Weiterleiten von lokalen OT-Warnungsinformationen
Microsoft Defender for IoT-Warnungen verbessern Ihre Netzwerksicherheit und -vorgänge mit Echtzeitdetails zu in Ihrem Netzwerk protokollierten Ereignissen. OT-Warnungen werden ausgelöst, wenn OT-Netzwerksensoren Änderungen oder verdächtige Aktivitäten im Netzwerkdatenverkehr erkennen, für die Ihre Aufmerksamkeit erforderlich ist.
In diesem Artikel wird beschrieben, wie Sie Ihren OT-Sensor oder Ihre lokale Verwaltungskonsole konfigurieren, damit Warnungen an Partnerdienste, Syslog-Server, E-Mail-Adressen usw. weitergeleitet werden. Weitergeleitete Warnungsinformationen enthalten Details wie die folgenden:
- Datum und Uhrzeit der Warnung
- Engine, die das Ereignis erkannt hat
- Warnungstitel und beschreibende Meldung
- Schweregrad der Warnung
- Quell- und -Zielname und IP-Adresse
- Verdächtiger Datenverkehr erkannt
- Getrennte Sensoren
- Remotesicherungsfehler
Hinweis
Regeln für Weiterleitungswarnungen werden nur bei Warnungen ausgeführt, die nach Erstellung der Regel ausgelöst wurden. Warnungen, die es bereits vor Erstellung der Weiterleitungsregel im System gab, sind von ihr nicht betroffen.
Voraussetzungen
Je nachdem, wo Sie Ihre Warnungsregeln für Weiterleitungen erstellen möchten, müssen Sie entweder einen OT-Netzwerksensor oder eine lokale Verwaltungskonsole installiert und Zugriff als Administratorbenutzer haben.
Weitere Informationen finden Sie unter Installieren von OT-Software für die Überwachung ohne Agents und Lokale Benutzer und Rollen für die OT-Überwachung mit Defender for IoT.
Außerdem müssen Sie SMTP-Einstellungen auf dem OT-Sensor oder in der lokalen Verwaltungskonsole definieren.
Weitere Informationen finden Sie unter Konfigurieren von SMTP-E-Mail-Servereinstellungen auf einem OT-Sensor und Konfigurieren von SMTP-E-Mail-Servereinstellungen in einer lokalen Verwaltungskonsole.
Erstellen von Weiterleitungsregeln auf einem OT-Sensor
Melden Sie sich beim OT-Sensor an, und wählen Sie im Menü auf der linken Seite Weiterleitung>+ Neue Regel erstellen aus.
Geben Sie im Bereich Weiterleitungsregel hinzufügen einen aussagekräftigen Regelnamen ein, und definieren Sie die Regelbedingungen und -aktionen wie folgt:
Name BESCHREIBUNG Minimale Warnungsstufe Wählen Sie den minimalen Warnungsschweregrad aus, den Sie weiterleiten möchten.
Wenn Sie z. B. Minor auswählen, werden Warnungen mit einem niedrigen Schweregrad und alle Warnungen mit höheren Schweregraden weitergeleitet.Beliebiges erkanntes Protokoll Schalten Sie diese Bedingung ein, damit Warnungen aus dem gesamten Protokolldatenverkehr weitergeleitet werden, oder schalten Sie sie aus, und wählen Sie die spezifischen Protokolle aus, die Sie einbeziehen möchten. Von einer beliebigen Engine erkannter Datenverkehr Schalten Sie diese Bedingung ein, damit Warnungen aus allen Analyse-Engines weitergeleitet werden, oder schalten Sie sie aus, und wählen Sie die spezifischen Engines aus, die Sie einbeziehen möchten. Aktionen Wählen Sie den Servertyp aus, an den Sie Warnungen weiterleiten möchten, und definieren Sie alle anderen erforderlichen Informationen für diesen Servertyp.
Wenn Sie derselben Regel mehrere Server hinzufügen möchten, wählen Sie + Server hinzufügen aus, und fügen Sie weitere Details hinzu.
