適用於 IoT 的 Microsoft Defender 警示
適用於 IoT 的 Microsoft Defender 警示會藉助您網路中所記錄事件的即時詳細資料,來增強您的網路安全性和作業。 當 OT 網路感應器在需要注意的網路流量中偵測到變更或可疑活動時,就會觸發警示。
例如:
![Azure 入口網站 中 [警示] 頁面的螢幕快照。](media/how-to-view-manage-cloud-alerts/main-alert-page.png#lightbox)
使用 [警示] 頁面上或警示詳細資料頁面上顯示的詳細資料,調查並採取動作,以從相關裝置或觸發警示的網路程序補救任何網路的風險。
提示
使用警示補救步驟來協助SOC小組了解可能的問題和解決方案。 建議您先檢閱建議的補救步驟,再更新警示狀態,或在裝置或網路上採取動作。
警示管理選項
適用於 IoT 的 Defender 警示可在 Azure 入口網站 或 OT 網路感測器控制台中使用。 有了企業 IoT 安全性,針對 Microsoft 365 Defender 中適用於端點的 Defender 偵測到的企業 IoT 裝置也會提供警示。
雖然您可以檢視警示詳細資料、調查警示內容,以及分級和管理來自這些位置的警示狀態,但每個位置也會提供額外的警示動作。 下表說明每個位置支援的警示,以及僅可從該位置取得的額外動作:
| Location | 描述 | 額外的警示動作 |
|---|---|---|
| Azure 入口網站 | 來自所有雲端連線 OT 感應器的警示 | - 檢視相關的 MITRE ATT&CK 策略和技術 - 使用立即可用的活頁簿來查看高優先順序警示 - 檢視來自 Microsoft Sentinel 的警示,並使用 Microsoft Sentinel 劇本和活頁簿執行更深入的調查。 |
| OT 網路感應器主控台 | 該 OT 感應器所產生的警示 | - 在裝置對應中檢視警示的來源和目的地 - 在事件時間表上檢視相關事件 - 直接將警示轉寄給合作夥伴廠商 - 建立警示註解 - 建立自訂警示規則 - 取消學習警示 |
| Microsoft 365 Defender | 針對適用於端點的 Microsoft Defender 偵測到的企業 IoT 裝置所產生的警示 | - 與其他 Microsoft 365 Defender 資料一起管理警示資料,包括進階搜捕 |
提示
在 10 分鐘的時間範圍內,從相同區域中不同感應器產生的任何警示,相同類型、狀態、警示通訊協定和相關聯的裝置都會列為單一整合的警示。
- 10 分鐘的時間範圍是以警示的第一次偵測時間為基礎。
- 單一整合的警示會列出偵測到警示的所有感應器。
- 警示會根據警示通訊協定來合併,而不是裝置通訊協定。
如需詳細資訊,請參閱
警示選項也會根據您的位置和使用者角色而有所不同。 如需詳細資訊,請參閱 Azure 使用者角色和權限和內部部署使用者和角色。
匯總警示違規
大量相同警示所造成的警示疲勞可能會導致小組無法查看或補救重要警示。 [警示] 頁面中所列的每個警示都是網络違規的結果,例如 Modbus 函式程式碼的未省略使用量。 將具有相同參數的違規和補救需求匯總成單一警示清單,可減少 [警示] 頁面上顯示的警示數目。 比對參數會根據警示類型而有所不同。 例如, Unpermitted Usage of Modbus 函式程式代碼 警示必須有相同的來源和目的地 IP 位址,才能產生匯總的警示違規。 匯總的警示可能包含具有不同違規代碼的警示,例如讀取和寫入程序代碼。
您下載匯總的警示違規數據,其中會列出每個具有相關參數和函式的警示,做為警示詳細數據之 [違規] 索引標籤標的 CSV 檔案。 此數據可協助小組根據 [ 採取動作 ] 索引標籤中的補救建議,更有效地識別模式、評估影響並設定回應優先順序。只有具有相同補救程式的警示會匯總成單一警示。 不過,個別違規事件仍可在各自的裝置內個別檢視,以提供額外的清晰性。
