Sledování síťové aktivity a aktivity senzorů pomocí časové osy událostí
Aktivita detekovaná vaším Microsoft Defender pro senzory IoT se zaznamenává na časové ose událostí. Aktivita zahrnuje výstrahy a akce správy výstrah, události sítě a operace uživatelů, jako je přihlášení uživatele nebo odstranění uživatele.
Časová osa událostí senzoru OT poskytuje chronologický přehled a kontext všech síťových aktivit, které pomáhají určit příčinu a následky incidentů. Zobrazení časové osy usnadňuje extrakci informací ze síťových událostí a efektivnější analýzu výstrah a událostí pozorovaných v síti. Díky schopnosti ukládat obrovské objemy dat může být zobrazení časové osy událostí cenným prostředkem pro bezpečnostní týmy, které můžou provádět šetření a získat hlubší porozumění síťovým aktivitám.
Pomocí časové osy událostí během vyšetřování můžete pochopit a analyzovat řetěz událostí, které předcházely útoku nebo incidentu a následovaly ho. Centralizované zobrazení několika událostí souvisejících se zabezpečením na stejné časové ose pomáhá identifikovat vzory a korelace a umožňuje bezpečnostním týmům rychle vyhodnotit dopad incidentů a odpovídajícím způsobem reagovat.
Další informace naleznete v tématu:
- Zobrazení událostí na časové ose
- Auditování uživatelské aktivity
- Zobrazení a správa upozornění
- Analýza podrobností o programování a změn
Oprávnění
Před provedením postupů popsaných v tomto článku se ujistěte, že máte přístup k senzoru OT jako role Správa nebo Analytik zabezpečení. Další informace najdete v tématu Místní uživatelé a role pro monitorování OT pomocí Defenderu for IoT.
Zobrazení časové osy události
Přihlaste se ke konzole senzoru a v nabídce vlevo vyberte Časová osa událostí .
Podle potřeby události zkontrolujte a vyfiltrujte .
Výběrem řádku události zobrazíte podrobnosti události v podokně napravo, kde můžete také filtrovat a zobrazit události souvisejících zařízení. Filtr Operace uživatele je ve výchozím nastavení zapnutý. Podle potřeby můžete vybrat, že se události uživatelů skryjí nebo zobrazí.
Příklad:
Můžete také zobrazit časovou osu události konkrétního zařízení z inventáře zařízení.
Zobrazení časové osy události konkrétního zařízení:
V konzole senzoru přejděte na Inventář zařízení.
Výběrem konkrétního zařízení otevřete podokno podrobností o zařízení a pak výběrem možnosti Zobrazit úplné podrobnosti otevřete stránku vlastností zařízení.
Výběrem karty Časová osa událostí zobrazíte všechny události přidružené k tomuto zařízení a vyfiltrujte události podle potřeby.
Příklad:
Filtrování událostí na časové ose
Na stránce časová osa události vyberte Přidat filtr a určete zobrazené události.
Vyberte typ filtru. K filtrování zobrazených zařízení použijte některou z následujících možností:
Typ Popis Operace uživatele Tento filtr je ve výchozím nastavení zapnutý. Zvolte, jestli chcete zobrazit nebo skrýt události operací uživatele. Date (Datum) Vyhledejte události v určitém rozsahu dat. Skupina zařízení Filtrovat konkrétní zařízení podle skupiny definované v mapě zařízení. Závažnost události Zobrazit pouze upozornění, Upozornění a oznámení nebo Všechny události. Vyloučit zařízení Vyhledejte a vyfiltrujte zařízení, která chcete vyloučit. Zahrnout zařízení Vyhledejte a vyfiltrujte zařízení, která chcete zahrnout. Vyloučit typy událostí Vyhledejte a vyfiltrujte konkrétní typy událostí, které chcete vyloučit. Zahrnout typy událostí Vyhledejte a vyfiltrujte konkrétní typy událostí, které chcete zahrnout. Klíčová slova Filtrovat události podle konkrétních klíčových slov. Vyberte Použít a nastavte filtr.
Export časové osy události do souboru CSV
Časovou osu události můžete exportovat do souboru CSV, exportovaná data jsou v souladu s filtry použitými při exportu.
Export časové osy události:
Na stránce Časová osa události vyberte Exportovat v horní nabídce a vyexportujte časovou osu události do souboru CSV.
Vytvoření události
Kromě zobrazení událostí, které senzor detekoval, můžete události na časovou osu přidat ručně. Tento proces je užitečný, pokud událost externího systému ovlivňuje vaši síť a vy ji chcete zaznamenat na časové ose.
Na stránce Časová osa události vyberte Vytvořit událost.
V dialogovém okně Vytvořit událost přidejte následující podrobnosti o události:
Zadejte. Zadejte typ události (Informace, Oznámení nebo Upozornění).
Časové razítko. Nastavte datum a čas události.
Zařízení. Vyberte zařízení, ke kterému má být událost připojená.
Popis: Zadejte popis události.
Vyberte Uložit a přidejte událost na časovou osu.
Příklad:
Kapacita časové osy událostí
Množství dat, které lze uložit na časové ose událostí, závisí na různých faktorech, jako je velikost sítě, frekvence událostí a kapacita úložiště vašeho senzoru. Data uložená na časové ose události můžou zahrnovat informace o síťovém provozu, událostech zabezpečení a dalších relevantních datových bodech.
Maximální počet událostí zobrazených na časové ose událostí závisí na hardwarovém profilu vybraném během instalace senzoru. Každý hardwarový profil má maximální kapacitu událostí. Další informace o maximální kapacitě událostí pro každý hardwarový profil najdete v tématu Uchovávání časové osy událostí OT.
Další kroky
Další informace naleznete v tématu: