Zobrazení a správa upozornění na webu Azure Portal

Výstrahy Microsoft Defenderu pro IoT vylepšují zabezpečení sítě a operace s podrobnostmi o událostech přihlášených v síti v reálném čase. Tento článek popisuje, jak spravovat upozornění Microsoft Defenderu pro IoT na webu Azure Portal, včetně výstrah generovaných síťovými senzory OT a Enterprise IoT.

• Výstrahy OT jsou k dispozici také na každé konzole síťového senzoru OT nebo připojené místní konzole pro správu.

• Integrujte se službou Microsoft Sentinel , abyste mohli zobrazit výstrahy Defenderu pro IoT v Microsoft Sentinelu a spravovat je společně s incidenty zabezpečení.

• Pokud máte v XDR v programu Microsoft Defender zapnuté zabezpečeníEnterprise IoT, jsou výstrahy pro zařízení Enterprise IoT zjištěná službou Microsoft Defender for Endpoint dostupné jenom v programu Defender for Endpoint.

  Další informace najdete v tématu Zabezpečení zařízení IoT v podniku a ve frontě Upozornění v XDR v programu Microsoft Defender.

Požadavky

• Pokud chcete mít upozornění v defenderu pro IoT, musíte mít nasazený OT a streamovaná síťová data do Defenderu pro IoT.

• Pokud chcete zobrazit upozornění na webu Azure Portal, musíte mít přístup jako čtenář zabezpečení, Správa zabezpečení, přispěvatel nebo vlastník.

• Pokud chcete spravovat výstrahy na webu Azure Portal, musíte mít přístup jako Správa zabezpečení, přispěvatel nebo vlastník. Aktivity správy výstrah zahrnují úpravu jejich stavů nebo závažností, Učení výstrahu, přístup k datům PCAP nebo použití pravidel potlačení výstrah.

Další informace najdete v tématu Role a oprávnění uživatelů Azure pro Defender for IoT.

Zobrazení upozornění na webu Azure Portal

1. V programu Defender for IoT na webu Azure Portal vyberte na levé straně stránku Upozornění . Ve výchozím nastavení se v mřížce zobrazují následující podrobnosti:

   Sloupec	Popis
   Závažnost	Předdefinovaná závažnost výstrahy přiřazená senzorem, který můžete podle potřeby upravit.
   Název	Název upozornění.
   Pracoviště	Web přidružený k senzoru, který výstrahu zjistil, jak je uvedeno na stránce Weby a senzory .
   Motoru	Modul detekce Defenderu pro IoT, který zjistil aktivitu a aktivoval výstrahu. Poznámka: Hodnota micro-agent označuje, že událost byla aktivována platformou Defender for IoT Device Builder .
   Poslední detekce	Čas posledního zjištění výstrahy – Pokud je stav výstrahy Nový a stejný provoz se znovu zobrazí, aktualizuje se pro stejnou výstrahu čas poslední detekce . – Pokud je stav výstrahy Uzavřeno a provoz se znovu zobrazí, čas poslední detekce se neaktualizuje a aktivuje se nová výstraha.
   Stav	Stav výstrahy: Nový, Aktivní, Uzavřeno Další informace najdete v tématu Stav výstrahy a možnosti třídění.
   Zdrojové zařízení	IP adresa, adresa MAC nebo název zařízení, ze kterého pochází provoz, který výstrahu aktivoval.
   Taktiky	Fáze MITRE ATT&CK.

   1. Pokud chcete zobrazit další podrobnosti, vyberte tlačítko Upravit sloupce .

      V podokně Upravit sloupce vpravo vyberte Přidat sloupec a některý z následujících dalších sloupců:

      Sloupec	Popis
      Adresa zdrojového zařízení	IP adresa zdrojového zařízení.
      Adresa cílového zařízení	IP adresa cílového zařízení.
      Cílové zařízení	Cílová IP adresa nebo adresa MAC nebo název cílového zařízení.
      První detekce	Při prvním zjištění výstrahy v síti.
      Id	Jedinečné ID výstrahy zarovnané s ID v konzole senzoru. Poznámka: Pokud se výstraha sloučila s dalšími výstrahami ze senzorů, které rozpoznaly stejnou výstrahu, azure Portal zobrazí ID upozornění prvního senzoru, který výstrahy vygeneroval.
      Poslední aktivita	Čas poslední změny výstrahy, včetně ručních aktualizací závažnosti nebo stavu, nebo automatizovaných změn pro aktualizace zařízení nebo odstranění duplicitních dat zařízení nebo upozornění
      Protokol	Protokol zjištěný v síťovém provozu pro výstrahu.
      Senzor	Senzor, který rozpoznal výstrahu.
      Zóny	Zóna přiřazená senzoru, který výstrahu detekoval.
      Kategorie	Kategorie přidružená k upozornění, jako jsou provozní problémy, vlastní výstrahy nebo neplatné příkazy.
      Typ	Interní název výstrahy.

