Předávání informací o upozornění místního OT
Výstrahy Microsoft Defenderu pro IoT vylepšují zabezpečení sítě a operace s podrobnostmi o událostech přihlášených v síti v reálném čase. Upozornění OT se aktivují, když síťové senzory OT detekují změny nebo podezřelou aktivitu v síťovém provozu, které potřebují vaši pozornost.
Tento článek popisuje, jak nakonfigurovat senzor OT nebo místní konzolu pro správu tak, aby předával výstrahy partnerským službám, serverům syslogu, e-mailovým adresám a dalším. Informace o přeposlaných výstrahách obsahují podrobnosti, jako jsou:
- Datum a čas upozornění
- Modul, který zjistil událost
- Název upozornění a popisná zpráva
- Závažnost výstrahy
- Zdrojový a cílový název a IP adresa
- Zjištěn podezřelý provoz
- Odpojené senzory
- Selhání vzdáleného zálohování
Poznámka:
Pravidla přeposílání upozornění se spouštějí jenom u výstrah aktivovaných po vytvoření pravidla předávání. Na upozornění již v systému před vytvořením pravidla předávání nemá pravidlo vliv.
Požadavky
V závislosti na tom, kde chcete vytvořit pravidla upozornění pro předávání, musíte mít nainstalovaný buď síťový senzor OT, nebo místní konzolu pro správu s přístupem jako uživatel Správa.
Další informace najdete v tématu Instalace softwaru monitorování bez agentů OT a místních uživatelů a rolí pro monitorování OT pomocí Defenderu pro IoT.
Musíte také definovat nastavení PROTOKOLU SMTP na senzoru OT nebo v místní konzole pro správu.
Další informace najdete v tématu Konfigurace nastavení poštovního serveru SMTP na senzoru OT a konfigurace nastavení poštovního serveru SMTP v místní konzole pro správu.
Vytvoření pravidel předávání na senzoru OT
Přihlaste se k senzoru OT a v nabídce >vlevo vyberte Přeposílání + Vytvořit nové pravidlo.
V podokně Přidat pravidlo pro předávání zadejte smysluplný název pravidla a pak definujte podmínky a akce pravidla následujícím způsobem:
Název Popis Minimální úroveň upozornění Vyberte minimální úroveň závažnosti výstrahy, kterou chcete přeposlat.
Pokud například vyberete podverze, podverze výstrahy a všechny výstrahy nad touto úrovní závažnosti se přeposílají.Byl zjištěn jakýkoli protokol. Zapněte, aby se výstrahy předávaly ze všech přenosů protokolu, nebo vypněte a vyberte konkrétní protokoly, které chcete zahrnout. Provoz zjištěný jakýmkoli modulem Zapněte, aby se upozornění přeposílala ze všech analytických modulů, nebo vypněte a vyberte konkrétní moduly, které chcete zahrnout. Akce Vyberte typ serveru, na který chcete předávat výstrahy, a pak definujte všechny další požadované informace pro daný typ serveru.
Pokud chcete do stejného pravidla přidat více serverů, vyberte + Přidat server a přidejte další podrobnosti.
Další informace najdete v tématu Konfigurace akcí pravidel předávání výstrah.Po dokončení konfigurace pravidla vyberte Uložit. Pravidlo je uvedené na stránce Předávání .
Otestujte pravidlo, které jste vytvořili:
- Vyberte nabídku možností (...) pro pravidlo >Odeslat testovací zprávu.
- Přejděte do cílové služby a ověřte, že byly přijaty informace odeslané senzorem.
Úprava nebo odstranění pravidel předávání na senzoru OT
Úprava nebo odstranění existujícího pravidla:
Přihlaste se ke snímači OT a v nabídce vlevo vyberte Přeposílání .
Vyberte nabídku možností (...) pravidla a pak udělejte jednu z těchto věcí:
Podle potřeby vyberte Upravit a aktualizujte pole. Až budete hotovi, zvolte tlačítko Uložit.
