Sdílet prostřednictvím


Zobrazení a správa upozornění na webu Azure Portal

Výstrahy Microsoft Defenderu pro IoT vylepšují zabezpečení sítě a operace s podrobnostmi o událostech přihlášených v síti v reálném čase. Tento článek popisuje, jak spravovat upozornění Microsoft Defenderu pro IoT na webu Azure Portal, včetně výstrah generovaných síťovými senzory OT a Enterprise IoT.

Požadavky

  • Pokud chcete mít upozornění v defenderu pro IoT, musíte mít nasazený OT a streamovaná síťová data do Defenderu pro IoT.

  • Pokud chcete zobrazit upozornění na webu Azure Portal, musíte mít přístup jako čtenář zabezpečení, správce zabezpečení, přispěvatel nebo vlastník.

  • Pokud chcete spravovat výstrahy na webu Azure Portal, musíte mít přístup jako správce zabezpečení, přispěvatel nebo vlastník. Aktivity správy výstrah zahrnují úpravu jejich stavů nebo závažností, učení výstrahy, přístup k datům PCAP nebo použití pravidel potlačení výstrah.

Další informace najdete v tématu Role a oprávnění uživatelů Azure pro Defender for IoT.

Zobrazení upozornění na webu Azure Portal

  1. V programu Defender for IoT na webu Azure Portal vyberte na levé straně stránku Upozornění . Ve výchozím nastavení se v mřížce zobrazují následující podrobnosti:

    Sloupec Popis
    Závažnost Předdefinovaná závažnost výstrahy přiřazená senzorem, který můžete podle potřeby upravit.
    Název Název upozornění.
    Pracoviště Web přidružený k senzoru, který výstrahu zjistil, jak je uvedeno na stránce Weby a senzory .
    Motor Modul detekce Defenderu pro IoT, který zjistil aktivitu a aktivoval výstrahu.

    Poznámka: Hodnota micro-agent označuje, že událost byla aktivována platformou Defender for IoT Device Builder .
    Poslední detekce Čas posledního zjištění výstrahy

    – Pokud je stav výstrahy Nový a stejný provoz se znovu zobrazí, aktualizuje se pro stejnou výstrahu čas poslední detekce .
    – Pokud je stav výstrahy Uzavřeno a provoz se znovu zobrazí, čas poslední detekce se neaktualizuje a aktivuje se nová výstraha.

    Poznámka: Když konzola senzoru zobrazuje pole Poslední detekce výstrahy v reálném čase, může zobrazení aktualizovaného času trvat až hodinu. To vysvětluje scénář, kdy poslední čas detekce v konzole senzoru není stejný jako čas poslední detekce na webu Azure Portal.
    Stav Stav výstrahy: Nový, Aktivní, Uzavřeno

    Další informace najdete v tématu Stav výstrahy a možnosti třídění.
    Zdrojové zařízení IP adresa, adresa MAC nebo název zařízení, ze kterého pochází provoz, který výstrahu aktivoval.
    Taktika Fáze MITRE ATT&CK.
    1. Pokud chcete zobrazit další podrobnosti, vyberte tlačítko Upravit sloupce .

      V podokně Upravit sloupce vpravo vyberte Přidat sloupec a některý z následujících dalších sloupců:

      Sloupec Popis
      Adresa zdrojového zařízení IP adresa zdrojového zařízení.
      Adresa cílového zařízení IP adresa cílového zařízení.
      Cílové zařízení Cílová IP adresa nebo adresa MAC nebo název cílového zařízení.
      První detekce Při prvním zjištění výstrahy v síti.
      Id Jedinečné ID výstrahy zarovnané s ID v konzole senzoru.

      Poznámka: Pokud se výstraha sloučila s dalšími výstrahami ze senzorů, které rozpoznaly stejnou výstrahu, azure Portal zobrazí ID upozornění prvního senzoru, který výstrahy vygeneroval.
      Poslední aktivita Čas poslední změny výstrahy, včetně ručních aktualizací závažnosti nebo stavu, nebo automatizovaných změn pro aktualizace zařízení nebo odstranění duplicitních dat zařízení nebo upozornění
      Protokol Protokol zjištěný v síťovém provozu pro výstrahu.
      Senzor Senzor, který rozpoznal výstrahu.
      Zóna Zóna přiřazená senzoru, který výstrahu detekoval.
      Kategorie Kategorie přidružená k upozornění, jako jsou provozní problémy, vlastní výstrahy nebo neplatné příkazy.
      Typ Interní název výstrahy.

Tip

Pokud se vám zobrazuje více upozornění, než se čekalo, můžete chtít vytvořit pravidla potlačení, aby se upozornění neaktivovala pro legitimní síťovou aktivitu. Další informace najdete v tématu Potlačení irelevantních výstrah.

Zobrazená upozornění filtru

Pomocí vyhledávacího pole, časového rozsahu a možnosti přidání filtru můžete filtrovat výstrahy zobrazené podle konkrétních parametrů nebo pomoct s vyhledáním konkrétní výstrahy.

