Visualiser et gérer les alertes sur votre capteur OT
Les alertes de Microsoft Defender pour IoT améliorent la sécurité réseau et les opérations avec des informations en temps réel sur des événements journalisés dans votre réseau. Les alertes OT sont déclenchées quand des capteurs réseau OT détectent des modifications ou des activités suspectes dans le trafic réseau et qui nécessitent votre attention.
Cet article explique comment visualiser les alertes Defender pour IoT directement sur un capteur réseau OT. Vous pouvez aussi visualiser les alertes OT sur le portail Azure ou dans une console de gestion locale.
Pour plus d’informations, consultez Alertes Microsoft Defender pour IoT.
Pour avoir des alertes sur votre capteur OT, vous devez disposer d’un port SPAN configuré pour votre capteur et du logiciel de supervision Defender pour IoT installé. Pour plus d’informations, consultez Installer le logiciel de supervision sans agent OT.
Pour visualiser les alertes sur le capteur OT, connectez-vous à votre capteur en tant qu’utilisateur Administrateur, Analyste de sécurité ou Observateur.
Pour gérer les alertes sur un capteur OT, connectez-vous à votre capteur en tant qu’utilisateur Administrateur ou Analyste de sécurité. Les activités de gestion des alertes incluent la modification de leur état ou de leur gravité, l’apprentissage ou la désactivation d’une alerte, l’accès aux données PCAP ou l’ajout de commentaires prédéfinis à une alerte.
Pour plus d’informations, consultez Utilisateurs et rôles locaux pour le monitoring OT avec Defender pour IoT.
Connectez-vous à votre console de capteur OT et sélectionnez la page Alertes sur la gauche.
Par défaut, les détails suivants figurent dans la grille :
Name Description Niveau de gravité Une gravité d’alerte prédéfinie attribuée par le capteur que vous pouvez modifier en fonction des besoins, et qui peut être : Critique, Majeure, Mineure, Avertissement. Nom Titre de l’alerte. Moteur Le moteur de détection Defender pour IoT qui a détecté l’activité et déclenché l’alerte. Dernière détection Dernière fois que l’alerte a été détectée.
- Si l’état d’une alerte est Nouveau et que le même trafic est observé à nouveau, l’heure de la Dernière détection est mise à jour pour la même alerte.
- Si l’état de l’alerte est Fermé et que le trafic est observé à nouveau, l’heure de la Dernière détection n’est pas mise à jour et une nouvelle alerte est déclenchée.
Remarque : alors que la console de capteur affiche un champ Dernière détection de l’alerte en temps réel, Defender pour IoT dans le Portail Azure peut prendre jusqu’à une heure pour afficher l’heure mise à jour. On peut alors avoir un scénario où l’heure de la dernière détection dans la console de capteur n’est pas la même que l’heure de la dernière détection dans le portail Azure.État État de l’alerte : Nouvelle, Active, Fermée
Pour plus d’informations, consultez États et options de triage des alertes.Appareil source L’adresse IP, l’adresse MAC ou le nom de l’appareil source. Id ID d’alerte unique, aligné sur l’ID indiqué sur le Portail Azure.
Remarque : Si l’alerte a été fusionnée avec d’autres alertes provenant de capteurs qui ont détecté la même alerte, le portail Azure affiche l’ID d’alerte du premier capteur qui a généré ces alertes.Pour voir d’autres détails, sélectionnez le bouton Modifier les colonnes.
Dans le volet Modifier les colonnes sur la droite, sélectionnez Ajouter une colonne et une ou plusieurs des colonnes supplémentaires suivantes :
Name Description Appareil de destination Adresse IP de l’appareil de destination. Première détection La première fois que l’activité de l’alerte a été détectée. Identifiant ID d’alerte. Dernière activité La dernière fois que l’alerte a été modifiée, y compris les mises à jour manuelles en lien avec la gravité ou l’état, ou les modifications automatisées pour les mises à jour des appareils ou la déduplication des appareils/alertes.
Utilisez la zone de Recherche, l’Intervalle de temps et les options pour Ajouter un filtre afin de filtrer les alertes affichées par des paramètres spécifiques ou de localiser une alerte spécifique.
Par exemple :
Le filtrage des alertes par groupes utilise les groupes personnalisés que vous avez créés dans les pages Inventaire des appareils ou Carte des appareils.
Utilisez le menu Regrouper par en haut à droite pour réduire la grille en sous-sections basées sur Gravité, Nom, Moteur ou État.
Par exemple, alors que le nombre total d’alertes apparaît au-dessus de la grille, vous pouvez obtenir des informations plus spécifiques sur la répartition du nombre d’alertes, comme le nombre d’alertes avec une gravité ou un état spécifique.
Connectez-vous au capteur OT et sélectionnez Alertes dans le menu de gauche.
Sélectionnez une alerte dans la grille pour afficher d’autres détails dans le volet de droite. Le volet des détails de l’alerte inclut la description de l’alerte, la source et la destination du trafic, etc. Sélectionnez Afficher les détails complets pour explorer plus en détail. Par exemple :
La page des détails de l’alerte fournit plus d’informations sur l’alerte et un ensemble d’étapes de correction sous l’onglet Entreprendre une action.
