建立 OT 警示的獲悉基準
本文是一系列文章中的一篇,說明如何使用適用於 IoT 的 Microsoft Defender 進行 OT 監視的部署路徑,並說明如何在 OT 感應器上建立獲悉流量的基準。
多階段監視程式概觀
OT 網路感測器會在網路連線到網路並登入之後,自動開始監視您的網路。 網路裝置開始出現在您的裝置詳細目錄中,並針對您網路中發生的任何安全性或作業事件觸發警示。
適用於IoT的Defender採用三個階段監視程式,瞭解您網路的一般流量行為。 這三個階段可確保正確偵測,同時減少不必要的警示,包括:
監視階段的摘要
| [模式] | 目的 | 觸發警示 | 所需的用戶動作 |
|---|---|---|---|
| 學習 | 建置一般網路流量的基準 | 惡意代碼警示、異常警示、作警示、通訊協議違規警示 | 在 2 到 6 周之後或基準反映精確的網路活動時手動關閉 |
| 動態 | 精簡基準,同時逐步導入原則違規警示,以確保精確度並減少警示雜訊 | 原則違規警示已推出 | 選擇性:調整特定案例的設定(例如在 POC 期間) |
| 運作 | 使用穩定的基準監視所有網路流量,並觸發所有警示以反映偏差或可疑活動 | 所有類型的警示 | 無。 當基準穩定時自動轉換 |
學習模式
一開始,感測器會以 學習 模式執行,以監視所有網路流量,並建立所有一般流量模式的基準。 此基準包含您網路中的所有裝置和通訊協定,以及裝置之間發生的一般檔案傳輸。 此程式通常需要 2 到 6 周,視您的網路大小和複雜性而定。 此外,任何稍後探索到的裝置會進入學習模式 7 天,以建立其網路流量基準。
在學習模式中,感測器會觸發相關的安全性警示,例如惡意代碼、異常和作警示,來監視並保護您的環境。 不過,在系統處於學習模式時,不會觸發指出與基準偏差的原則違規警示。
動態模式
探索程式與網路流量穩定之後,您應該手動關閉學習模式。 此時,感測器會轉換成動態模式。 在動態模式中,感測器會繼續監視您的網路、驗證和精簡基準。 感測器會個別評估每個警示類別和案例,並在確認其基準正確時,以動態方式將其變更為作模式。 或者,如果感測器偵測到流量的重大變更,它可能會自動擴充特定警示或案例的學習模式。
在動態模式中,會逐步導入原則違規警示,並開始出現在警示清查中。
操作模式
感測器識別基準穩定且完成之後,就會自動轉換成作模式,監視所有網路流量並觸發所有警示類型。
當案例轉換為作模式時,學習動作會在學習模式關閉之後變成相關,而您想要將特定作業標示為已授權或預期的活動。 一旦了解之後,類似的活動將不會在未來產生新的警示。
當警示層級正確地反映您的網路活動時,請手動 關閉學習模式。
如需詳細資訊,請參閱適用於 IoT 的 Microsoft Defender 警示。
必要條件
您可以從 Azure 入口網站 或 OT 感測器執行本文中的程式。
在開始之前,請確定您具有下列項目:
已安裝、設定及啟動 OT 感測器,並已偵測到流量觸發警示。
以 [安全性分析人員] 或 [系統管理員] 使用者身分存取 OT 感應器。 如需詳細資訊,請參閱使用適用於 IoT 的 Defender 進行 OT 監視的內部部署使用者和角色。
警示分級
在部署結束時將警示分級,以建立網路活動的初始基準。
登入您的 OT 感應器,然後選取 [警示] 頁面。
使用排序和分組選項,先檢視您最重要的警示。 檢閱每個警示以更新狀態,並了解 OT 授權流量的警示。
如需詳細資訊,請參閱檢視和管理 OT 感應器上的警示。
下一步
關閉學習模式之後,您可以從學習模式移至作業模式,繼續執行下列任一項:
整合適用於 IoT 的 Defender 資料與 Microsoft Sentinel,以統一 SOC 小組的安全性監視。 如需詳細資訊,請參閱