مشاركة عبر

التحقيق في تنبيه شبكة OT والاستجابة له

  • مقالة

توضح هذه المقالة كيفية التحقق من تنبيه شبكة OT والاستجابة له في Microsoft Defender for IoT.

قد تكون مهندسا في مركز عمليات الأمان (SOC) باستخدام Microsoft Sentinel، الذي شاهد حادثا جديدا في مساحة عمل Microsoft Sentinel ويستمر في Defender for IoT للحصول على مزيد من التفاصيل حول الأجهزة ذات الصلة وخطوات المعالجة الموصى بها.

بدلا من ذلك، قد تكون مهندس OT يراقب التنبيهات التشغيلية مباشرة في Defender for IoT. قد لا تكون التنبيهات التشغيلية ضارة ولكن يمكن أن تشير إلى نشاط تشغيلي يمكن أن يساعد في التحقيقات الأمنية.

المتطلبات الأساسية

قبل أن تبدأ، تأكد من أن لديك:

التحقيق في تنبيه من مدخل Microsoft Azure

في صفحة تفاصيل التنبيه في مدخل Microsoft Azure، ابدأ بتغيير حالة التنبيه إلى نشط، مما يشير إلى أنه قيد التحقيق حاليا.

على سبيل المثال:

Screenshot of changing an alert status on the Azure portal.

هام

إذا كنت تدمج مع Microsoft Sentinel، فتأكد من إدارة حالة التنبيه فقط من الحدث في Microsoft Sentinel. لا تتم مزامنة حالات التنبيهات من Defender for IoT إلى Microsoft Sentinel.

بعد تحديث الحالة، تحقق من صفحة تفاصيل التنبيه للحصول على التفاصيل التالية للمساعدة في التحقيق الخاص بك:

  • تفاصيل جهاز المصدر والوجهة. يتم سرد أجهزة المصدر والوجهة في علامة تبويب تفاصيل التنبيه، وأيضا في منطقة الكيانات أدناه، ككيانات Microsoft Sentinel، مع صفحات الكيان الخاصة بها. في منطقة الكيانات، ستستخدم الارتباطات الموجودة في عمود الاسم لفتح صفحات تفاصيل الجهاز ذات الصلة لمزيد من التحقيق.

  • الموقع و/أو المنطقة. تساعدك هذه القيم على فهم الموقع الجغرافي وموقع الشبكة للتنبيه وإذا كانت هناك مناطق من الشبكة أصبحت الآن أكثر عرضة للهجوم.

  • أساليب وتقنيات MITRE ATT CK . مرر لأسفل في الجزء الأيمن لعرض جميع تفاصيل MITRE ATT&CK. بالإضافة إلى أوصاف التكتيكات والتقنيات، حدد الارتباطات إلى موقع MITRE ATT&CK لمعرفة المزيد حول كل منها.

  • تنزيل PCAP. في أعلى الصفحة، حدد Download PCAP لتنزيل ملفات نسبة استخدام الشبكة الأولية للتنبيه المحدد.

ابحث عن تنبيهات أخرى يتم تشغيلها بواسطة نفس المصدر أو الجهاز الوجهة. قد تشير الارتباطات بين تنبيهات متعددة إلى أن الجهاز في خطر ويمكن استغلاله.

على سبيل المثال، قد يشير الجهاز الذي حاول الاتصال ب IP ضار، بالإضافة إلى تنبيه آخر حول تغييرات برمجة PLC غير المصرح بها على الجهاز، إلى أن المهاجم قد تمكن بالفعل من التحكم في الجهاز.

للعثور على التنبيهات ذات الصلة في Defender for IoT:

  1. في صفحة Alerts ، حدد تنبيها لعرض التفاصيل على اليمين.

  2. حدد موقع ارتباطات الجهاز في منطقة الكيانات، إما في جزء التفاصيل على اليمين أو في صفحة تفاصيل التنبيه. حدد ارتباط كيان لفتح صفحة تفاصيل الجهاز ذات الصلة، لكل من جهاز المصدر والوجهة.

  3. في صفحة تفاصيل الجهاز، حدد علامة التبويب Alerts لعرض جميع التنبيهات لهذا الجهاز. على سبيل المثال:

    Screenshot of the Alerts tab on a device details page.

التحقيق في تفاصيل التنبيه على مستشعر OT

سيكون لدى مستشعر OT الذي قام بتشغيل التنبيه المزيد من التفاصيل للمساعدة في التحقيق الخاص بك.

لمتابعة التحقيق الخاص بك على مستشعر OT:

  1. سجل الدخول إلى مستشعر OT كمستخدم عارض أو محلل أمان.