Weitere Informationen finden Sie unter Konfigurieren von Aktionen für Warnungsweiterleitungsregeln.Wenn Sie die Konfiguration der Regel beendet haben, wählen Sie Speichern aus. Dann wird die Regel auf der Seite Weiterleitung aufgeführt.
Testen Sie die von Ihnen erstellte Regel:
- Wählen Sie das Optionsmenü (...) für Ihre Regel >Testnachricht senden aus.
- Wechseln Sie zum Zieldienst, um zu überprüfen, ob die vom Sensor gesendeten Informationen empfangen wurden.
Bearbeiten oder Löschen von Weiterleitungsregeln auf einem OT-Sensor
So bearbeiten oder löschen Sie eine vorhandene Regel:
Melden Sie sich bei Ihrem OT-Sensor an. und wählen Sie im Menü auf der linken Seite Weiterleitung aus.
Wählen Sie das Optionsmenü (...) für Ihre Regel aus, und führen Sie einen der folgenden Schritte aus:
Wählen Sie Bearbeiten aus, und aktualisieren Sie die Felder nach Bedarf. Klicken Sie auf Speichern, wenn Sie fertig sind.
Wählen Sie Löschen>Ja aus, um den Löschvorgang zu bestätigen.
Erstellen von Weiterleitungsregeln in einer lokalen Verwaltungskonsole
Erstellen einer Weiterleitungsregel in der Verwaltungskonsole:
Melden Sie sich bei der lokalen Verwaltungskonsole an, und wählen Sie im Menü auf der linken Seite Weiterleitung aus.
Wählen Sie oben rechts die Schaltfläche + aus, um eine neue Regel zu erstellen.
Geben Sie im Fenster Weiterleitungsregel erstellen einen aussagekräftigen Namen für die Regel ein, und definieren Sie die Regelbedingungen und -aktionen wie folgt:
Name BESCHREIBUNG Minimale Warnungsstufe Verwenden Sie oben rechts im Dialogfeld die Dropdownliste, um den minimalen Warnungsschweregrad auszuwählen, den Sie weiterleiten möchten.
Wenn Sie z. B. Minor auswählen, werden Warnungen mit einem niedrigen Schweregrad und alle Warnungen mit höheren Schweregraden weitergeleitet.Protokolle Wählen Sie Alle aus, um Warnungen aus dem gesamten Protokolldatenverkehr weiterzuleiten, oder wählen Sie Spezifisch aus, um nur bestimmte Protokolle hinzuzufügen. Engines Wählen Sie Alle aus, um Warnungen weiterzuleiten, die von allen Sensoranalyse-Engines ausgelöst wurden, oder wählen Sie Spezifisch aus, um nur bestimmte Engines hinzuzufügen. Systembenachrichtigungen Wählen Sie die Option Systembenachrichtigungen melden aus, damit über nicht verbundene Sensoren oder Remotesicherungsfehler benachrichtigt wird. Warnungsbenachrichtigungen Wählen Sie die Option Warnungsbenachrichtigungen melden aus, damit über Datum und Uhrzeit einer Warnung, Titel, Schweregrad, Quell- und Zielname und IP-Adresse, verdächtigen Datenverkehr und die Engine informiert wird, die das Ereignis erkannt hat. Aktionen Wählen Sie Hinzufügen aus, um eine anzuwendende Aktion hinzuzufügen, und geben Sie alle für die ausgewählte Aktion erforderlichen Parameterwerte ein. Wiederholen Sie den Vorgang nach Bedarf, um mehrere Aktionen hinzuzufügen.
Weitere Informationen finden Sie unter Konfigurieren von Aktionen für Warnungsweiterleitungsregeln.Wenn Sie die Konfiguration der Regel beendet haben, wählen Sie SPEICHERN aus. Dann wird die Regel auf der Seite Weiterleitung aufgeführt.
