Sdílet prostřednictvím

Prověřování incidentů a výstrah

  • Článek

Microsoft Defender for IoT na portálu Microsoft Defender zobrazuje incidenty a výstrahy, které zlepšují zabezpečení a provoz vaší sítě o podrobnosti o událostech zaznamenaných v síti OT v reálném čase.

Výstrahy jsou základem všech incidentů a indikují výskyt škodlivých nebo podezřelých událostí ve vašem prostředí. V rámci incidentu analyzujete výstrahy, které ovlivňují vaši síť, pochopíte, co znamenají, a seskupíte důkazy, abyste mohli navrhnout efektivní plán nápravy.

Další informace o výstrahách a incidentech najdete na portálu Defender.

V tomto článku se dozvíte, jak vyšetřovat incident Microsoft Defenderu for IoT a související výstrahy a jak napravit problémy se zabezpečením, které výstraha vyvolala.

Výstrahy na stránce Incidenty jedinečně kombinují signály prostředí IT a OT a detekují potenciální hrozby a úniky dat. Na stránce Incidenty se zobrazí:

  • Historie výstrah spojených s incidentem a graf incidentů Graf zobrazuje další zařízení připojená k ovlivněným zařízením OT, která můžou být také ohrožena.
  • Popisy výstrah, které vysvětlují typ zjištěného problému se zabezpečením.
  • Možnosti nápravy k vyřešení problému se zabezpečením

Poznámka

Data o incidentech a výstrahách pro Defender for IoT se zobrazí jenom v případě, že máte nastavený web a vaše zařízení odesílají data na portál Defender. Přečtěte si, jak nastavit web.

Důležité

Tento článek popisuje Microsoft Defender for IoT na portálu Defender (Preview).

Pokud jste stávající zákazník, který pracuje na klasickém portálu Defender for IoT (Azure Portal), projděte si dokumentaci k Defenderu for IoT v Azure.

Přečtěte si další informace o portálech pro správu Defenderu for IoT.

Některé informace v tomto článku se týkají předvydaného produktu, který může být před komerčním vydáním podstatně změněn. Společnost Microsoft neposkytuje na zde uvedené informace žádné záruky, vyjádřené ani předpokládané.

Prověřování upozornění

Postup prošetření výstrahy:

  1. V nabídce portálu Microsoft Defender vyberte Incidenty & výstrahy > Incidenty.

  2. Zobrazení incidentů souvisejících s OT:

    1. Vyberte Přidat filtr.
    2. Vyberte Název produktu a vyberte Přidat.
    3. Vyberte kartu Názvy produktů , která se zobrazí, a zadejte : Defender for IoT.
    4. Vyberte Použít.

  3. Vyhledejte a vyberte incident.

    Na stránce konkrétního incidentu se zobrazuje příběh útoku, který se skládá z časové osy upozornění, grafu incidentů a podrobností incidentu.

  4. Vyberte výstrahu ze seznamu výstrah.

    Graf incidentů a podrobnosti incidentu zobrazují konkrétní data pro tuto výstrahu.

  5. Na panelu Incident si projděte informace, přečtěte si popis výstrahy, Důkazy a ovlivněné prostředky a postupujte podle doporučených akcí Výstrahy a problém napravte.

Upozornění defenderu pro IoT

Defender for IoT generuje vlastní jedinečnou výstrahu.

Name (Název) Popis
Možný provozní dopad v důsledku ohroženého zařízení Ohrožené zařízení komunikované s aktivem provozní technologie (OT). Útočník se může pokoušet o kontrolu nebo narušení fyzických operací.

Pokročilé rozšířené proaktivní vyhledávání

Pomocí vlastnosti Site uvedené v tabulce DeviceInfo můžete psát dotazy pro pokročilé proaktivní vyhledávání. To vám umožní filtrovat zařízení podle konkrétního webu, například všech zařízení, která komunikovala se škodlivými zařízeními na konkrétním webu.

Následující dotaz zobrazí seznam všech koncových zařízení s konkrétní IP adresou v lokalitě San Francisco.

DeviceInfo
|where Site == "SanFrancisco" and PublicIP == "192.168.1.1" and DeviceCategory == "Endpoint"

To se týká inventáře zařízení i zabezpečení lokality. Další informace najdete v tématech Rozšířené proaktivní vyhledávání a Schéma DeviceInfo pro pokročilé proaktivního vyhledávání.