Untersuchen und Reagieren auf eine OT-Netzwerkwarnung

In diesem Artikel wird beschrieben, wie Sie eine OT-Netzwerkwarnung in Microsoft Defender for IoT untersuchen und darauf reagieren.

Möglicherweise sind Sie ein Security Operations Center(SOC)-Techniker, der Microsoft Sentinel verwendet. Ihnen wurde in Ihrem Microsoft Sentinel-Arbeitsbereich ein neuer Vorfall angezeigt, und Sie informieren sich dann in Defender for IoT über weitere Details zu zugehörigen Geräten und empfohlene Problembehandlungsschritte.

Alternativ könnten Sie ein OT-Techniker sein, der Betriebswarnungen direkt in Defender for IoT überwacht. Betriebswarnungen sind möglicherweise nicht böswillig, können aber auf Betriebsaktivitäten hinweisen, die bei Sicherheitsuntersuchungen helfen können.

Voraussetzungen

Stellen Sie zunächst sicher, dass Sie über Folgendes verfügen:

• Ein Azure-Abonnement. Registrieren Sie sich ggf. für ein kostenloses Konto.

• Einen mit der Cloud verbundenen OT-Netzwerksensor, der in Defender for IoT integriert ist, mit in das Azure-Portal gestreamten Warnungen.

• Wenn Sie eine Warnung aus einem Microsoft Sentinel-Vorfall untersuchen möchten, sorgen Sie dafür, dass Sie die folgenden Tutorials durchgearbeitet haben:

  • Tutorial: Verbinden von Microsoft Defender for IoT mit Microsoft Sentinel
  • Tutorial: Untersuchen und Erkennen von Bedrohungen für IoT-Geräte

• Eine geöffnete Seite mit den Warnungsdetails, auf die entweder im Azure-Portal über die Defender for IoT-Seite Warnungen, eine Defender for IoT-Seite mit den Gerätedetails oder einen Microsoft Sentinel-Vorfall zugegriffen wird.

Untersuchen einer Warnung aus dem Azure-Portal

Ändern Sie zuerst im Azure-Portal auf einer Seite mit den Warnungsdetails den Warnungsstatus in Aktiv, um anzugeben, dass die Warnung zurzeit untersucht wird.

Beispiel:

Wichtig

Wenn Sie die Integration in Microsoft Sentinel durchführen, sorgen Sie dafür, dass Sie Ihren Warnungsstatus nur über den Vorfall in Microsoft Sentinel verwalten. Warnungsstatus werden aus Defender for IoT mit Microsoft Sentinel nicht synchronisiert.

Überprüfen Sie nach dem Aktualisieren des Status auf der Seite mit den Warnungsdetails die folgenden Details zur Unterstützung Ihrer Untersuchung:

• Details zum Quell- und Zielgerät. Quell- und Zielgeräte werden auf der Registerkarte Warnungsdetails und auch im Bereich Entitäten unten als Microsoft Sentinel-Entitäten mit eigenen Entitätsseiten aufgeführt. Im Bereich Entitäten verwenden Sie die Links in der Spalte Name zum Öffnen der entsprechenden Seiten mit den Gerätedetails für weitere Untersuchungen.

• Standort und/oder Zone. Diese Werte helfen Ihnen, den geografischen Standort und den Netzwerkstandort der Warnung zu verstehen und zu erkennen, ob es Bereiche des Netzwerks gibt, die jetzt anfälliger für Angriffe sind.

• MITRE ATT&CK Taktiken und Techniken. Scrollen Sie im linken Bereich nach unten, um alle MITRE ATT&CK-Details anzuzeigen. Wählen Sie neben Beschreibungen der Taktiken und Techniken auch die Links zur MITRE ATT&CK-Website aus, um mehr über die einzelnen Zugänge zu erfahren.

• Laden Sie PCAP herunter. Wählen Sie oben auf der Seite PCAP herunterladen zum Herunterladen der unformatierten Datenverkehrsdateien für die ausgewählte Warnung aus.

Untersuchen von zugehörigen Warnungen im Azure-Portal

Suchen Sie nach anderen Warnungen, die durch dasselbe Quell- oder Zielgerät ausgelöst wurden. Korrelationen zwischen mehreren Warnungen können darauf hinweisen, dass das Gerät gefährdet ist und ausgenutzt werden kann.

Beispielsweise könnte ein Gerät, das eine Verbindung mit einer böswilligen IP-Adresse herzustellen versucht hat, zusammen mit einer weiteren Warnung zu nicht autorisierten SPS-Programmieränderungen auf dem Gerät darauf hindeuten, dass ein Angreifer die Kontrolle über das Gerät bereits erlangt hat.

So suchen Sie zugehörige Warnungen in Defender for IoT:

1. Wählen Sie auf der Seite Warnungen eine Warnung aus, um rechts Details dazu anzuzeigen.

2. Suchen Sie die Gerätelinks im Bereich Entitäten – entweder im Detailbereich rechts oder auf der Seite mit den Warnungsdetails. Wählen Sie einen Entitätslink aus, um die zugehörige Seite mit den Gerätedetails sowohl für ein Quell- als auch für ein Zielgerät zu öffnen.

3. Wählen Sie auf der Seite mit den Gerätedetails die Registerkarte Warnungen aus, um alle Warnungen für dieses Gerät anzuzeigen. Beispiel:

   

Untersuchen von Warnungsdetails auf dem OT-Sensor

Der OT-Sensor, der die Warnung ausgelöst hat, enthält weitere Details zur Unterstützung Ihrer Untersuchung.