Testen Sie die von Ihnen erstellte Regel:
- Wählen Sie in der Zeile für Ihre Regel die Schaltfläche
Diese Weiterleitungsregel testen aus. Wenn die Nachricht erfolgreich gesendet wurde, wird eine Erfolgsbenachrichtigung angezeigt. - Wechseln Sie zu Ihrem Partnersystem, um zu überprüfen, ob die vom Sensor gesendeten Informationen empfangen wurden.
- Wählen Sie in der Zeile für Ihre Regel die Schaltfläche
Erstellen oder Löschen von Weiterleitungsregeln in einer lokalen Verwaltungskonsole
So bearbeiten oder löschen Sie eine vorhandene Regel:
Melden Sie sich bei Ihrer lokalen Verwaltungskonsole an, und wählen Sie im Menü auf der linken Seite Weiterleitung aus.
Suchen Sie die Zeile für Ihre Regel, und wählen Sie eine der Schaltflächen
Bearbeiten oder 
Löschen aus.Wenn Sie die Regel bearbeiten, aktualisieren Sie die Felder nach Bedarf, und wählen Sie SPEICHERN aus.
Wenn Sie die Regel löschen, wählen Sie BESTÄTIGEN aus, um den Löschvorgang zu bestätigen.
Konfigurieren von Aktionen für Warnungsweiterleitungsregeln
In diesem Abschnitt wird beschrieben, wie Sie Einstellungen für unterstützte Weiterleitungsregelaktionen auf einem OT-Sensor oder an der lokalen Verwaltungskonsole konfigurieren.
E-Mail-Adressen-Aktion
Konfigurieren Sie eine E-Mail-Aktion zum Weiterleiten von Warnungsdaten an die konfigurierte E-Mail-Adresse.
Geben Sie im Bereich Aktionen die folgenden Details ein:
| Name | BESCHREIBUNG |
|---|---|
| Server | Wählen Sie E-Mail aus. |
| Geben Sie die E-Mail-Adresse ein, an die Sie die Warnungen weiterleiten möchten. Jede Regel unterstützt eine einzige E-Mail-Adresse. | |
| Zeitzone | Wählen Sie die Zeitzone aus, die Sie für die Warnungserkennung im Zielsystem verwenden möchten. |
Syslog-Server-Aktionen
Konfigurieren Sie eine Syslog-Serveraktion, um Warnungsdaten an den ausgewählten Syslog-Servertyp weiterzuleiten.
Geben Sie im Bereich Aktionen die folgenden Details ein:
| Name | BESCHREIBUNG |
|---|---|
| Server | Wählen Sie einen der folgenden Syslog-Formattypen aus: - SYSLOG-Server (CEF-Format) - SYSLOG-Server (LEEF-Format) - SYSLOG-Server (Objekt) - SYSLOG-Server (Textnachricht) |
| Host / Port | Geben Sie den Hostnamen und Port des Syslog-Servers ein. |
| Zeitzone | Wählen Sie die Zeitzone aus, die Sie für die Warnungserkennung im Zielsystem verwenden möchten. |
| Protokoll | Wird nur bei Textnachrichten unterstützt. Wählen Sie TCP oder UDP aus. |
| Aktivieren der Verschlüsselung | Wird nur beim CEF-Format unterstützt. Schalten Sie dies ein, um eine TLS-Verschlüsselungszertifikatdatei, eine Schlüsseldatei und eine Passphrase zu konfigurieren. |
In den folgenden Abschnitten wird die Syslog-Ausgabesyntax für die einzelnen Formate beschrieben.