可匯總的警示會列在匯總標題下的 [警示參考原則引擎警示] 數據表中。
警示群組會出現在 OT 感測器控制台和 Azure 入口網站 中。 如需詳細資訊,請參閱在感測器控制台中補救匯總警示,並在 Azure 入口網站 中補救匯總警示。
OT/IT 環境的聚焦警示
在 OT 和 IT 網路之間部署許多感應器的組織需要處理許多關於 OT 和 IT 流量的警示。 為數眾多的警示 (其中包括不相關的警示) 可能會導致警示疲乏並影響整體效能。 為了解決這些挑戰,適用於 IoT 的 Defender 偵測原則會引導其不同的警示引擎專注於具有業務影響及與 OT 網路相關性的警示,同時減少低價值 IT 相關警示。 例如,未經授權的網際網路連線警示在 OT 網路中高度相關,但在 IT 網路中具有相對較低的值。
若要集中這些環境中觸發的警示,除了惡意程式碼引擎以外的所有警示引擎,只有在偵測到相關的 OT 子網路或通訊協定時才會觸發警示。
不過,若要維護指出重大案例警示的觸發:
- 不論警示與 OT 或 IT 裝置有關,惡意程式碼引擎都會觸發惡意程式碼警示。
- 其他引擎包含重大案例的例外狀況。 例如,作業引擎會觸發與感應器流量相關的警示,不論警示是否與 OT 或 IT 流量有關。
在混合式環境中管理 OT 警示
在混合式環境中工作的用戶可以在適用於IoT的Defender中管理 Azure 入口網站或OT感測器上的OT警示。
注意
雖然感應器主控台即時顯示警示的 [上次偵測] 欄位,但 Azure 入口網站中適用於 IoT 的 Defender 最多可能需要一小時才能顯示更新的時間。 這說明感應器主控台中上次偵測時間與 Azure 入口網站中上次偵測時間不同的情況。
警示狀態會在 Azure 入口網站 與 OT 感測器之間完全同步。 這表示無論您在 IoT Defender 中管理警示的位置為何,警示也會在其他位置更新。
將警示狀態設定為 [已關閉] 或 [感測器上已靜音] 會將警示狀態更新為 [關閉] Azure 入口網站。
提示
如果您使用 Microsoft Sentinel,建議您設定整合以與 Microsoft Sentinel 同步警示狀態,然後與相關的 Microsoft Sentinel 事件一起管理警示狀態。
如需詳細資訊,請參閱教學課程:調查和偵測對 IoT 裝置的威脅。
企業 IoT 警示和適用於端點的 Microsoft Defender
如果您在 Microsoft 365 Defender 中使用企業 IoT 安全性,適用於端點的 Microsoft Defender 偵測到的企業 IoT 裝置警示僅適用於 Microsoft 365 Defender。 適用於端點的 Microsoft Defender 中的許多網路型偵測都與企業 IoT 裝置相關,例如由涉及受控端點的掃描所觸發的警示。
如需詳細資訊,請參閱保護企業的 IoT 裝置,以及 Microsoft 365 Defender 中的警示佇列。
加速 OT 警示工作流程
如果未在初始偵測的 90 天後偵測到相同的流量,便會自動關閉新的警示。 如果在前 90 天內偵測到相同的流量,則會重設 90 天計數。
除了預設行為之外,您可能還想要協助 SOC 和 OT 管理小組更快速地分級和補救警示。 以系統管理員使用者身分登入 OT 感測器,以使用下列選項:
建立自訂警示規則。 僅限 OT 感應器。
新增自訂警示規則,以觸發警示,提醒您網路上立即可用可用功能所未涵蓋的特定活動。
例如,針對執行 MODBUS 的環境,您可能需要新增一個規則,藉以偵測特定 IP 位址和乙太網路目的地上記憶體暫存器的任何寫入命令。
