Prozkoumání a reakce na upozornění sítě OT

Tento článek popisuje, jak prozkoumat výstrahu sítě OT v programu Microsoft Defender for IoT a reagovat na ni.

Můžete být inženýrem centra zabezpečení (SOC), který používá Microsoft Sentinel, který v pracovním prostoru Microsoft Sentinelu zaznamenal nový incident a pokračuje v programu Defender for IoT, kde najdete další podrobnosti o souvisejících zařízeních a doporučených krocích nápravy.

Případně můžete být technikem OT, který sleduje provozní výstrahy přímo v Defenderu pro IoT. Provozní výstrahy nemusí být škodlivé, ale můžou značit provozní aktivitu, která může pomoct při vyšetřování zabezpečení.

Požadavky

Než začnete, ujistěte se, že máte:

• Předplatné Azure. Pokud potřebujete, zaregistrujte si bezplatný účet.

• Síťový senzor OT připojený ke cloudu připojený k Defenderu pro IoT s upozorněními streamovanými na web Azure Portal.

• Pokud chcete prošetřit výstrahu z incidentu Microsoft Sentinelu, ujistěte se, že jste dokončili následující kurzy:

  • Kurz: Připojení Microsoft Defenderu pro IoT s Microsoft Sentinelem
  • Kurz: Zkoumání a zjišťování hrozeb pro zařízení IoT

• Otevře se stránka s podrobnostmi o upozorněních, ke které se dostanete ze stránky Upozornění Defenderu for IoT na webu Azure Portal, na stránce s podrobnostmi o zařízení v programu Defender for IoT nebo na incidentu Microsoft Sentinelu.

Prozkoumání upozornění na webu Azure Portal

Na stránce s podrobnostmi o upozornění na webu Azure Portal začněte změnou stavu upozornění na Aktivní, což znamená, že je aktuálně prošetřený.

Příklad:

Důležité

Pokud integrujete se službou Microsoft Sentinel, nezapomeňte spravovat stav upozornění jenom z incidentu v Microsoft Sentinelu. Stavy výstrah se nesynchronizuje z Defenderu pro IoT do Microsoft Sentinelu.

Po aktualizaci stavu zkontrolujte na stránce s podrobnostmi výstrahy následující podrobnosti, které vám pomůžou při šetření:

• Podrobnosti o zdrojovém a cílovém zařízení Zdrojová a cílová zařízení jsou uvedená na kartě Podrobnosti výstrahy a také v oblasti Entity níže jako entity Služby Microsoft Sentinel se svými vlastními stránkami entit. V oblasti Entity použijete odkazy ve sloupci Název k otevření příslušných stránek podrobností o zařízení pro další šetření.

• Web a/nebo zóna Tyto hodnoty vám pomůžou porozumět zeměpisnému a síťovému umístění výstrahy a pokud jsou oblasti sítě, které jsou teď zranitelnější vůči útokům.

• Taktika a techniky MITRE ATT&CK Posuňte se v levém podokně dolů a zobrazte všechny podrobnosti MITRE ATT&CK. Kromě popisu taktiky a technik vyberte odkazy na web MITRE ATT&CK a získejte další informace o každé z nich.

• Stáhněte si PCAP. V horní části stránky vyberte Stáhnout PCAP a stáhněte nezpracované soubory provozu pro vybranou výstrahu.

Zkoumání souvisejících upozornění na webu Azure Portal

Vyhledejte další výstrahy aktivované stejným zdrojovým nebo cílovým zařízením. Korelace mezi několika výstrahami můžou znamenat, že je zařízení ohrožené a může být zneužito.

Například zařízení, které se pokusilo připojit k škodlivé IP adrese, spolu s další výstrahou o neoprávněných změnách programování PLC na zařízení, může znamenat, že útočník už získal kontrolu nad zařízením.

Vyhledání souvisejících upozornění v defenderu pro IoT:

1. Na stránce Upozornění vyberte výstrahu, abyste zobrazili podrobnosti napravo.

2. Vyhledejte odkazy zařízení v oblasti Entity , a to buď v podokně podrobností napravo, nebo na stránce s podrobnostmi výstrahy. Výběrem odkazu na entitu otevřete stránku s podrobnostmi souvisejícího zařízení pro zdrojové i cílové zařízení.

