建立 OT 警示的獲悉基準
本文是一系列文章中的一篇,說明如何使用適用於 IoT 的 Microsoft Defender 進行 OT 監視的部署路徑,並說明如何在 OT 感應器上建立獲悉流量的基準。
了解學習模式
OT 網路感應器會在其連線到您的網路且您已登入之後,自動開始監視該網路。 網路裝置開始出現在您的裝置詳細目錄中,並針對您網路中發生的任何安全性或作業事件觸發警示。
一開始,此活動會以學習模式進行,這會指示您的 OT 感應器了解您網路的一般活動,包括網路中的裝置和通訊協定,以及特定裝置之間發生的一般檔案傳輸。 任何定期偵測到的活動都會變成您網路的基準流量。
提示
利用學習模式中的時間將警報分級,並「獲悉」您想要標示為已授權且預期的活動。 在下次偵測到相同流量時,獲悉流量就不會產生新的警示。
關閉學習模式之後,與基準資料不同的任何活動都會觸發警示。
如需詳細資訊,請參閱適用於 IoT 的 Microsoft Defender 警示。
學習模式時間表
根據您的網路大小和複雜度,建立 OT 警示基準可能需要數天到數週的時間。 當感應器偵測到新偵測到的流量減少時 (這通常是在部署後的 2-6 週之間),學習模式會自動關閉。
如果您覺得目前的警示正確地反映您的網路活動,請在上述情況前手動關閉學習模式。
必要條件
您可以從 Azure 入口網站、OT 感應器或內部部署管理主控台執行本文中的程序。
在開始之前,請確定您具有下列項目:
以 [安全性分析人員] 或 [系統管理員] 使用者身分存取 OT 感應器。 如需詳細資訊,請參閱使用適用於 IoT 的 Defender 進行 OT 監視的內部部署使用者和角色。
警示分級
在部署結束時將警示分級,以建立網路活動的初始基準。
登入您的 OT 感應器,然後選取 [警示] 頁面。
使用排序和分組選項,先檢視您最重要的警示。 檢閱每個警示以更新狀態,並了解 OT 授權流量的警示。
如需詳細資訊,請參閱檢視和管理 OT 感應器上的警示。
下一步
關閉學習模式之後,您已從「學習」模式移至「作業」模式。 繼續執行下列任一項:
整合適用於 IoT 的 Defender 資料與 Microsoft Sentinel,以統一 SOC 小組的安全性監視。 如需詳細資訊,請參閱