Odstranění potvrďte výběrem možnosti Odstranit>ano.
Vytvoření pravidel předávání v místní konzole pro správu
Vytvoření pravidla předávání v konzole pro správu:
Přihlaste se k místní konzole pro správu a v nabídce vlevo vyberte Přeposílání .
+ Výběrem tlačítka v pravém horním rohu vytvořte nové pravidlo.
V okně Vytvořit pravidlo předávání zadejte smysluplný název pravidla a pak definujte podmínky a akce pravidla následujícím způsobem:
Název Popis Minimální úroveň upozornění V pravém horním rohu dialogového okna vyberte pomocí rozevíracího seznamu minimální úroveň závažnosti výstrahy, kterou chcete přeposlat.
Pokud například vyberete podverze, podverze výstrahy a všechny výstrahy nad touto úrovní závažnosti se přeposílají.Protokoly Chcete-li předávat výstrahy ze všech přenosů protokolu, vyberte možnost Vše, pokud chcete přidat pouze konkrétní protokoly. Motory Pokud chcete výstrahy aktivované všemi analytickými moduly senzorů přeposlat, vyberte Možnost Vše, pokud chcete přidat jenom konkrétní moduly. Systémová oznámení Pokud chcete upozornit na odpojené senzory nebo selhání vzdáleného zálohování, vyberte možnost Oznámení systému sestav. Oznámení o upozorněních Výběrem možnosti Oznámení o upozornění na sestavu můžete upozornit na datum a čas výstrahy, název, závažnost, název zdroje a cíl a IP adresu, podezřelý provoz a modul, který událost detekoval. Akce Výběrem možnosti Přidat přidáte akci, která se má použít, a zadejte hodnoty parametrů potřebné pro vybranou akci. Opakováním podle potřeby přidejte více akcí.
Další informace najdete v tématu Konfigurace akcí pravidel předávání výstrah.Po dokončení konfigurace pravidla vyberte ULOŽIT. Pravidlo je uvedené na stránce Předávání .
Otestujte pravidlo, které jste vytvořili:
- Na řádku pravidla vyberte
test tohoto tlačítka pravidla pro přeposílání. Pokud se zpráva úspěšně odeslala, zobrazí se oznámení o úspěchu. - Přejděte do partnerského systému a ověřte, že byly přijaty informace odeslané senzorem.
- Na řádku pravidla vyberte
Úprava nebo odstranění pravidel předávání v místní konzole pro správu
Úprava nebo odstranění existujícího pravidla:
Přihlaste se k místní konzole pro správu a v nabídce vlevo vyberte Přeposílání .
Najděte řádek pravidla a vyberte
tlačítko Upravit nebo
Odstranit.Pokud pravidlo upravujete, aktualizujte pole podle potřeby a vyberte ULOŽIT.
Pokud pravidlo odstraňujete, potvrďte odstranění výběrem možnosti POTVRDIT .
Konfigurace akcí pravidel předávání výstrah
Tato část popisuje, jak nakonfigurovat nastavení pro podporované akce pravidel předávání, a to buď na senzoru OT, nebo v místní konzole pro správu.
Akce e-mailové adresy
Nakonfigurujte akci e-mailu, která přeposílala data upozornění na nakonfigurovanou e-mailovou adresu.
V oblasti Akce zadejte následující podrobnosti:
| Název | Popis |
|---|---|
| Server | Vyberte E-mail. |
| Poslat e-mail | Zadejte e-mailovou adresu, na kterou chcete upozornění přeposlat. Každé pravidlo podporuje jednu e-mailovou adresu. |
| Časové pásmo | Vyberte časové pásmo, které chcete použít pro detekci výstrah v cílovém systému. |
Akce serveru Syslog
Nakonfigurujte akci serveru Syslog pro předávání dat výstrah na vybraný typ serveru Syslog.
