Upozornění Microsoft Defenderu pro IoT
Výstrahy Microsoft Defenderu pro IoT vylepšují zabezpečení sítě a operace s podrobnostmi o událostech přihlášených v síti v reálném čase. Výstrahy se aktivují, když síťové senzory OT detekují změny nebo podezřelou aktivitu v síťovém provozu, které potřebují vaši pozornost.
Příklad:
Pomocí podrobností zobrazených na stránce Upozornění nebo na stránce s podrobnostmi výstrahy můžete prošetřit a provést akci, která opraví všechna rizika pro vaši síť, a to buď ze souvisejících zařízení, nebo ze síťového procesu, který výstrahu aktivoval.
Tip
Pomocí kroků pro nápravu upozornění můžete týmům SOC pomoct pochopit možné problémy a jejich řešení. Doporučujeme zkontrolovat doporučené kroky nápravy před aktualizací stavu upozornění nebo provedením akce v zařízení nebo síti.
Možnosti správy výstrah
Výstrahy Defenderu pro IoT jsou k dispozici na webu Azure Portal, konzolách síťových snímačů OT a v místní konzole pro správu. S zabezpečením Enterprise IoT jsou v Microsoftu 365 Defenderu pro koncové body k dispozici také výstrahy pro zařízení Enterprise IoT zjištěná v programu Defender for Endpoint.
I když můžete zobrazit podrobnosti o upozorněních, prozkoumat kontext výstrahy a určit jejich prioritu a spravovat stav výstrahy z libovolného z těchto umístění, každé umístění také nabízí další akce upozornění. Následující tabulka popisuje výstrahy podporované pro každé umístění a další akce dostupné pouze z tohoto umístění:
Umístění | Popis | Další akce upozornění |
---|---|---|
Azure Portal | Upozornění ze všech senzorů OT připojených ke cloudu | - Zobrazení souvisejících taktik a technik MITRE ATT&CK - Použití předefinovaných sešitů pro přehled o výstrahách s vysokou prioritou – Umožňuje zobrazit výstrahy z Microsoft Sentinelu a provádět hlubší šetření pomocí playbooků a sešitů Microsoft Sentinelu. |
Konzoly síťových snímačů OT | Výstrahy vygenerované tímto senzorem OT | – Zobrazení zdroje a cíle výstrahy na mapě zařízení – Zobrazení souvisejících událostí na časové ose události - Přesměrovávat výstrahy přímo dodavatelům partnerů - Vytvoření komentářů k upozorněním – Vytvoření vlastních pravidel upozornění – Odučení upozornění |
Místní konzola pro správu | Výstrahy generované připojenými senzory OT | - Přesměrovávat výstrahy přímo dodavatelům partnerů – Vytvoření pravidel vyloučení upozornění |
Microsoft 365 Defender | Výstrahy vygenerované pro zařízení IoT organizace zjištěné v programu Microsoft Defender for Endpoint | – Správa dat výstrah společně s dalšími daty Microsoftu 365 Defenderu, včetně rozšířeného proaktivního vyhledávání |
Tip
Všechny výstrahy generované z různých senzorů ve stejné zóně během 10minutového časového rámce se stejným typem, stavem, protokolem upozornění a přidruženými zařízeními jsou uvedeny jako jedno sjednocené upozornění.
- Časový rámec 10 minut je založený na čase prvního zjišťování výstrahy.
- Jedno sjednocené upozornění obsahuje seznam všech senzorů, které výstrahu detekovaly.
- Výstrahy se kombinují na základě protokolu upozornění , a ne na protokolu zařízení.
Další informace naleznete v tématu:
- Uchovávání dat výstrah
- Zrychlení pracovních postupů upozornění OT
- Stavy výstrah a možnosti třídění
- Plánování lokalit a zón OT
Možnosti upozornění se také liší v závislosti na vaší poloze a roli uživatele. Další informace najdete v tématu Role a oprávnění uživatele Azure a místní uživatele a role.
Prioritní výstrahy v prostředích OT/IT
Organizace, kde se senzory nasazují mezi OT a IT sítěmi, řeší mnoho výstrah souvisejících s provozem OT i IT. Množství výstrah, z nichž některé jsou irelevantní, mohou způsobit únavu výstrah a ovlivnit celkový výkon. Aby bylo možné tyto výzvy vyřešit, defender for IoT používá zásady detekce své různé moduly výstrah, aby se zaměřily na výstrahy s obchodním dopadem a významem pro síť OT a snížily výstrahy související s IT nízkou hodnotou. Upozornění na neautorizované připojení k internetu je například vysoce relevantní v síti OT, ale má relativně nízkou hodnotu v síti IT.
Pokud se chcete zaměřit na výstrahy aktivované v těchto prostředích, všechny moduly upozornění s výjimkou malwarového modulu aktivují výstrahy pouze v případě, že zjistí související podsíť nebo protokol OT. Pokud ale chcete zachovat aktivaci výstrah, které indikují kritické scénáře:
- Malware engine aktivuje výstrahy malwaru bez ohledu na to, jestli výstrahy souvisejí s OT nebo IT zařízeními.
