Suivre l’activité du réseau et des capteurs avec la chronologie des événements

Article
04/21/2023

L’activité détectée par vos capteurs Microsoft Defender pour IoT est enregistrée dans la chronologie des événements. Il s’agit notamment d’alertes et d’actions de gestion des alertes, d’événements réseau et d’opérations utilisateur comme la connexion ou la suppression d’un utilisateur.

La chronologie des événements du capteur OT fournit une vue chronologique et un contexte de toute l’activité réseau, pour déterminer la cause et l’effet des incidents. La vue Chronologie permet d’extraire facilement des informations à partir d’événements réseau et d’analyser plus efficacement les alertes et les événements observés sur le réseau. Avec la possibilité de stocker de grandes quantités de données, la vue Chronologie des événements peut être une ressource précieuse pour les équipes de sécurité pour effectuer des enquêtes et acquérir une compréhension plus approfondie de l’activité réseau.

Utilisez la chronologie des événements lors des investigations pour comprendre et analyser la chaîne d’événements qui ont précédé et suivi une attaque ou un incident. La vue centralisée de plusieurs événements liés à la sécurité sur la même chronologie permet d’identifier des modèles et des corrélations, et permet aux équipes de sécurité d’évaluer rapidement l’impact des incidents et d’y répondre en conséquence.

Pour plus d'informations, consultez les pages suivantes :

Autorisations

Avant d’effectuer les procédures décrites dans cet article, vérifiez que vous avez accès à un capteur OT avec un rôle Administrateur ou Analyste de sécurité. Pour plus d’informations, consultez Utilisateurs et rôles locaux pour le monitoring OT avec Defender pour IoT.

Afficher la chronologie des événements

Connectez-vous à la console du capteur, puis sélectionnez Chronologie des événements dans le menu de gauche.
Passez en revue les événements et filtrez-les selon vos besoins.
Sélectionnez une ligne d’événement pour afficher les détails de l’événement dans un volet à droite, où vous pouvez également filtrer pour afficher les événements des appareils associés. Le filtre Opérations utilisateur est activé par défaut. Vous pouvez choisir de masquer ou d’afficher les événements utilisateur en fonction des besoins.

Par exemple :

Vous pouvez également afficher la chronologie des événements d’un appareil spécifique à partir de l’Inventaire des appareils.

Pour afficher la chronologie des événements d’un appareil spécifique :

Dans la console du capteur, accédez à Inventaire des appareils.
Sélectionnez l’appareil spécifique pour ouvrir le volet des détails de l’appareil, puis sélectionnez Afficher tous les détails pour ouvrir la page des propriétés de l’appareil.
Sélectionnez l’onglet Chronologie des événements pour afficher tous les événements associés à cet appareil et filtrer les événements en fonction des besoins.

Par exemple :

Filtrer les événements sur la chronologie

Dans la page Chronologie des événements, sélectionnez Ajouter un filtre pour spécifier les événements affichés.

Sélectionnez le type de filtre. Utilisez l’une des options suivantes pour filtrer les appareils affichés :

Type	Description
Opérations utilisateur	Ce filtre est activé par défaut. Choisissez d’afficher ou de masquer les événements d’opération utilisateur.
Date	Recherchez des événements dans une plage de dates spécifique.
Groupe d’appareils	Filtrez des appareils spécifiques par groupe, comme défini dans le mappage des appareils.
Gravité de l'événement	Affichez Alertes uniquement, Alertes et notifications ou Tous les événements.
Exclure les appareils	Recherchez et filtrez les appareils que vous souhaitez exclure.
Inclure les appareils	Recherchez et filtrez les appareils que vous souhaitez inclure.
Exclure les types d’événements	Recherchez et filtrez des types d’événements spécifiques à exclure.
Inclure les types d’événements	Recherchez et filtrez des types d’événements spécifiques à inclure.
Mots clés	Filtrez les événements d'après des mots clés spécifiques.

Sélectionnez Appliquer pour définir le filtre.

Exporter la chronologie des événements au format CSV

Vous pouvez exporter la chronologie des événements dans un fichier CSV. Les données sont exportées en fonction des filtres appliqués lors de l’exportation.

Pour exporter la chronologie des événements :

Dans la page Chronologie des événements, sélectionnez Exporter dans le menu supérieur pour exporter la chronologie des événements dans un fichier CSV.

Créer un événement

Outre l’affichage des événements détectés par le capteur, vous pouvez ajouter manuellement des événements à la chronologie. Ce processus est utile si un événement système externe impacte votre réseau et que vous souhaitez l’enregistrer dans la chronologie.

Dans la page Chronologie des événements, sélectionnez Créer un événement.
Dans la boîte de dialogue Créer un événement, ajoutez les détails de l’événement suivants :
- Type. Spécifiez le type d’événement (Info, Remarque ou Alerte).
- Timestamp. Définissez la date et l’heure de l’événement.
- Appareil. Sélectionnez l’appareil avec lequel l’événement doit être connecté.
- Description. Fournissez une description de l’événement.
Sélectionnez Enregistrer pour ajouter l’événement à la chronologie.

Par exemple :

Capacité de chronologie des événements

La quantité de données pouvant être stockées dans la chronologie des événements dépend de différents facteurs, tels que la taille du réseau, la fréquence des événements et la capacité de stockage de votre capteur. Les données stockées dans la chronologie des événements peuvent inclure des informations sur le trafic réseau, les événements de sécurité et d’autres points de données pertinents.

Le nombre maximal d’événements affichés dans la chronologie des événements dépend du profil matériel sélectionné lors de l’installation du capteur. Chaque profil matériel a une capacité maximale d’événements. Pour plus d’informations sur la capacité maximale des événements pour chaque profil matériel, consultez Rétention de la chronologie des événements OT.

Étapes suivantes