如需詳細資訊,請參閱在 OT 感應器上建立自訂警示規則。
建立警示註解。 僅限 OT 感應器。
建立一組警示註解,讓其他 OT 感應器使用者可以新增至個別警示,其中包含自訂緩解步驟、與其他小組成員通訊,或事件的其他深入解析或警告等詳細資料。
小組成員可以在分級和管理警示狀態時重複使用這些自訂註解。 警示註解會顯示在警示詳細資料頁面上的註解區域中。 例如:
如需詳細資訊,請參閱 在 OT 感應器上建立警示註解。
將警示資料轉送給合作夥伴系統、合作夥伴 SIEM、Syslog 伺服器、指定的電子郵件位址等等。
從 OT 感測器支援,如需詳細資訊,請參閱 轉寄警示資訊。
警示狀態和分級選項
使用下列警示狀態和分級選項來管理適用於 IoT 的 Defender 之間的警示。
分級警示時,請考慮某些警示可能會反映有效的網路變更,例如嘗試在另一部裝置上存取新資源的授權裝置。
雖然 OT 感測器的分級選項僅適用於 OT 警示,但 Azure 入口網站 上可用的選項同時適用於 OT 和企業 IoT 警示。
使用下表深入了解每個警示狀態和分級選項。
| 狀態/分級動作 | 可用日期 | 描述 |
|---|---|---|
| 新增 | - Azure 入口網站 - OT 網路感測器 |
「新的」警示是尚未由小組分級或調查的警示。 針對相同裝置偵測到的新流量不會產生新的警示,但會新增至現有的警示。 注意:您可能會看到多個 具有相同名稱的新 警示。 在這種情況下,每個個別的警示都會由不同一組裝置上的個別流量觸發。 |
| 使用中 | - 僅限 Azure 入口網站 | 將警示設定為 [作用中] 表示調查正在進行中,但警示尚無法關閉或分級。 此狀態在適用於 IoT 的 Defender 中沒有作用。 |
| 結案 | - Azure 入口網站 - OT 網路感測器 |
關閉警示,指出它已完全調查,且您想要在下一次偵測到相同流量時再次收到警示。 關閉警示會將它新增至感應器事件時間表。 |
| 了解 | - Azure 入口網站 - OT 網路感應器 只有在 OT 感應器上才能使用「取消學習」警示。 |
當您想要關閉警示並新增為允許的流量時,請學習警示,以便在下次偵測到相同流量時再次收到警示。 例如,當感應器偵測到韌體版本變更後續標準維護程序,或當新的預期裝置新增至網路時。 學習警示會關閉警示,並將項目新增至感應器事件時間表。 偵測到的流量會包含在資料採礦報告中,但在計算其他 OT 感應器報告時則不會。 學習警示僅適用於選取的警示,主要是由「原則」和「異常」引擎警示觸發的警示。 |
| 靜音 | - OT 網路感應器 「取消靜音」警示僅適用於 OT 感應器。 |
當您想要關閉警示,而不會針對相同的流量再次看到警示,但不需要新增允許的流量時,請將警示設為靜音。 例如,當操作引擎觸發警示,表示裝置上的「PLC 模式」已變更時。 新的模式可能表示 PLC 不安全,但在調查之後,判斷新模式是可接受的。 將警示設為靜音會關閉它,但不會將項目新增至感應器事件時間表。 偵測到的流量會包含在資料採礦報告中,但在計算其他感應器報告的資料時則不會。 將警示設為靜音僅適用於選取的警示,主要是由異常、通訊協定違規或操作引擎觸發的警示。 |
在學習模式期間分級 OT 警示
學習模式是指部署 OT 感應器之後的初始期間,當您的 OT 感應器學習網路的基準活動時,包括網路中裝置和通訊協定,以及特定裝置之間發生的一般檔案傳輸。
使用學習模式在網路中警示上執行初始分級,以學習您想要標示為已授權的預期活動。 在下次偵測到相同流量時,獲悉流量就不會產生新的警示。
如需詳細資訊,請參閱建立已學習的 OT 警示基準。
下一步
請檢閱警示類型和訊息,以協助您了解及規劃補救動作和劇本整合。 如需詳細資訊,請參閱 OT 監視警示類型和描述。