整个全局网络中连接的 OT 传感器发出的警报,请使用本地管理控制台上的企业视图映射。
登录本地管理控制台,然后选择“企业视图”。 默认地图视图显示世界各地的站点位置。
(可选) 使用页面顶部的“所有站点”和“所有区域”菜单来筛选地图并仅显示特定站点或特定区域。
在页面顶部的“默认视图”菜单中,选择以下任一项以向下钻取到特定类型的警报:
- 风险管理。 突出显示站点风险警报,帮助你确定缓解措施的优先级并制定安全改进。
- 事件响应突出显示每个站点上的所有活动 (未确认) 警报。
- 恶意活动。 突出显示需要立即采取措施的恶意软件警报。
- 操作警报。 突出显示操作警报,例如 PLC 停止以及固件或程序上传。
在除了默认视图之外的任何视图中,您的站点将以红色、黄色或绿色显示。 红色站点的警报需要立即采取操作,黄色站点的警报需要调查理由,而绿色站点不需要执行任何操作。
选择红色或黄色的任何站点,然后选择特定 OT 传感器的
警报按钮以跳转到该传感器的当前警报。 例如:
“警报”页随即打开,并自动筛选为所选警报。
按区域查看警报
若要查看来自特定区域的已连接 OT 传感器的警报,请使用本地管理控制台上的“站点管理”页。
登录到本地管理控制台,并选择“站点管理”。
根据需要使用顶部的筛选选项找到要查看的站点和区域:
选择特定 OT 传感器的
警报按钮,以跳转到该传感器的当前警报。
管理警报状态和会审警报
根据警报类型,使用以下选项在本地管理控制台上管理警报状态:
确认或取消确认警报:在展开的警报行中,根据需要选择“确认”或“取消确认”。
静音警报或取消静音警报:在展开的警报行中,将鼠标悬停在该行的顶部,然后根据需要选择
“静音”按钮或
“取消静音”按钮。
有关详细信息,请参阅警报状态和会审选项。
将警报导出到 CSV 文件
你可能希望将一组警报导出到 CSV 文件,以便进行脱机共享和报告。
登录到本地管理控制台,然后选择“警报”页面。
使用搜索和筛选器选项仅显示要导出的警报。
选择“导出”。
CSV 文件已生成,系统会提示你在本地保存它。