你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
创建习得的 OT 警报基线
本文是介绍使用 Microsoft Defender for IoT 进行 OT 监视的部署路径的系列文章之一,介绍了如何在 OT 传感器上创建习得流量的基线。
了解学习模式
OT 网络传感器会在连接到网络并且你登录后自动开始监视你的网络。 网络设备开始显示在设备清单中,并且网络中发生任何安全或操作事件时会触发警报。
最初,此活动在“学习”模式下发生,这会指示 OT 传感器了解网络的常规活动,包括网络中的设备和协议,以及在特定设备之间发生的常规文件传输。 任何定期检测到的活动都将成为网络的基线流量。
提示
在学习模式下花时间会审警报,学习要标记为授权预期活动的警报。 下次检测到相同的流量时,习得流量不会生成新警报。
学习模式关闭后,异于基线数据的任何活动都将触发警报。
有关详细信息,请参阅 Microsoft Defender for IoT 警报。
学习模式时间线
创建 OT 警报的基线可能需要几天到几周的时间,具体取决于网络大小和复杂性。 当传感器检测到新检测到的流量减少时(通常在部署后 2-6 周之间),学习模式会自动关闭。
如果觉得当前警报准确反映了网络活动,请先手动关闭学习模式。
先决条件
可以从 Azure 门户、OT 传感器或本地管理控制台执行本文中的过程。
在开始之前,请确保已做好以下准备:
以“安全分析师”或“管理员”用户身份访问 OT 传感器。 有关详细信息,请参阅使用 Defender for IoT 进行 OT 监视的本地用户和角色。
会审警报
在部署快要结束时会审警报,为网络活动创建初始基线。
登录 OT 传感器并选择“警报”页。
首先使用排序和分组选项查看最关键的警报。 查看每个警报以更新状态并学习 OT 授权流量的警报。
有关详细信息,请参阅在 OT 网络传感器上查看和管理警报。
后续步骤
关闭学习模式后,已从学习模式移动到操作模式。 继续执行以下任一操作:
将 Defender for IoT 数据与 Microsoft Sentinel 集成,以统一 SOC 团队的安全监视。 有关详细信息,请参阅: