Gelernte Baseline mit OT-Warnungen erstellen

Dieser Artikel ist einer aus einer Reihe von Artikeln, die den Bereitstellungsspfad für die OT-Überwachung mit Microsoft Defender for IoT beschreiben. Außerdem wird erläutert, wie Sie eine Basislinie des gelernten Datenverkehrs auf Ihrem OT-Sensor erstellen.

Grundlegendes zum Lernmodus

Sobald ein OT-Netzwerksensor mit dem Netzwerk verbunden ist und Sie sich angemeldet haben, beginnt der Sensor automatisch mit der Überwachung Ihres Netzwerks. Netzwerkgeräte werden in Ihrem Gerätebestand angezeigt, und es werden Warnungen für Sicherheits- oder Betriebsvorfälle ausgelöst, die in Ihrem Netzwerk auftreten.

Zunächst erfolgt diese Aktivität im Lernmodus. Dieser weist Ihren OT-Sensor an, die übliche Aktivität Ihres Netzwerks zu erlernen. Dazu zählen die Geräte und Protokolle in Ihrem Netzwerk und die regulären Dateiübertragungen zwischen bestimmten Geräten. Jede regelmäßig erkannte Aktivität wird zum Baselinedatenverkehr Ihres Netzwerks.

Tipp

Nutzen Sie Ihre Zeit im Lernmodus, um Ihre Alarme zu selektieren und diejenigen zu lernen, die Sie als autorisierte, erwartete Aktivität kennzeichnen möchten. Gelernter Datenverkehr erzeugt keine neuen Warnungen, wenn der gleiche Datenverkehr das nächste Mal erkannt wird.

Nachdem der Lernmodus ausgeschaltet wurde, wird jede Aktivität, die von Ihrer Baseline abweicht, einen Alarm auslösen.

Weitere Informationen finden Sie unter Warnungen in Microsoft Defender for IoT.

Zeitleiste des Lernmodus

Die Erstellung einer Baseline von OT-Warnungen kann je nach Größe und Komplexität Ihres Netzwerks zwischen einigen Tagen und mehreren Wochen dauern. Der Lernmodus wird automatisch ausgeschaltet, wenn der Sensor einen Rückgang des neu erkannten Datenverkehrs feststellt, was in der Regel zwischen 2-6 Wochen nach der Installation der Fall ist.

Schalten Sie den Lernmodus vorher manuell aus, wenn Sie das Gefühl haben, dass die aktuellen Warnmeldungen Ihre Netzwerkaktivitäten richtig wiedergeben.

Voraussetzungen

Sie können die in diesem Artikel beschriebenen Verfahren über das Azure-Portal, einen OT-Sensor oder eine lokale Verwaltungskonsole durchführen.

Stellen Sie zunächst sicher, dass Sie über Folgendes verfügen:

• Ein OT-Sensor wurde installiertkonfiguriert und aktiviert, wobei Warnungen durch erkannten Datenverkehr ausgelöst werden.

• Zugriff auf Ihren OT-Sensor als Sicherheitsanalyst oder Admin-Benutzer. Weitere Informationen finden Sie unter Lokale Benutzer und Rollen für die OT-Überwachung mit Defender for IoT.

Warnungen selektieren

Selektieren Sie Warnungen gegen Ende Ihres Einsatzes, um eine erste Baseline für Ihre Netzwerkaktivitäten zu erstellen.

1. Melden Sie sich bei Ihrem OT-Sensor an und wählen Sie die Warnungsseite.

2. Verwenden Sie die Sortier- und Gruppierungsoptionen, um Ihre wichtigsten Warnungen zuerst anzuzeigen. Überprüfen Sie jede Warnung, um den Status zu aktualisieren und Warnungen für OT-autorisierten Datenverkehr zu lernen.

Weitere Informationen finden Sie unter Anzeigen und Verwalten von Warnungen auf Ihrem OT-Sensor.

Nächste Schritte

« Überprüfen und Aktualisieren Ihres erkannten Gerätebestands

Nachdem der Lernmodus deaktiviert wurde, sind Sie vom Lernmodus in den Betriebsmodus gewechselt. Fahren Sie mit einer der folgenden Aktionen fort:

• Visualisieren von Microsoft Defender for IoT-Daten mit Azure Monitor-Arbeitsmappen
• Anzeigen und Verwalten von Warnungen über das Azure-Portal
• Anzeigen des Gerätebestands im Azure-Portal

Integrieren Sie Defender for IoT-Daten mit Microsoft Sentinel, um die Sicherheitsüberwachung Ihres SOC-Teams zu vereinheitlichen. Weitere Informationen finden Sie unter

• Tutorial: Verbinden von Microsoft Defender for IoT mit Microsoft Sentinel
• Tutorial: Untersuchen und Erkennen von Bedrohungen für IoT-Geräte