V oblasti Akce zadejte následující podrobnosti:
| Název | Popis |
|---|---|
| Server | Vyberte jeden z následujících typů formátů syslogu: - SysLOG Server (formát CEF) - SysLOG Server (formát LEEF) - Server SYSLOG (objekt) - Server SYSLOG (textová zpráva) |
| Port hostitele / | Zadejte název hostitele a port serveru syslog. |
| Časové pásmo | Vyberte časové pásmo, které chcete použít pro detekci výstrah v cílovém systému. |
| Protokol | Podporuje se jenom u textových zpráv. Vyberte TCP nebo UDP. |
| Povolení šifrování | Podporuje se jenom pro formát CEF. Zapněte konfiguraci souboru šifrovacího certifikátu TLS, souboru klíče a přístupového hesla. |
Následující části popisují syntaxi výstupu syslogu pro každý formát.
Výstupní pole textové zprávy syslogu
| Název | Popis |
|---|---|
| Priorita | Uživatel. Výstrahy |
| Message | Název platformy CyberX: Název senzoru. Upozornění Microsoft Defenderu pro IoT: Název výstrahy. Typ: Typ výstrahy. Může to být porušení protokolu, porušení zásad, malware, anomálie nebo provoz. Závažnost: Závažnost výstrahy. Může to být upozornění, podverze, hlavní nebo kritické. Zdroj: Název zdrojového zařízení. Zdrojová IP adresa: IP adresa zdrojového zařízení. Protokol (volitelné): Zjištěný zdrojový protokol. Adresa (volitelné): Zdrojová adresa protokolu. Cíl: Název cílového zařízení. Cílová IP adresa: IP adresa cílového zařízení. Protokol (volitelné): Zjištěný cílový protokol. Adresa (volitelné): Cílová adresa protokolu. Zpráva: Zpráva výstrahy. Skupina výstrah: Skupina upozornění přidružená k upozornění. UUID (volitelné): UUID výstrahy. |
Výstupní pole objektu Syslog
| Název | Popis |
|---|---|
| Priorita | User.Alert |
| Datum a čas | Datum a čas, kdy počítač serveru syslog obdržel informace. |
| Název hostitele | IP adresa senzoru |
| Message | Název senzoru: Název zařízení. Čas upozornění: Čas zjištění výstrahy: Může se lišit od času počítače serveru syslog a závisí na konfiguraci časového pásma pravidla předávání. Název výstrahy: Název výstrahy. Zpráva upozornění: Zpráva výstrahy. Závažnost výstrahy: Závažnost výstrahy: Upozornění, Vedlejší, Hlavní nebo Kritická. Typ výstrahy: Porušení protokolu, Porušení zásad, Malware, Anomálie nebo Provoz. Protokol: Protokol výstrahy. Source_MAC: IP adresa, název, dodavatel nebo operační systém zdrojového zařízení. Destination_MAC: IP adresa, název, dodavatel nebo operační systém cíle. Pokud chybí data, hodnota je N/A. alert_group: Skupina upozornění přidružená k upozornění. |
Výstupní pole SYSlog CEF
| Název | Popis |
|---|---|
| Priorita | User.Alert |
| Datum a čas | Datum a čas odeslání informací ze senzoru ve formátu UTC |
| Název hostitele | Název hostitele senzoru |