- Ostatní moduly zahrnují výjimky pro kritické scénáře. Například provozní modul aktivuje výstrahy související s přenosem ze senzorů bez ohledu na to, jestli výstraha souvisí s provozem OT nebo IT.
Správa upozornění OT v hybridním prostředí
Uživatelé pracující v hybridních prostředích můžou spravovat upozornění OT v defenderu pro IoT na webu Azure Portal, senzoru OT a místní konzole pro správu.
Poznámka:
Zatímco konzola senzoru zobrazuje pole Poslední detekce výstrahy v reálném čase, může zobrazení aktualizovaného času v programu Defender for IoT na webu Azure Portal trvat až jednu hodinu. To vysvětluje scénář, kdy poslední čas detekce v konzole senzoru není stejný jako čas poslední detekce na webu Azure Portal.
Stavy výstrah se jinak plně synchronizují mezi webem Azure Portal a senzorem OT a mezi senzorem a místní konzolou pro správu. To znamená, že bez ohledu na to, kde výstrahu spravujete v programu Defender for IoT, se výstraha aktualizuje i v jiných umístěních.
Nastavení stavu upozornění na zavřené nebo ztlumené na senzoru nebo místní konzole pro správu aktualizuje stav upozornění na Uzavřeno na webu Azure Portal. V místní konzole pro správu se stav uzavřené výstrahy nazývá Potvrzeno.
Tip
Pokud pracujete s Microsoft Sentinelem, doporučujeme nakonfigurovat integraci tak, aby synchronizovala také stav upozornění se službou Microsoft Sentinel, a pak spravovat stavy výstrah společně s souvisejícími incidenty Microsoft Sentinelu.
Další informace najdete v kurzu : Zkoumání a zjišťování hrozeb pro zařízení IoT.
Upozornění Enterprise IoT a Microsoft Defender for Endpoint
Pokud používáte zabezpečení Enterprise IoT v Programu Microsoft 365 Defender, jsou výstrahy pro zařízení Enterprise IoT zjištěná v programu Microsoft Defender for Endpoint dostupné jenom v Programu Microsoft 365 Defender. Mnoho detekcí založených na síti z Microsoft Defenderu pro koncový bod je relevantních pro podniková zařízení IoT, jako jsou výstrahy aktivované kontrolami zahrnujícími spravované koncové body.
Další informace najdete v tématu Zabezpečení zařízení IoT v podniku a ve frontě Upozornění v Programu Microsoft 365 Defender.
Zrychlení pracovních postupů upozornění OT
Nová upozornění se automaticky zavřou, pokud se 90 dnů po počáteční detekci nezjistí žádný identický provoz. Pokud se během prvních 90 dnů zjistí stejný provoz, resetuje se 90denní počet.
Kromě výchozího chování můžete chtít svým týmům pro správu SOC a OT pomoct rychleji určit prioritu a napravit výstrahy. Přihlaste se ke snímači OT nebo místní konzole pro správu jako Správa uživatel, aby používal následující možnosti:
Vytvořte vlastní pravidla upozornění. Pouze senzory OT.
Přidejte vlastní pravidla upozornění, která aktivují výstrahy pro konkrétní aktivitu ve vaší síti, které nejsou zahrnuty do výchozí funkce.
Například pro prostředí, na kterém běží MODBUS, můžete přidat pravidlo pro detekci všech zapsaných příkazů do registru paměti na konkrétní IP adrese a cíli sítě Ethernet.
Další informace najdete v tématu Vytvoření vlastních pravidel upozornění na senzorU OT.
Vytvořte komentáře k upozorněním. Pouze senzory OT.
Vytvořte sadu komentářů k upozorněním, které můžou přidávat ostatní uživatelé senzoru OT k jednotlivým výstrahám, s podrobnostmi, jako jsou vlastní kroky zmírnění rizik, komunikace s ostatními členy týmu nebo další přehledy nebo upozornění týkající se události.
Členové týmu můžou tyto vlastní komentáře opakovaně používat při třídění a správě stavů výstrah. Komentáře k upozorněním se zobrazují v oblasti komentářů na stránce s podrobnostmi výstrahy. Příklad:
Další informace najdete v tématu Vytváření komentářů k upozornění na senzor OT.
Vytvořit pravidla vyloučení výstrah: Pouze místní konzoly pro správu.
Pokud pracujete s místní konzolou pro správu, definujte pravidla vyloučení výstrah, která ignorují události napříč několika senzory, které splňují konkrétní kritéria. Můžete například vytvořit pravidlo vyloučení upozornění, které bude ignorovat všechny události, které by během určitého časového období údržby aktivovaly irelevantní výstrahy.
Upozornění ignorovaná pravidly vyloučení se nezobrazují na webu Azure Portal, senzoru nebo místní konzole pro správu ani v protokolech událostí.
Další informace najdete v tématu Vytvoření pravidel vyloučení výstrah v místní konzole pro správu.
Předávání dat výstrah partnerským systémům do partnerských systémů SIEM, serverů syslog, zadaných e-mailových adres a dalších.