Ausgabefelder für Syslog-Textnachrichten
| Name | BESCHREIBUNG |
|---|---|
| Priorität | Benutzer Warnung |
| `Message` | Name der CyberX-Plattform: Der Sensorname. Microsoft Defender for IoT-Warnung: Der Titel der Warnung. Typ: der Typ der Warnung Kann Protocol Violation, Policy Violation, Malware, Anomaly oder Operational lauten. Schweregrad: der Schweregrad der Warnung Kann Warning, Minor, Major oder Critical lauten. Quelle: der Name des Quellgeräts Quell-IP: Die IP-Adresse des Quellgeräts. Protokoll (optional): Das erkannte Quellprotokoll. Adresse (optional): Quellprotokolladresse. Ziel: der Name des Zielgeräts Ziel-IP: die IP-Adresse des Zielgeräts Protokoll (optional): Das erkannte Zielprotokoll. Adresse (optional): Die Zielprotokolladresse. Meldung: der Meldungstext der Warnung Warnungsgruppe: Die der Warnung zugeordnete Warnungsgruppe. UUID (optional): Die UUID der Warnung. |
Ausgabefelder für Syslog-Objekte
| Name | BESCHREIBUNG |
|---|---|
| Priorität | User.Alert |
| Datum und Uhrzeit | Datum und Uhrzeit des Empfangs der Informationen durch den Syslog-Servercomputer. |
| Hostname | Sensor-IP |
| `Message` | Sensorname: der Name der Appliance Zeitpunkt der Warnung: Der Zeitpunkt, zu dem die Warnung erkannt wurde: Kann von der Zeit des Syslog-Servercomputers abweichen und hängt von der Zeitzonenkonfiguration der Weiterleitungsregel ab. Titel der Warnung: Der Titel der Warnung. Warnmeldung: Der Meldungstext der Warnung. Schweregrad der Warnung: der Schweregrad der Warnung: Warnung, Gering, Hoch oder Kritisch Warnungstyp: Protocol Violation, Policy Violation, Malware, Anomaly oder Operational. Protokoll: Protokoll der Warnung Source_MAC: IP-Adresse, Name, Hersteller oder Betriebssystem des Quellgeräts. Destination_MAC: IP-Adresse, Name, Hersteller oder Betriebssystem des Ziels. Wenn Daten fehlen, lautet der Wert N/A. alert_group: Die der Warnung zugeordnete Warnungsgruppe. |
Ausgabefelder für Syslog-CEF
| Name | BESCHREIBUNG |
|---|---|
| Priorität | User.Alert |
| Datum und Uhrzeit | Datum und Uhrzeit, wann der Sensor die Informationen gesendet hat, im UTC-Format |
| Hostname | Hostname des Sensors |
| `Message` | CEF:0 Microsoft Defender for IoT/CyberX Sensorname Sensorversion Microsoft Defender für IoT-Warnung Titel der Warnung Angabe des Schweregrads als ganze Zahl. 1=Warning, 4=Minor, 8=Major oder 10=Critical (Warnung, Gering, Wichtig oder Kritisch) msg= Der Meldungstext der Warnung. protocol= Protokoll der Warnung. severity= Warning, Minor, Major oder Critical. type= Protocol Violation, Policy Violation, Malware, Anomaly oder Operational. UUID= UUID der Warnung (Optional) start= Der Zeitpunkt, zu dem die Warnung erkannt wurde. Kann von der Zeit des Syslog-Servercomputers abweichen und hängt von der Zeitzonenkonfiguration der Weiterleitungsregel ab. src_ip= IP-Adresse des Quellgeräts. (Optional) src_mac= MAC-Adresse des Quellgeräts (Optional) dst_ip= IP-Adresse des Zielgeräts. (Optional) dst_mac= MAC-Adresse des Zielgeräts (Optional) cat= Die der Warnung zugeordnete Warnungsgruppe. |
Ausgabefelder für Syslog-LEEF
| Name | BESCHREIBUNG |
|---|---|
| Priorität | User.Alert |
| Datum und Uhrzeit | Datum und Uhrzeit, wann der Sensor die Informationen gesendet hat, im UTC-Format |
| Hostname | Sensor-IP |
| `Message` | Sensorname: Der Name der Microsoft Defender für IoT-Appliance. LEEF:1.0 Microsoft Defender für IoT Sensor Sensorversion Microsoft Defender für IoT-Warnung title: der Titel der Warnung msg: Der Meldungstext der Warnung Protokoll: Protokoll der Warnung. severity: Warnung, Gering, Hoch oder Kritisch type: Typ der Warnung: Verstoß gegen das Protokoll, Verstoß gegen die Richtlinien, Malware, Anomalie oder Betrieb start: Der Zeitpunkt der Warnung. Möglicherweise weicht die Zeit von der des Syslog-Servercomputers ab. Sie ist von der Zeitzonenkonfiguration abhängig. src_ip: IP-Adresse des Quellgeräts. dst_ip: IP-Adresse des Zielgeräts. cat: Die der Warnung zugeordnete Warnungsgruppe. |
Webhookserveraktion
Wird nur von der lokalen Verwaltungskonsole unterstützt
Konfigurieren Sie eine Webhookaktion zum Konfigurieren einer Integration, die Defender for IoT-Warnungsereignisse abonniert. Senden Sie beispielsweise Warnungsdaten an einen Webhookserver, um ein externes SIEM-System, SOAR-System oder Incident-Management-System zu aktualisieren.