| Message | CEF:0 Microsoft Defender pro IoT/CyberX Název senzoru Verze snímače Upozornění Microsoft Defenderu pro IoT Název upozornění Celočíselná indikace závažnosti 1=Upozornění, 4=Podverze, 8=Hlavní nebo 10=Kritické. msg= Zpráva výstrahy. protocol= Protokol výstrahy. severity= Warning, Minor, Major nebo Critical. type= Porušení protokolu, Porušení zásad, Malware, Anomálie nebo Provoz. UUID= UUID výstrahy (volitelné) start= Čas zjištění výstrahy. Může se lišit od času počítače serveru syslog a závisí na konfiguraci časového pásma pravidla předávání. src_ip= IP adresa zdrojového zařízení. (Volitelné) src_mac= adresa MAC zdrojového zařízení. (Volitelné) dst_ip= IP adresa cílového zařízení. (Nepovinné) dst_mac= adresa MAC cílového zařízení. (Nepovinné) cat= Skupina upozornění přidružená k upozornění. |
Výstupní pole Syslog LEEF
| Název | Popis |
|---|---|
| Priorita | User.Alert |
| Datum a čas | Datum a čas odeslání informací ze senzoru ve formátu UTC |
| Název hostitele | IP adresa senzoru |
| Message | Název senzoru: Název zařízení Microsoft Defender for IoT. LEEF:1.0 Microsoft Defender pro IoT Senzor Verze snímače Upozornění Microsoft Defenderu pro IoT title: Název výstrahy. msg: Zpráva výstrahy. protokol: Protokol výstrahy. závažnost: Upozornění, Vedlejší, Hlavní nebo Kritická. type: Typ výstrahy: Porušení protokolu, Porušení zásad, Malware, Anomálie nebo Provoz. start: Čas výstrahy. Může se lišit od času počítače serveru syslog a závisí na konfiguraci časového pásma. src_ip: IP adresa zdrojového zařízení. dst_ip: IP adresa cílového zařízení. cat: Skupina upozornění přidružená k upozornění. |
Akce serveru Webhook
Podporováno pouze z místní konzoly pro správu
Nakonfigurujte akci Webhooku pro konfiguraci integrace, která se přihlásí k odběru událostí upozornění Defenderu for IoT. Odešlete například data výstrahy na server webhooku, aby se aktualizoval externí systém SIEM, systém SOAR nebo systém správy incidentů.
Pokud jste nakonfigurovali upozornění, která se mají předávat na server webhooku a aktivuje se událost upozornění, místní konzola pro správu odešle datovou část HTTP POST na nakonfigurovanou adresu URL webhooku.
V oblasti Akce zadejte následující podrobnosti:
| Název | Popis |
|---|---|
| Server | Vyberte Webhook. |
| Adresa URL | Zadejte adresu URL serveru webhooku. |
| Klíč/hodnota | Zadejte páry klíč/hodnota pro přizpůsobení hlavičky HTTP podle potřeby. Mezi podporované znaky patří: - Klávesy můžou obsahovat jenom písmena, číslice, pomlčky a podtržítka. - Hodnoty můžou obsahovat pouze jednu úvodní a/nebo koncovou mezeru. |
Webhook rozšířený
Podporováno pouze z místní konzoly pro správu
Nakonfigurujte rozšířenou akci Webhooku pro odeslání následujících dodatečných dat na server webhooku:
- sensorID
- sensorName
- zoneID
- Název_zóny
- siteID
- Sitename
- sourceDeviceAddress
- destinationDeviceAddress
- nápravné kroky
- Zpracovány
- additionalInformation
V oblasti Akce zadejte následující podrobnosti:
| Název | Popis |
|---|---|
| Server | Vyberte rozšířený webhook. |
| Adresa URL | Zadejte adresu URL dat koncového bodu. |
| Klíč/hodnota | Zadejte páry klíč/hodnota pro přizpůsobení hlavičky HTTP podle potřeby. Mezi podporované znaky patří: - Klávesy můžou obsahovat jenom písmena, číslice, pomlčky a podtržítka. - Hodnoty můžou obsahovat pouze jednu úvodní a/nebo koncovou mezeru. |
Akce NetWitness
Nakonfigurujte akci NetWitness tak, aby odesílala informace o upozornění na server NetWitness.