3. Na stránce s podrobnostmi o zařízení vyberte kartu Výstrahy , abyste zobrazili všechna upozornění pro dané zařízení. Příklad:

   

Prozkoumání podrobností výstrahy na senzoru OT

Senzor OT, který výstrahu aktivoval, bude obsahovat další podrobnosti, které vám pomůžou prošetřit.

Pokud chcete pokračovat ve vyšetřování na senzoru OT:

1. Přihlaste se ke snímači OT jako uživatel prohlížeče nebo analytika zabezpečení.

2. Vyberte stránku Upozornění a vyhledejte výstrahu, kterou prošetřujete. Výběrem možnosti **Zobrazit další podrobnosti otevřete stránku s podrobnostmi o upozornění senzoru OT. Příklad:

   

Na stránce s podrobnostmi o upozornění senzoru:

• Výběrem karty Zobrazení mapy zobrazíte výstrahu v mapě zařízení senzoru OT včetně všech připojených zařízení.

• Výběrem karty Časová osa událostí zobrazíte úplnou časovou osu události výstrahy, včetně dalších souvisejících aktivit zjištěných senzorem OT.

• Výběrem možnosti Exportovat PDF stáhnete souhrn podrobností výstrahy ve formátu PDF.

Provedení nápravné akce

Načasování, kdy provedete nápravné akce, může záviset na závažnosti výstrahy. Například u výstrah s vysokou závažností můžete chtít provést akci i před vyšetřováním, například pokud potřebujete okamžitě umístit oblast sítě do karantény.

U výstrah s nižší závažností nebo pro provozní výstrahy můžete před provedením akce plně prozkoumat.

K nápravě výstrahy použijte následující prostředky Defenderu pro IoT:

• Na stránce s podrobnostmi o upozornění na webu Azure Portal nebo na senzoru OT vyberte kartu Provést akci a zobrazte podrobnosti o doporučených krocích pro zmírnění rizika.

• Na stránce s podrobnostmi o zařízení na webu Azure Portal pro zdrojová i cílová zařízení:

  • Vyberte kartu Ohrožení zabezpečení a zkontrolujte zjištěná ohrožení zabezpečení na každém zařízení.

  • Vyberte kartu Doporučení a zkontrolujte aktuální doporučení zabezpečení pro každé zařízení.

Data a doporučení k ohrožení zabezpečení v programu Defender for IoT můžou poskytovat jednoduché akce, které můžete provést ke zmírnění rizik, jako je aktualizace firmwaru nebo použití opravy. Další akce můžou provádět větší plánování.

Jakmile dokončíte aktivity zmírnění rizik a jste připraveni výstrahu zavřít, nezapomeňte aktualizovat stav výstrahy na Uzavřeno nebo upozornit tým SOC na další řízení incidentů.

Poznámka:

Pokud integrujete Defender for IoT se službou Microsoft Sentinel, změny stavu upozornění, které provedete v defenderu pro IoT, se v Microsoft Sentinelu neaktualizují . Nezapomeňte spravovat upozornění v Microsoft Sentinelu společně s souvisejícím incidentem.

Pravidelné třídění výstrah

Pravidelné třídění výstrah, aby se zabránilo únavě výstrah ve vaší síti, a ujistěte se, že budete moct včas zobrazit a zpracovat důležitá upozornění.

Výstrahy pro třídění podle dostupnosti:

1. V programu Defender for IoT na webu Azure Portal přejděte na stránku Upozornění . Ve výchozím nastavení jsou výstrahy seřazené podle sloupce Poslední detekce , od nejnovějšího po nejstarší výstrahu, abyste mohli nejprve zobrazit nejnovější výstrahy ve vaší síti.

2. K vyhledání konkrétních výstrah použijte jiné filtry, například senzor nebo závažnost .

3. Před provedením jakékoli akce výstrahy zkontrolujte podrobnosti výstrahy a prozkoumejte je podle potřeby. Až budete připraveni, proveďte akci na stránce s podrobnostmi výstrahy pro konkrétní výstrahu nebo na stránce Upozornění pro hromadné akce.

   Můžete například aktualizovat stav nebo závažnost výstrahy nebo zjistit , jestli se má výstraha autorizovat rozpoznaný provoz. Naučené výstrahy se znovu neaktivují, pokud se znovu zjistí stejný přesný provoz.

   

U výstrah s vysokou závažností můžete chtít okamžitě provést akci.

Další kroky

Vylepšení stavu zabezpečení pomocí doporučení zabezpečení