Freigeben über


Anzeigen und Verwalten von Warnungen im Azure-Portal

Microsoft Defender for IoT-Warnungen verbessern Ihre Netzwerksicherheit und -vorgänge mit Echtzeitdetails zu in Ihrem Netzwerk protokollierten Ereignissen. In diesem Artikel wird beschrieben, wie Sie Microsoft Defender for IoT-Warnungen im Azure-Portal verwalten, einschließlich Warnungen, die von OT- und Enterprise IoT-Netzwerksensoren generiert werden.

Voraussetzungen

  • Um Warnungen in Defender for IoT zu erhalten, müssen Sie über einen OT-Sensor verfügen und Netzwerkdaten in Defender for IoT streamen.

  • Um Warnungen im Azure-Portal anzuzeigen, benötigen Sie Zugriff als Sicherheitsleser, Sicherheitsadministrator, Mitwirkender oder Besitzer.

  • Um Warnungen im Azure-Portal zu verwalten, benötigen Sie Zugriff als SicherheitsadministratorMitwirkender oder Besitzer. Aktivitäten der Warnungsverwaltung umfassen das Ändern ihrer Status oder Schweregrade, das Erlernen einer Warnung, den Zugriff auf PCAP-Daten oder die Verwendung von Regeln zur Warnungsunterdrückung.

Weitere Informationen finden Sie unter Azure-Benutzerrollen und -Berechtigungen für Defender for IoT.

Anzeigen von Warnungen im Azure-Portal

  1. Wählen Sie in Defender for IoT im Azure-Portal auf der linken Seite Warnungen aus. Standardmäßig werden die folgenden Details im Raster angezeigt:

    Column Beschreibung
    Severity Ein vom Sensor zugewiesener vordefinierter Warnungsschweregrad, den Sie bei Bedarf ändern können.
    Name Der Titel der Warnung
    Website Die dem Sensor, der die Warnung erkannt hat, zugeordnete Site, die auf der Seite Sites und Sensoren aufgelistet ist.
    Engine Die Erkennungs-Engine von Defender for IoT, die die Aktivität erkannt und die Warnung ausgelöst hat.

    Hinweis: Der Wert Micro-Agent gibt an, dass das Ereignis von der Device Builder-Plattform von Defender for IoT ausgelöst wurde.
    Letzte Erkennung Der Zeitpunkt, zu dem die Warnung zuletzt erkannt wurde.

    – Wenn der Status einer Warnung Neu lautet und derselbe Datenverkehr erneut angezeigt wird, wird der Zeitpunkt für Letzte Erkennung für dieselbe Warnung aktualisiert.
    – Wenn der Status der Warnung Geschlossen lautet und der Datenverkehr erneut angezeigt wird, wird der Zeitpunkt für Letzte Erkennungnicht aktualisiert, und eine neue Warnung wird ausgelöst.
    Status Der Warnungsstatus: Neu, Aktiv, Geschlossen

    Weitere Informationen finden Sie unter Warnungsstatus und Selektierungsoptionen.
    Quellgerät Die IP-Adresse, die MAC-Adresse oder der Name des Geräts, von dem der Datenverkehr stammt, von dem die Warnung ausgelöst wurde.
    Taktik Die MITRE ATT&CK-Phase.
    1. Um weitere Details anzuzeigen, wählen Sie die Schaltfläche Spalten bearbeiten aus.

      Wählen Sie im Bereich Spalten bearbeiten auf der rechten Seite Spalte hinzufügen und eine der folgenden zusätzlichen Spalten aus:

      Column BESCHREIBUNG
      Quellgeräteadresse Die IP-Adresse des Quellgeräts.
      Zielgeräteadresse Die IP-Adresse des Zielgeräts.
      Zielgerät Die Ziel-IP- oder MAC-Adresse oder der Name des Zielgeräts.
      Erste Erkennung Wann die Warnung im Netzwerk erstmals erkannt wurde.
      Id Die eindeutige Warnungs-ID, die an der ID auf der Sensorkonsole ausgerichtet ist.

      Hinweis: Wenn die Warnung mit anderen Warnungen von Sensoren zusammengeführt wurde, welche dieselbe Warnung erkannt haben, zeigt das Azure-Portal die Warnungs-ID des ersten Sensors an, der die Warnungen generiert hat.
      Letzte Aktivität Zeitpunkt der letzten Änderung der Warnung, einschließlich manueller Aktualisierungen für Schweregrad oder Status oder automatisierter Änderungen für Geräteupdates oder Geräte-/Warnungsdeduplizierung
      Protokoll Das Protokoll, das im Netzwerkdatenverkehr für die Warnung erkannt wurde.
      Sensor Dies ist der Sensor, der die Warnung erkannt hat.
      Zone Dies ist die Zone, die dem Sensor zugewiesen ist, der die Warnung erkannt hat.
      Kategorie Die Kategorie, die der Warnung zugeordnet ist, z. B. Betriebsprobleme, benutzerdefinierte Warnungen oder unzulässige Befehle.
      Typ Dies ist der interne Name der Warnung.

Tipp

Wenn mehr Warnungen als erwartet angezeigt werden, sollten Sie Unterdrückungsregeln erstellen, um zu verhindern, dass Warnungen für legitime Netzwerkaktivitäten ausgelöst werden. Weitere Informationen finden Sie unter Unterdrücken irrelevanter Warnungen.

Filtern der angezeigten Warnungen

Verwenden Sie das Suchfeld sowie die Optionen Zeitbereich und Filter hinzufügen, um die angezeigten Warnungen nach bestimmten Parametern zu filtern oder um eine bestimmte Warnung leichter zu finden.

Filtern Sie Warnungen beispielsweise nach Kategorie:

Screenshot of the Category filter option in Alerts page in the Azure portal.