V oblasti Akce zadejte následující podrobnosti:
| Název | Popis |
|---|---|
| Server | Vyberte NetWitness. |
| Název hostitele / port | Zadejte název hostitele a port serveru NetWitness. |
| Časové pásmo | Zadejte časové pásmo, které chcete použít, do časového razítka pro detekci výstrah v SYSTÉMU SIEM. |
Konfigurace pravidel předávání pro integrace partnerů
Defender for IoT můžete integrovat s partnerovou službou, která odesílá informace o výstrahách nebo inventáři zařízení do jiného systému pro správu zabezpečení nebo zařízení nebo ke komunikaci s bránami firewall na straně partnera.
Integrace partnerů můžou pomoct přemístit dříve vysílaná řešení zabezpečení, zlepšit viditelnost zařízení a zrychlit odezvu celého systému na rychlejší zmírnění rizik.
V takových případech použijte podporované akce k zadání přihlašovacích údajů a dalších informací potřebných ke komunikaci s integrovanými partnerskými službami.
Další informace naleznete v tématu:
Konfigurace skupin upozornění v partnerských službách
Když nakonfigurujete pravidla předávání tak, aby odesílala data výstrah na servery Syslog, QRadar a ArcSight, skupiny výstrah se automaticky použijí a jsou dostupné na těchto partnerských serverech.
Skupiny výstrah pomáhají týmům SOC pomocí těchto partnerských řešení spravovat výstrahy na základě podnikových zásad zabezpečení a obchodních priorit. Výstrahy o nových detekcích jsou například uspořádány do skupiny zjišťování , která zahrnuje všechna upozornění na nová zařízení, sítě VLAN, uživatelské účty, adresy MAC a další.
Skupiny upozornění se zobrazují v partnerských službách s následujícími předponami:
| Předpona | Partner služba |
|---|---|
cat |
QRadar, ArcSight, Syslog CEF, Syslog LEEF |
Alert Group |
Textové zprávy syslogu |
alert_group |
Objekty Syslog |
Pokud chcete v integraci používat skupiny upozornění, nezapomeňte nakonfigurovat partnerské služby tak, aby zobrazovaly název skupiny upozornění.
Ve výchozím nastavení jsou výstrahy seskupené takto:
- Neobvyklé chování komunikace
- Vlastní upozornění
- Vzdálený přístup
- Neobvyklé chování komunikace HTTP
- Zjišťování
- Restartování a zastavení příkazů
- Ověřování
- Změna firmwaru
- Naskenovat
- Chování neoprávněné komunikace
- Neplatné příkazy
- Přenosy ze senzorů
- Anomálie šířky pásma
- Přístup k internetu
- Podezření na malware
- Přetečení vyrovnávací paměti
- Selhání operací
- Podezření na škodlivou aktivitu
- Selhání příkazů
- Provozní problémy
- Změny konfigurace
- Programování
Další informace a vytvoření vlastních skupin upozornění získáte podpora Microsoftu.
Řešení potíží s pravidly předávání
Pokud pravidla upozornění pro přeposílání nefungují podle očekávání, zkontrolujte následující podrobnosti:
Ověření certifikátu Pravidla předávání pro CEF syslog, Microsoft Sentinel a QRadar podporují šifrování a ověřování certifikátů.
Pokud jsou senzory OT nebo místní konzola pro správu nakonfigurované tak, aby ověřovaly certifikáty a certifikát se nedá ověřit, upozornění se nepřesměrují.
V těchto případech je senzor nebo místní konzola pro správu klientem a iniciátorem relace. Certifikáty se obvykle přijímají ze serveru nebo používají asymetrické šifrování, kde je k nastavení integrace k dispozici konkrétní certifikát.
Pravidla vyloučení výstrah Pokud máte na místní konzole pro správu nakonfigurovaná pravidla vyloučení, vaše senzory můžou ignorovat upozornění, která se pokoušíte přeposlat. Další informace najdete v tématu Vytvoření pravidel vyloučení výstrah v místní konzole pro správu.