Wenn Sie Warnungen zur Weiterleitung an einen Webhookserver konfiguriert haben und ein Warnungsereignis ausgelöst wird, sendet die lokale Verwaltungskonsole eine HTTP POST-Nutzlast an die konfigurierte Webhook-URL.
Geben Sie im Bereich Aktionen die folgenden Details ein:
| Name | BESCHREIBUNG |
|---|---|
| Server | Wählen Sie Webhook aus. |
| URL | Geben Sie die URL für den Webhookserver ein. |
| Schlüssel/Wert | Geben Sie Schlüssel-Wert-Paare ein, um den HTTP-Header nach Bedarf anzupassen. Die unterstützten Zeichen umfassen: - Schlüssel dürfen nur Buchstaben, Ziffern, Bindestriche und Unterstriche enthalten. - Werte dürfen nur ein einziges führendes und/oder nachstehendes Leerzeichen enthalten. |
Webhook erweitert
Wird nur von der lokalen Verwaltungskonsole unterstützt
Konfigurieren Sie eine erweiterte Webhookaktion zum Senden der folgenden zusätzlichen Daten an Ihren Webhookserver:
- sensorID
- sensorName
- zoneID
- zoneName
- siteID
- siteName
- sourceDeviceAddress
- destinationDeviceAddress
- remediationSteps
- handled (verarbeitet)
- additionalInformation
Geben Sie im Bereich Aktionen die folgenden Details ein:
| Name | BESCHREIBUNG |
|---|---|
| Server | Wählen Sie Webhook erweitert aus. |
| URL | Geben Sie die URL für Endpunktdaten ein. |
| Schlüssel/Wert | Geben Sie Schlüssel-Wert-Paare ein, um den HTTP-Header nach Bedarf anzupassen. Die unterstützten Zeichen umfassen: - Schlüssel dürfen nur Buchstaben, Ziffern, Bindestriche und Unterstriche enthalten. - Werte dürfen nur ein einziges führendes und/oder nachstehendes Leerzeichen enthalten. |
NetWitness-Aktion
Konfigurieren Sie eine NetWitness-Aktion, um Warnungsinformationen an einen NetWitness-Server zu senden.
Geben Sie im Bereich Aktionen die folgenden Details ein:
| Name | BESCHREIBUNG |
|---|---|
| Server | Wählen Sie NetWitness aus. |
| Hostname/Port | Geben Sie den Hostnamen und Port des NetWitness-Servers ein. |
| Zeitzone | Geben Sie die Zeitzone ein, die Sie im Zeitstempel für die Warnungserkennung in SIEM verwenden möchten. |
Konfigurieren von Weiterleitungsregeln für Partnerintegrationen
Möglicherweise integrieren Sie Defender for IoT mit einen Partnerdienst, um Warnungen oder Gerätebestandsinformationen an ein anderes Sicherheits- oder Geräteverwaltungssystem zu senden oder um mit Firewalls auf Partnerseite zu kommunizieren.
Partnerintegrationen können bei der Überbrückung von zuvor isolierten Sicherheitslösungen, der Verbesserung der Gerätesichtbarkeit und der Beschleunigung der systemweiten Reaktion zur schnelleren Risikominderung helfen.
