Jaa

Tapausten ja hälytysten tutkiminen

  • Artikkeli

Microsoft Defender for IoT Microsoft Defender -portaalissa näytetään tapaukset ja hälytykset, jotka parantavat verkon suojausta ja toimintaa reaaliaikaisten tietojen avulla operaatiotekniikan (OT) verkkoon kirjautuneista tapahtumista.

Hälytykset ovat kaikkien tapausten perusta ja ilmaisevat vahingollisten tai epäilyttävien tapahtumien esiintymisen ympäristössäsi. Tapahtumassa analysoit verkkoosi vaikuttavat hälytykset, ymmärrät niiden merkitys ja lajittelet todisteet, jotta voit laatia tehokkaan korjaussuunnitelman.

Lue lisätietoja ilmoituksista ja tapauksista Defender-portaalista.

Tässä artikkelissa opit tutkimaan Microsoft Defenderin IoT-tapausta ja siihen liittyviä ilmoituksia sekä korjaamaan hälytyksen esiin tuomat suojausongelmat.

Tapaukset-sivun hälytykset yhdistävät ainutlaatuisesti IT- ja OT-ympäristösignaaleja mahdollisten uhkien ja tietovuotojen havaitsemiseksi. Tapahtumat-sivulla näkyvät:

  • Tapahtumaan liittyvien hälytysten historia ja tapahtumakaavio. Kaaviossa näkyvät muut laitteet, jotka on yhdistetty kyseiseen OT-laitteeseen ja jotka saattavat myös olla vaarantuneet.
  • Ilmoitusten kuvaukset, joissa selitetään havaitun suojausongelman tyyppi.
  • Korjausvaihtoehdot suojausongelman ratkaisemiseksi.

Huomautus

IoT:n Defenderin tapaus- ja hälytystiedot näkyvät vain, kun sivusto on määritetty ja laitteesi lähettävät tietoja Defender-portaaliin. Opi määrittämään sivusto.

Tärkeää

Tässä artikkelissa käsitellään IoT:n Microsoft Defender -sovellusta Defender-portaalissa (esikatselu).

Jos olet jo olemassa oleva asiakas, joka työskentelee perinteisen Defender for IoT -portaalin (Azure-portaali) parissa, katso Defender for IoT Azure -dokumentaatiosta.

Lue lisää Defender for IoT -hallintaportaaleista.

Jotkin tämän artikkelin tiedot liittyvät tuotteen ennakkojulkaisuversioon, jota voidaan muuttaa huomattavasti ennen kaupallista julkaisua. Microsoft ei anna mitään takuita tässä annettujen tietojen suhteen.

Tutki ilmoituksia

Ilmoituksen tutkiminen:

  1. Valitse Microsoft Defender -portaalin valikosta Tapaukset & hälytykset > Tapaukset.

  2. TEIHIN liittyvien tapausten näyttäminen:

    1. Valitse Lisää suodatin.
    2. Valitse Tuotteen nimi ja valitse Lisää.
    3. Valitse näkyviin avautuva Tuotenimet-välilehti ja kirjoita: IoT:n Defender.
    4. Valitse Käytä.

  3. Etsi ja valitse tapaus.

    Tietty tapaussivu näyttää hyökkäyksen tarinan, joka koostuu hälytyksen aikajanasta, tapauskaaviosta ja tapahtuman yksityiskohdista.

  4. Valitse ilmoitus ilmoitusluettelosta.

    Tapauskaavio ja tapaustiedot näyttävät erityiset tiedot tätä ilmoitusta varten.

  5. Tarkista tiedot Tapaus-paneelissa , lue Hälytyksen kuvaus-, Todiste- ja Vaikutus-resurssit ja korjaa ongelma noudattamalla Hälytyksen suosittelemia toimintoja .

Defender for IoT -hälytys

Defender for IoT luo oman yksilöllisen ilmoituksensa.

Nimi Kuvaus
Mahdollinen toiminnallinen vaikutus vaarantuneesta laitteesta johtuen Vaarantunut laite, joka on yhteydessä käyttöteknologian (OT) resurssiin. Hyökkääjä saattaa yrittää hallita tai häiritä fyysisiä toimintoja.

Tarkennettu etsintä

Kirjoita DeviceInfo-taulukossa luetellun Site-ominaisuuden avulla kyselyt kehittyneeseen metsästykseen. Näin voit suodattaa laitteita tietyn sivuston mukaan, esimerkiksi kaikki laitteet, jotka kommunikoivat haitallisten laitteiden kanssa tietyllä sivustolla.

Seuraavassa kyselyssä luetellaan kaikki päätepistelaitteet, joilla on tietty IP-osoite San Franciscon sivustossa.

DeviceInfo
|where Site == "SanFrancisco" and PublicIP == "192.168.1.1" and DeviceCategory == "Endpoint"

Tämä koskee sekä laitevarastoa että sivuston suojausta. Lisätietoja on kohdassa Kehittynyt metsästys ja Lisämetsästys DeviceInfo-rakenne.