Podporuje se jak ze senzorů OT, tak z místních konzol pro správu. Další informace najdete v tématu Předávání informací o výstrahách.
Stavy výstrah a možnosti třídění
Ke správě výstrah v programu Defender for IoT použijte následující stavy výstrah a možnosti třídění.
Při třídění výstrah zvažte, že některé výstrahy můžou odrážet platné změny sítě, například autorizované zařízení, které se pokouší o přístup k novému prostředku na jiném zařízení.
Možnosti třídění ze senzoru OT a místní konzoly pro správu jsou dostupné jenom pro výstrahy OT, ale možnosti dostupné na webu Azure Portal jsou k dispozici pro výstrahy OT i Enterprise IoT.
Další informace o jednotlivých stavech výstrah a možnostech třídění najdete v následující tabulce.
Akce stavu nebo třídění | K dispozici na | Popis |
---|---|---|
New | – Azure Portal - Síťové senzory OT – Místní konzola pro správu |
Nové výstrahy jsou výstrahy, které zatím tým nevyhodnotili nebo prošetřili. Nový provoz zjištěný pro stejná zařízení negeneruje nové upozornění, ale přidá se do existující výstrahy. V místní konzole pro správu se nové výstrahy nazývají Neoznačené. Poznámka: Může se zobrazit více upozornění, nová nebo nevěděná upozornění se stejným názvem. V takových případech se každá samostatná výstraha aktivuje samostatným provozem na různých sadách zařízení. |
Aktivní | – Pouze Azure Portal | Nastavte upozornění na aktivní , aby bylo možné označit, že probíhá šetření, ale že upozornění ještě nejde zavřít nebo jinak určit prioritu. Tento stav nemá v programu Defender for IoT žádný vliv. |
Zavřeno | – Azure Portal - Síťové senzory OT – Místní konzola pro správu |
Zavřete výstrahu, abyste označili, že je plně prošetřená, a chcete být znovu upozorněni při dalším zjištění stejného provozu. Zavření upozornění přidá na časovou osu události senzoru. V místní konzole pro správu se nové výstrahy označují jako potvrzené. |
Informace | – Azure Portal - Síťové senzory OT – Místní konzola pro správu Odučení výstrahy je k dispozici pouze na senzoru OT. |
Přečtěte si upozornění, když ho chcete zavřít, a přidat ho jako povolený provoz, abyste se při příštím zjištění stejného provozu znovu neoznačili. Například když senzor zjistí změny verze firmwaru podle standardních postupů údržby nebo když se do sítě přidá nové očekávané zařízení. Učení výstraha výstrahu zavře a přidá položku na časovou osu události senzoru. Zjištěný provoz je součástí sestav dolování dat, ale ne při výpočtu jiných sestav snímačů OT. Učení výstrahy jsou k dispozici pouze pro vybrané výstrahy, většinou pro výstrahy aktivované Upozornění modulu zásad a anomálií |
Mute | - Síťové senzory OT – Místní konzola pro správu Zrušení ztlumení výstrahy je k dispozici pouze na senzoru OT. |
Ztlumte výstrahu, pokud ji chcete zavřít a neuvidíte znovu pro stejný provoz, ale bez přidání povoleného provozu upozornění. Například když provozní modul aktivuje výstrahu, která indikuje, že se na zařízení změnil režim PLC. Nový režim může znamenat, že PLC není zabezpečený, ale po šetření je zjištěno, že je nový režim přijatelný. Ztlumení výstrahy se zavře, ale nepřidá položku na časovou osu události senzoru. Zjištěný provoz je součástí sestav dolování dat, ale ne při výpočtu dat pro jiné sestavy snímačů. Ztlumení výstrahy je k dispozici pouze pro vybrané výstrahy, většinou pro ty, které aktivují anomálie, porušení protokolu nebo operační moduly. |
Tip
Pokud předem víte, které události jsou pro vás irelevantní, například během časového období údržby nebo pokud nechcete událost sledovat na časové ose události, vytvořte místo toho pravidlo vyloučení upozornění v místní konzole pro správu.
Další informace najdete v tématu Vytvoření pravidel vyloučení výstrah v místní konzole pro správu.
Třídění výstrah OT během režimu učení
Učení režim odkazuje na počáteční období po nasazení senzoru OT, když senzor OT zjistí základní aktivitu vaší sítě, včetně zařízení a protokolů v síti, a pravidelné přenosy souborů, ke kterým dochází mezi konkrétními zařízeními.
Pomocí režimu učení proveďte počáteční třídění výstrah ve vaší síti a seznamte se s těmi, které chcete označit jako autorizovanou a očekávanou aktivitu. Naučený provoz negeneruje nová upozornění při příštím zjištění stejného provozu.
Další informace najdete v tématu Vytvoření naučeného směrného plánu výstrah OT.
Další kroky
Projděte si typy výstrah a zprávy, které vám pomůžou pochopit a naplánovat akce nápravy a integrace playbooků. Další informace najdete v tématu Typy a popisy výstrah monitorování OT.