Verwenden Sie in solchen Fällen die unterstützten Aktionen zur Eingabe von Anmeldeinformationen und anderen Informationen, die für die Kommunikation mit integrierten Partnerdiensten erforderlich sind.
Weitere Informationen finden Sie unter:
- Integrieren von Fortinet in Microsoft Defender für loT
- Integrieren von Qradar in Microsoft Defender für loT
Konfigurieren von Warnungsgruppen in Partnerdiensten
Wenn Sie Weiterleitungsregeln zum Senden von Warnungsdaten an Syslog-Server, QRadar und ArcSight konfigurieren, werden Warnungsgruppen automatisch angewendet und sind auf diesen Partnerservern verfügbar.
Warnungsgruppen helfen SOC-Teams bei der Verwendung dieser Partnerlösungen, um Warnungen auf der Grundlage von Unternehmenssicherheitsrichtlinien und Geschäftsprioritäten zu verwalten. Beispielsweise werden Warnungen zu neuen Erkennungen in einer Ermittlungsgruppe organisiert, und sie enthalten alle Warnungen zu neuen Geräten, VLANs, Benutzerkonten, MAC-Adressen u. v. m.
Warnungsgruppen werden in Partnerdiensten mit den folgenden Präfixen angezeigt:
| Präfix | Partnerdienst |
|---|---|
cat |
QRadar, ArcSight, Syslog CEF, Syslog LEEF |
Alert Group |
Syslog-Textnachrichten |
alert_group |
Syslog-Objekte |
Wenn Sie Warnungsgruppen in Ihrer Integration verwenden möchten, müssen Sie Ihre Partnerdienste so konfigurieren, dass der Name der Warnungsgruppe angezeigt wird.
Standardmäßig werden Warnungen so gruppiert:
- Ungewöhnliches Kommunikationsverhalten
- Benutzerdefinierte Warnungen
- Remotezugriff
- Ungewöhnliches Verhalten bei der HTTP-Kommunikation
- Ermittlung
- Befehle zum Neustarten und Abbrechen
- Authentifizierung
- Firmware-Änderung
- Scannen
- Unautorisiertes Kommunikationsverhalten
- Unzulässige Befehle
- Sensordatenverkehr
- Bandbreitenauffälligkeiten
- Zugriff auf das Internet
- Verdacht auf Schadsoftware
- Pufferüberlauf
- Vorgangsfehler
- Verdacht auf schädliche Aktivität
- Befehlsfehler
- Betriebsprobleme
- Konfigurationsänderungen
- Programmieren
Wenn Sie weitere Informationen zum Erstellen von benutzerdefinierten Warnungsgruppen benötigen, wenden Sie sich an den Microsoft-Support.
Problembehandlung bei Weiterleitungsregeln
Wenn Ihre Regeln für Weiterleitungswarnungen nicht wie erwartet funktionieren, überprüfen Sie die folgenden Details:
Zertifikatüberprüfung. Weiterleitungsregeln für Syslog CEF, Microsoft Sentinel und QRadar unterstützen Verschlüsselung und Zertifikatüberprüfung.
Wenn Ihre OT-Sensoren oder Ihre lokale Verwaltungskonsole zum Überprüfen von Zertifikaten konfiguriert sind und das Zertifikat nicht überprüft werden kann, werden die Warnungen nicht weitergeleitet.
In diesen Fällen ist der Sensor oder die lokale Verwaltungskonsole der Client und Initiator für die Sitzung. Zertifikate werden normalerweise vom Server empfangen oder verwenden asymmetrische Verschlüsselung, bei der ein bestimmtes Zertifikat zum Einrichten der Integration bereitgestellt wird.
Warnungsausschlussregeln. Wenn in Ihrer lokalen Verwaltungskonsole Ausschlussregeln konfiguriert wurden, ignorieren Ihre Sensoren möglicherweise die Warnungen, die Sie weiterleiten möchten. Weitere Informationen finden Sie unter Erstellen von Warnungsausschlussregeln in einer lokalen Verwaltungskonsole.