Tip

Pokud se vám zobrazuje více upozornění, než se čekalo, můžete chtít vytvořit pravidla potlačení, aby se upozornění neaktivovala pro legitimní síťovou aktivitu. Další informace najdete v tématu Potlačení irelevantních výstrah.

Zobrazená upozornění filtru

Pomocí vyhledávacího pole, časového rozsahu a možnosti přidání filtru můžete filtrovat výstrahy zobrazené podle konkrétních parametrů nebo pomoct s vyhledáním konkrétní výstrahy.

Můžete například filtrovat výstrahy podle kategorie:

Zobrazená upozornění skupiny

Pomocí nabídky Seskupit podle v pravém horním rohu můžete mřížku sbalit do pododdílů podle konkrétních parametrů.

Když se například nad mřížkou zobrazí celkový počet výstrah, můžete chtít konkrétnější informace o rozpisu počtu výstrah, například počet výstrah s konkrétní závažností, protokolem nebo webem.

Mezi podporované možnosti seskupení patří modul, název, senzor, závažnost a web.

Zobrazení podrobností a náprava konkrétní výstrahy

1. Na stránce Upozornění vyberte v mřížce výstrahu, aby se v podokně napravo zobrazily další podrobnosti. Podokno podrobností výstrahy obsahuje popis výstrahy, zdroj provozu a cíl a další.

   Pokud chcete přejít k podrobnostem, vyberte Zobrazit úplné podrobnosti . Příklad:

   

2. Na stránce s podrobnostmi výstrahy najdete další podrobnosti o upozornění a sadu kroků pro nápravu na kartě Provést akci . Příklad:

   

Správa závažnosti a stavu upozornění

Doporučujeme aktualizovat závažnost upozornění v programu Defender for IoT na webu Azure Portal hned po určení priorit výstrahy, abyste mohli co nejdříve určit prioritu rizikových výstrah. Jakmile provedete nápravné kroky, nezapomeňte aktualizovat stav upozornění, aby se zaznamenal průběh.

U jedné výstrahy nebo hromadného výběru výstrah můžete aktualizovat závažnost i stav.

Přečtěte si upozornění, které indikuje Defender for IoT, že je zjištěný síťový provoz autorizovaný. Naučené výstrahy se znovu neaktivují při příštím zjištění stejného provozu ve vaší síti. Učení se podporuje jenom u vybraných výstrah a oddělování se podporuje jenom ze síťového senzoru OT.

Další informace najdete v tématu Stav výstrahy a možnosti třídění.

• Správa jediné výstrahy:

  1. V programu Defender for IoT na webu Azure Portal vyberte na levé straně stránku Upozornění a pak v mřížce vyberte výstrahu.
  2. Buď v podokně podrobností vpravo, nebo na samotné stránce podrobností výstrahy vyberte nový stav nebo závažnost.

• Hromadná správa více výstrah:

  1. V programu Defender for IoT na webu Azure Portal vyberte na levé straně stránku Upozornění a pak vyberte výstrahy v mřížce, kterou chcete upravit.
  2. Pomocí možností Změnit stav nebo Změnit závažnost na panelu nástrojů aktualizujte stav nebo závažnost pro všechny vybrané výstrahy.

• Další informace o jednom nebo několika upozorněních:

  V programu Defender for IoT na webu Azure Portal vyberte na levé straně stránku Upozornění a pak udělejte jednu z těchto věcí:

  • V mřížce vyberte jednu nebo více srozumitelných upozornění a pak na panelu nástrojů vyberte Možnost Learn.
  • Na stránce s podrobnostmi výstrahy, která se dá naučit, vyberte na kartě Akce provedení akce možnost Learn.

Přístup k datům PCAP upozornění

V rámci vyšetřování můžete chtít přistupovat k nezpracovaných přenosovým souborům, označované také jako zachytávání paketů nebo soubory PCAP . Pokud jste technik zabezpečení SOC nebo OT, získejte přístup k souborům PCAP přímo z webu Azure Portal, abyste mohli rychleji prozkoumat.

Pokud chcete získat přístup k nezpracovaným souborům provozu pro upozornění, vyberte možnost Stáhnout PCAP v levém horním rohu stránky s podrobnostmi výstrahy.

Příklad:

Portál požádá o soubor ze senzoru, který výstrahu detekoval, a stáhne ho do úložiště Azure.

Stažení souboru PCAP může trvat několik minut v závislosti na kvalitě připojení senzoru.

Export upozornění do souboru CSV

Možná budete chtít exportovat výběr upozornění do souboru CSV pro offline sdílení a vytváření sestav.

1. V programu Defender for IoT na webu Azure Portal vyberte na levé straně stránku Upozornění .

2. Pomocí vyhledávacího pole a možností filtru můžete zobrazit jenom výstrahy, které chcete exportovat.

3. Na panelu nástrojů nad mřížkou vyberte Exportovat>potvrzení.

Soubor se vygeneruje a zobrazí se výzva k jeho místnímu uložení.

Další kroky

Upozornění Microsoft Defenderu pro IoT