Gruppieren der angezeigten Warnungen

Verwenden Sie das Menü Gruppieren nach oben rechts, um das Raster anhand bestimmter Parameter in Unterabschnitte zu reduzieren.

Wenn beispielsweise die Gesamtanzahl der Warnungen über dem Raster angezeigt wird, kann es wünschenswert sein, spezifischere Informationen zur Aufschlüsselung der Warnungsanzahl anzuzeigen, z. B. die Anzahl der Warnungen mit einem bestimmten Schweregrad, Protokoll oder Standort.

Zu den unterstützten Gruppierungsoptionen gehören Engine, Name, Sensor, Schweregrad und Standort.

Anzeigen von Details und Beheben einer bestimmten Warnung

  1. Wählen Sie auf der Seite Warnungen eine Warnung im Raster aus, um weitere Details im Bereich auf der rechten Seite anzuzeigen. Der Warnungsdetailsbereich enthält die Warnungsbeschreibung, die Datenverkehrsquelle und das -ziel und vieles mehr.

    Wählen Sie Vollständige Details anzeigen aus, um noch weitere Details anzuzeigen. Beispiel:

    Screenshot of an alert selected from Alerts page in the Azure portal.

  2. Die Seite mit den Warnungsdetails enthält weitere Details zur Warnung und eine Reihe von Wartungsschritten auf der Registerkarte Maßnahme ergreifen. Beispiel:

    Screenshot of the alert details page on the Azure portal.

Verwalten des Warnungsschweregrads und -status

Sie sollten den Warnungsschweregrad in Defender for IoT im Azure-Portal aktualisieren, sobald Sie eine Warnung selektiert haben, damit Sie die risikoreichsten Warnungen so schnell wie möglich priorisieren können. Stellen Sie sicher, dass Sie den Warnungsstatus aktualisieren, nachdem Sie Wartungsschritte ausgeführt haben, damit der Fortschritt aufgezeichnet wird.

Sie können sowohl den Schweregrad als auch den Status für eine einzelne Warnung oder für eine Auswahl von Warnungen in einem Massenvorgang aktualisieren.

Sie können eine Warnung lernen, um Defender für IoT darauf hinzuweisen, dass der erkannte Netzwerkdatenverkehr zulässig ist. Erlernte Warnungen werden nicht erneut ausgelöst, wenn der gleiche Datenverkehr das nächste Mal im Netzwerk erkannt wird. Das Erlernen wird nur für ausgewählte Warnungen unterstützt, und das Verlernen wird nur vom OT-Netzwerksensor unterstützt.

Weitere Informationen finden Sie unter Warnungsstatus und Selektierungsoptionen.

  • So verwalten Sie eine einzelne Warnung:

    1. Wählen Sie in Defender for IoT im Azure-Portal die Seite Warnungen auf der linken Seite aus, und wählen Sie dann eine Warnung im Raster aus.
    2. Wählen Sie entweder im Detailbereich auf der rechten Seite oder auf einer Benachrichtigungsdetailseite selbst den neuen Status und/oder Schweregrad aus.
  • So verwalten Sie mehrere Warnungen gleichzeitig:

    1. Wählen Sie in Defender for IoT im Azure-Portal die Seite Warnungen auf der linken Seite aus, und wählen Sie dann die Warnungen im Raster aus, die Sie ändern möchten.
    2. Verwenden Sie die Optionen Status ändern und/oder Schweregrad ändern in der Symbolleiste, um den Status und/oder den Schweregrad für alle ausgewählten Warnungen zu aktualisieren.
  • So erlernen Sie mindestens eine Warnung:

    Wählen Sie in Defender for IoT im Azure-Portal die Seite Warnungen auf der linken Seite aus, und führen Sie dann eine der folgenden Aktionen aus:

    • Wählen Sie mindestens eine erlernbare Warnung im Raster und dann in der Symbolleiste Erlernen aus.
    • Wählen Sie auf einer Warnungsdetailsseite für eine erlernbare Warnung auf der Registerkarte Maßnahme ergreifen die Option Erlernen aus.

Zugreifen auf PCAP-Warnungsdaten

Möglicherweise möchten Sie im Rahmen Ihrer Untersuchung auf Rohdatenverkehrsdateien zugreifen, die auch als Paketerfassungsdateien oder PCAP-Dateien bezeichnet werden. Wenn Sie ein SOC- oder OT-Sicherheitstechniker sind, greifen Sie direkt über das Azure-Portal auf PCAP-Dateien zu, um die Untersuchung schneller durchzuführen.

Um auf Rohdatenverkehrsdateien für die Warnung zuzugreifen, wählen Sie PCAP herunterladen in der oberen linken Ecke der Warnungsdetailsseite aus.

Beispiel:

Screenshot of the Download PCAP button.

Das Portal fordert die Datei vom Sensor an, von dem die Warnung erkannt wurde, und lädt sie in Ihren Azure-Speicher herunter.

Das Herunterladen der PCAP-Datei kann anhängig von der Qualität der Sensorkonnektivität mehrere Minuten dauern.

Exportieren von Warnungen in eine CSV-Datei

Möglicherweise möchten Sie eine Auswahl von Warnungen für die Offlinefreigabe und -berichterstellung in eine CSV-Datei exportieren.

  1. Wählen Sie in Defender for IoT im Azure-Portal auf der linken Seite Warnungen aus.

  2. Verwenden Sie das Suchfeld und die Filteroptionen, um nur die Warnungen anzuzeigen, die Sie exportieren möchten.

  3. Wählen Sie auf der Symbolleiste oberhalb des Rasters Exportieren>Bestätigen aus.

Die Datei wird generiert, und Sie werden aufgefordert, sie lokal zu speichern.

Nächste Schritte