Můžete například filtrovat výstrahy podle kategorie:

Snímek obrazovky s možností Filtr kategorií na stránce Upozornění na webu Azure Portal

Zobrazená upozornění skupiny

Pomocí nabídky Seskupit podle v pravém horním rohu můžete mřížku sbalit do pododdílů podle konkrétních parametrů.

Když se například nad mřížkou zobrazí celkový počet výstrah, můžete chtít konkrétnější informace o rozpisu počtu výstrah, například počet výstrah s konkrétní závažností, protokolem nebo webem.

Mezi podporované možnosti seskupení patří modul, název, senzor, závažnost a web.

Zobrazení podrobností a náprava konkrétní výstrahy

  1. Na stránce Upozornění vyberte v mřížce výstrahu, aby se v podokně napravo zobrazily další podrobnosti. Podokno podrobností výstrahy obsahuje popis výstrahy, zdroj provozu a cíl a další.

    Pokud chcete přejít k podrobnostem, vyberte Zobrazit úplné podrobnosti . Příklad:

    Snímek obrazovky s upozorněním vybraným na stránce Upozornění na webu Azure Portal

  2. Na stránce s podrobnostmi výstrahy najdete další podrobnosti o upozornění a sadu kroků pro nápravu na kartě Provést akci . Například:

    Snímek obrazovky se stránkou s podrobnostmi upozornění na webu Azure Portal

Správa závažnosti a stavu upozornění

Doporučujeme aktualizovat závažnost upozornění v programu Defender for IoT na webu Azure Portal hned po určení priorit výstrahy, abyste mohli co nejdříve určit prioritu rizikových výstrah. Jakmile provedete nápravné kroky, nezapomeňte aktualizovat stav upozornění, aby se zaznamenal průběh.

U jedné výstrahy nebo hromadného výběru výstrah můžete aktualizovat závažnost i stav.

Přečtěte si upozornění, které indikuje Defender for IoT, že je zjištěný síťový provoz autorizovaný. Naučené výstrahy se znovu neaktivují při příštím zjištění stejného provozu ve vaší síti. Učení se podporuje jenom u vybraných upozornění a odsunutí se podporuje jenom ze síťového senzoru OT.

Další informace najdete v tématu Stav výstrahy a možnosti třídění.

  • Správa jediné výstrahy:

    1. V programu Defender for IoT na webu Azure Portal vyberte na levé straně stránku Upozornění a pak v mřížce vyberte výstrahu.
    2. Buď v podokně podrobností vpravo, nebo na samotné stránce podrobností výstrahy vyberte nový stav nebo závažnost.
  • Hromadná správa více výstrah:

    1. V programu Defender for IoT na webu Azure Portal vyberte na levé straně stránku Upozornění a pak vyberte výstrahy v mřížce, kterou chcete upravit.
    2. Pomocí možností Změnit stav nebo Změnit závažnost na panelu nástrojů aktualizujte stav nebo závažnost pro všechny vybrané výstrahy.
  • Další informace o jednom nebo několika upozorněních:

    V programu Defender for IoT na webu Azure Portal vyberte na levé straně stránku Upozornění a pak udělejte jednu z těchto věcí:

    • V mřížce vyberte jednu nebo více srozumitelných upozornění a pak na panelu nástrojů vyberte Možnost Learn.
    • Na stránce s podrobnostmi výstrahy, která se dá naučit, vyberte na kartě Akce provedení akce možnost Learn.

Přístup k datům PCAP upozornění

V rámci vyšetřování můžete chtít přistupovat k nezpracovaných přenosovým souborům, označované také jako zachytávání paketů nebo soubory PCAP . Pokud jste technik zabezpečení SOC nebo OT, získejte přístup k souborům PCAP přímo z webu Azure Portal, abyste mohli rychleji prozkoumat.

Pokud chcete získat přístup k nezpracovaným souborům provozu pro upozornění, vyberte možnost Stáhnout PCAP v levém horním rohu stránky s podrobnostmi výstrahy.

Příklad:

Snímek obrazovky s tlačítkem Stáhnout PCAP

Portál požádá o soubor ze senzoru, který výstrahu detekoval, a stáhne ho do úložiště Azure.

Stažení souboru PCAP může trvat několik minut v závislosti na kvalitě připojení senzoru.

Export upozornění do souboru CSV

Možná budete chtít exportovat výběr upozornění do souboru CSV pro offline sdílení a vytváření sestav.

  1. V programu Defender for IoT na webu Azure Portal vyberte na levé straně stránku Upozornění .

  2. Pomocí vyhledávacího pole a možností filtru můžete zobrazit jenom výstrahy, které chcete exportovat.

  3. Na panelu nástrojů nad mřížkou vyberte Exportovat>potvrzení.

Soubor se vygeneruje a zobrazí se výzva k jeho místnímu uložení.

Další kroky