So setzen Sie ihre Untersuchung auf dem OT-Sensor fort:

1. Melden Sie sich bei Ihrem OT-Sensor als Zuschauer oder Benutzer mit der Rolle Sicherheitsanalyst an.

2. Wählen Sie die Seite Warnungen aus, und suchen Sie die Warnung, die Sie untersuchen möchten. Wählen Sie „**Weitere Details anzeigen“ aus, um die Seite mit den Warnungsdetails des OT-Sensors zu öffnen. Beispiel:

   

Auf der Seite mit den Warnungsdetails des Sensors:

• Wählen Sie die Registerkarte Kartenansicht aus, um die Warnung in der Gerätezuordnung des OT-Sensors anzuzeigen, einschließlich aller verbundenen Geräte.

• Wählen Sie die Registerkarte Ereigniszeitachse aus, um die vollständige Ereigniszeitachse der Warnung anzuzeigen, einschließlich anderer verwandter Aktivitäten, die vom OT-Sensor ebenfalls erkannt wurden.

• Wählen Sie PDF exportieren aus, um eine PDF-Zusammenfassung der Warnungsdetails herunterzuladen.

Ausführen von Wartungsaktionen

Der Zeitpunkt, zu dem Sie Wartungsaktionen ausführen, ist möglicherweise abhängig vom Schweregrad der Warnung. Beispielsweise könnten Sie bei Warnungen mit hohem Schweregrad bereits vor der Untersuchung Maßnahmen ergreifen, z. B. wenn Sie einen Bereich Ihres Netzwerks sofort unter Quarantäne stellen müssen.

Bei Warnungen mit niedrigerem Schweregrad oder bei Betriebswarnungen sollten Sie vor dem Ergreifen von Maßnahmen eine vollständige Untersuchung durchführen.

Verwenden Sie zum Beheben einer Warnung die folgenden Defender for IoT-Ressourcen:

• Wählen Sie im Azure-Portal oder im OT-Sensor auf einer Seite mit den Warnungsdetails die Registerkarte Aktion ausführen aus, um Details zu empfohlenen Schritten zur Risikominderung anzuzeigen.

• Im Azure-Portal auf einer Seite mit den Gerätedetails für die Quell- und Zielgeräte:

  • Wählen Sie die Registerkarte Sicherheitsrisiken aus, und überprüfen Sie sie auf erkannte Sicherheitsrisiken auf jedem Gerät.

  • Wählen Sie die Registerkarte Empfehlungen aus, und überprüfen Sie sie auf aktuelle Sicherheitsempfehlungen für jedes Gerät.

Defender for IoT-Sicherheitsrisikodaten und Sicherheitsempfehlungen können einfache Maßnahmen bieten, die Sie zur Minimierung von Risiken ergreifen können, z. B. das Aktualisieren von Firmware oder das Anwenden eines Patches. Bei anderen Aktionen ist möglicherweise mehr Planung erforderlich.

Wenn Sie die Aktivitäten zur Risikominderung beendet haben und zum Schließen der Warnung bereit sind, aktualisieren Sie den Warnungsstatus auf Geschlossen, oder benachrichtigen Sie Ihr SOC-Team zur weiteren Vorfallverwaltung.

Hinweis

Wenn Sie Defender for IoT in Microsoft Sentinel integrieren, werden Änderungen am Warnungsstatus, die Sie in Defender for IoT vornehmen, in Microsoft Sentinel nicht aktualisiert. Stellen Sie sicher, dass Sie Ihre Warnungen in Microsoft Sentinel zusammen mit dem Vorfall verwalten.

Regelmäßiges Selektieren von Warnungen

Selektieren Sie Warnungen regelmäßig, um Warnungsmüdigkeit in Ihrem Netzwerk zu verhindern und sicherzustellen, dass Sie wichtige Warnungen rechtzeitig anzeigen und behandeln können.

So selektieren Sie Warnungen:

1. Navigieren Sie in Defender for IoT im Azure-Portal zur Seite Warnungen. Weil Warnungen standardmäßig nach der Spalte Letzte Erkennung von der neuesten bis zur ältesten Warnung sortiert werden, können Sie in Ihrem Netzwerk zuerst die neuesten Warnungen sehen.

2. Verwenden Sie andere Filter, z. B . Sensor oder Schweregrad für die Suche nach bestimmten Warnungen.

3. Überprüfen Sie die Warnungsdetails, und untersuchen Sie nach Bedarf, bevor Sie eine Warnungsaktion ausführen. Wenn Sie bereit sind, können Sie eine Aktion ausführen – entweder auf einer Seite mit den Warnungsdetails für eine bestimmte Warnung oder auf der Seite Warnungen für Massenaktionen.

   Aktualisieren Sie beispielsweise den Warnungsstatus oder den Schweregrad oder aber erlernen eine Warnung zum Autorisieren des erkannten Datenverkehrs. Erlernte Warnungen werden nicht erneut ausgelöst, wenn genau derselbe Datenverkehr erneut erkannt wird.

   

Bei Warnungen mit hohem Schweregrad können Sie sofort Maßnahmen ergreifen.

Nächste Schritte

Verbessern des Sicherheitsstatus mit Sicherheitsempfehlungen