  2. حدد صفحة التنبيهات وابحث عن التنبيه الذي تحقق فيه. حدد **عرض مزيد من التفاصيل لفتح صفحة تفاصيل تنبيه مستشعر OT. على سبيل المثال:

    Screenshot of the alert on the sensor console.

في صفحة تفاصيل تنبيه المستشعر:

  • حدد علامة التبويب طريقة عرض الخريطة لعرض التنبيه داخل خريطة جهاز مستشعر OT، بما في ذلك أي أجهزة متصلة.

  • حدد علامة التبويب Event timeline لعرض المخطط الزمني الكامل للحدث للتنبيه، بما في ذلك النشاط الآخر ذي الصلة الذي تم اكتشافه أيضا بواسطة مستشعر OT.

  • حدد تصدير PDF لتنزيل ملخص PDF لتفاصيل التنبيه.

اتخاذ إجراء المعالجة

قد يعتمد توقيت وقت اتخاذ إجراءات المعالجة على خطورة التنبيه. على سبيل المثال، بالنسبة للتنبيهات عالية الخطورة، قد تحتاج إلى اتخاذ إجراء حتى قبل التحقيق، مثل ما إذا كنت بحاجة إلى عزل منطقة من شبكتك على الفور.

بالنسبة للتنبيهات الأقل خطورة، أو للتنبيهات التشغيلية، قد تحتاج إلى التحقيق الكامل قبل اتخاذ إجراء.

لمعالجة تنبيه، استخدم Defender التالي لموارد IoT:

  • في صفحة تفاصيل التنبيه على مدخل Microsoft Azure أو مستشعر OT، حدد علامة التبويب اتخاذ إجراء لعرض تفاصيل حول الخطوات الموصى بها للتخفيف من المخاطر.

  • في صفحة تفاصيل الجهاز في مدخل Microsoft Azure، لكل من أجهزة المصدر والوجهة:

    • حدد علامة التبويب الثغرات الأمنية وتحقق من وجود ثغرات أمنية تم اكتشافها على كل جهاز.

    • حدد علامة التبويب التوصيات وتحقق من توصيات الأمان الحالية لكل جهاز.

يمكن أن توفر بيانات الثغرات الأمنية وتوصيات الأمان ل Defender for IoT إجراءات بسيطة يمكنك اتخاذها للتخفيف من المخاطر، مثل تحديث البرامج الثابتة أو تطبيق تصحيح. قد تستغرق الإجراءات الأخرى المزيد من التخطيط.

عند الانتهاء من أنشطة التخفيف من المخاطر والاستعداد لإغلاق التنبيه، تأكد من تحديث حالة التنبيه إلى مغلق أو إعلام فريق SOC لمزيد من إدارة الحوادث.

إشعار

إذا قمت بتكامل Defender for IoT مع Microsoft Sentinel، فلن يتم تحديث تغييرات حالة التنبيه التي تجريها في Defender for IoT في Microsoft Sentinel. تأكد من إدارة التنبيهات في Microsoft Sentinel مع الحدث ذي الصلة.

فرز التنبيهات بانتظام

فرز التنبيهات بشكل منتظم لمنع إرهاق التنبيه في شبكتك والتأكد من أنك قادر على رؤية التنبيهات المهمة والتعامل معها في الوقت المناسب.

لفرز التنبيهات:

  1. في Defender for IoT في مدخل Microsoft Azure، انتقل إلى صفحة التنبيهات. بشكل افتراضي، يتم فرز التنبيهات حسب عمود الكشف الأخير، من أحدث تنبيه إلى أقدم تنبيه، بحيث يمكنك أولا رؤية أحدث التنبيهات في شبكتك.

  2. استخدم عوامل تصفية أخرى، مثل أداة الاستشعار أو الخطورة للعثور على تنبيهات محددة.

  3. تحقق من تفاصيل التنبيه وتحقق حسب الحاجة قبل اتخاذ أي إجراء تنبيه. عندما تكون مستعدا، قم باتخاذ إجراء على صفحة تفاصيل التنبيه لتنبيه معين، أو في صفحة التنبيهات للإجراءات المجمعة.

    على سبيل المثال، قم بتحديث حالة التنبيه أو الخطورة، أو تعرف على تنبيه لتخويل حركة المرور المكتشفة. لا يتم تشغيل التنبيهات المستفادة مرة أخرى إذا تم الكشف عن نفس حركة المرور الدقيقة مرة أخرى.

    Screenshot of a Learn button on the alert details page.

بالنسبة للتنبيهات عالية الخطورة، قد ترغب في اتخاذ إجراء على الفور.

الخطوات التالية

تعزيز الوضع الأمني من خلال توصيات الأمان