Utilisez les onglets suivants pour obtenir plus d’insights contextuels :
Vue cartographique Visualisez les appareils source et de destination dans une vue cartographique avec les autres appareils connectés à votre capteur.
Chronologie des événements. Visualisez l’événement en même temps que d’autres activités récentes sur les appareils associés. Filtrez les options pour personnaliser les données affichées. Par exemple :
Veillez à mettre à jour l’état de votre alerte une fois que vous avez pris des mesures de correction afin que la progression soit enregistrée. Vous pouvez mettre à jour l’état pour une seule alerte ou en bloc pour une sélection d’alertes.
Apprenez une alerte pour indiquer à Defender pour IoT que le trafic réseau détecté est autorisé. Les alertes apprises ne seront plus déclenchées la prochaine fois que le même trafic sera détecté sur votre réseau. Désactivez une alerte quand l’apprentissage n’est pas disponible et que vous voulez ignorer un scénario spécifique sur votre réseau.
Pour plus d’informations, consultez États et options de triage des alertes.
Pour gérer l’état de l’alerte :
Connectez-vous à votre console de capteur OT et sélectionnez la page Alertes sur la gauche.
Sélectionnez dans la grille une ou plusieurs alertes dont vous voulez mettre à jour l’état.
Utilisez le bouton Modifier l’état de la barre d’outils ou l’option État dans le volet des détails à droite pour mettre à jour l’état de l’alerte.
L’option État est également disponible sur la page des détails de l’alerte.
Pour apprendre une ou plusieurs alertes :
Connectez-vous à votre console de capteur OT, sélectionnez la page Alertes à gauche, puis effectuez une des actions suivantes :
- Sélectionnez une ou plusieurs alertes à apprendre dans la grille, puis sélectionnez Apprendre dans la barre d’outils.
- Dans une page de détails d’alerte, sous l’onglet Entreprendre une action, sélectionnez Apprendre.
Pour désactiver une alerte :
- Connectez-vous à votre console de capteur OT et sélectionnez la page Alertes sur la gauche.
- Recherchez l’alerte que vous voulez désactiver et ouvrez sa page de détails de l’alerte.
- Sous l’onglet Entreprendre une action, activez l’option Désactiver l’alerte.
Pour désapprendre ou réactiver une alerte :
- Connectez-vous à votre console de capteur OT et sélectionnez la page Alertes sur la gauche.
- Recherchez l’alerte que vous avez apprise ou désactivée, puis ouvrez sa page des détails de l’alerte.
- Sous l’onglet Entreprendre une action, désactivez l’option Apprendre l’alerte ou Désactiver l’alerte.
Une fois que vous avez désappris ou réactivé une alerte, les alertes sont redéclenchées chaque fois que le capteur détecte la combinaison de trafic sélectionnée.
Vous aurez peut-être besoin d’accéder à des fichiers de trafic bruts, également appelés fichiers de capture de paquets ou fichiers PCAP dans le cadre de votre investigation.
Pour accéder aux fichiers de trafic bruts de votre alerte, sélectionnez Téléchargement PCAP depuis le coin supérieur gauche de la page des détails de votre alerte :
Par exemple :
Le fichier PCAP est téléchargé, et votre navigateur vous invite à l’ouvrir ou à l’enregistrer localement.
Vous pouvez exporter une sélection d’alertes dans un fichier CSV ou PDF pour les partager et produire des rapports hors connexion.
- Exportez des alertes dans un fichier CSV à partir de la page Alertes principale. Exportez des alertes une par une ou en bloc.
- Exportez les alertes dans un fichier PDF une par une, à partir de la page Alertes principale ou d’une page de détails d’alerte.
Pour exporter des alertes dans un fichier CSV :
Connectez-vous à votre console de capteur OT et sélectionnez la page Alertes sur la gauche.
Utilisez la zone de recherche et les options de filtre pour afficher seulement les alertes à exporter.
Dans la barre d’outils située au-dessus de la grille, sélectionnez Exporter au format CSV.
Le fichier est généré, et vous êtes invité à l’ouvrir ou à l’enregistrer localement.
Pour exporter une alerte dans un fichier PDF :
Connectez-vous à votre console de capteur OT, sélectionnez la page Alertes à gauche, puis effectuez une des actions suivantes :
- Dans la page Alertes, sélectionnez une alerte, puis sélectionnez Exporter au format PDF dans la barre d’outils au-dessus de la grille.
- Dans une page de détails d’alerte, sélectionnez Exporter au format PDF.
Le fichier est généré et vous êtes invité à l’enregistrer localement.
Les commentaires d’alerte vous aident à accélérer votre processus d’investigation et de correction en rendant plus efficaces la communication entre les membres de l’équipe et l’enregistrement des données.
Si votre administrateur a créé des commentaires personnalisés que votre équipe doit ajouter aux alertes, ajoutez-les à partir de la section Commentaires d’une page de détails d’alerte.
Connectez-vous à votre console de capteur OT et sélectionnez la page Alertes sur la gauche.
Recherchez l’alerte à laquelle vous voulez ajouter un commentaire et ouvrez la page des détails de l’alerte.
Dans la liste Choisir un commentaire, sélectionnez le commentaire que vous voulez ajouter, puis sélectionnez Ajouter. Par exemple :
Pour plus d’informations, consultez Accélération des workflows d’alerte OT.