Examiner et répondre à une alerte réseau OT

Cet article explique comment examiner et répondre à une alerte réseau OT dans Microsoft Defender pour IoT.

Vous êtes peut-être un ingénieur SOC (Security Operations Center) utilisant Microsoft Sentinel, qui a vu un nouvel incident dans votre espace de travail Microsoft Sentinel et continue dans Defender for IoT pour obtenir plus d'informations sur les appareils associés et les étapes de correction recommandées.

Vous pouvez également être un ingénieur OT qui surveille les alertes opérationnelles directement dans Defender pour IoT. Les alertes opérationnelles peuvent ne pas être malveillantes, mais peuvent indiquer une activité opérationnelle qui peut faciliter les enquêtes de sécurité.

Prerequisites

Avant de commencer, vérifiez que vous disposez des points suivants :

• Un abonnement Azure. Si vous avez besoin, inscrivez-vous à un compte gratuit.

• Un capteur réseau OT connecté au cloud intégré à Defender pour IoT, avec des alertes diffusées en continu dans le portail Azure.

• Pour examiner une alerte à partir d’un incident Microsoft Sentinel, vérifiez que vous avez terminé les didacticiels suivants :

  • Tutoriel : Connecter Microsoft Defender pour IoT à Microsoft Sentinel
  • Tutoriel : Examiner et détecter les menaces pour les appareils IoT

• Une page de détails d’alerte s’ouvre, accessible à partir de la page Alertes Defender pour IoT dans le portail Azure, une page de détails d’appareil Defender pour IoT ou un incident Microsoft Sentinel.

Examiner une alerte à partir du portail Azure

Sur une page de détails d’alerte dans le portail Azure, commencez par modifier l’état de l’alerte sur Active, ce qui indique qu’elle est actuellement en cours d’investigation.

Par exemple:

Important

Si vous intégrez Microsoft Sentinel, veillez à gérer votre état d’alerte uniquement à partir de l’incident dans Microsoft Sentinel. Les états des alertes ne sont pas synchronisés entre Defender pour IoT et Microsoft Sentinel.

Après avoir mis à jour l’état, consultez la page des détails de l’alerte pour obtenir les détails suivants pour faciliter votre investigation :

• Détails de l’appareil source et de destination. Les appareils sources et de destination sont répertoriés sous l’onglet Détails de l’alerte , ainsi que dans la zone Entités ci-dessous, en tant qu’entités Microsoft Sentinel, avec leurs propres pages d’entités. Dans la zone Entités , vous allez utiliser les liens de la colonne Nom pour ouvrir les pages de détails d’appareil pertinentes pour une investigation plus approfondie.

• Site et/ou zone. Ces valeurs vous aident à comprendre l’emplacement géographique et réseau de l’alerte et si des zones du réseau sont désormais plus vulnérables aux attaques.

• Informations sur le capteur. Passez en revue le capteur, SiteDisplayName et d’autres informations de capteur pour fournir un contexte sur le capteur qui a déclenché l’alerte.

  Note

  Dans certains cas, les alertes affichées dans la liste des alertes peuvent ne pas être corrélées avec des capteurs spécifiques. Pour plus d’informations, consultez Examiner les alertes qui ne sont pas corrélées avec des capteurs spécifiques.

• Les tactiques et techniques de MITRE ATT&CK. Faites défiler vers le bas dans le volet gauche pour voir tous les détails de MITRE ATT&CK. En plus des descriptions des tactiques et techniques, sélectionnez les liens vers le site MITRE ATT&CK pour en savoir plus sur chacun d’eux.

• Téléchargez PCAP. En haut de la page, sélectionnez Télécharger PCAP pour télécharger les fichiers de trafic bruts de l’alerte sélectionnée.

Examiner les alertes associées sur le portail Azure

Recherchez d’autres alertes déclenchées par le même appareil source ou de destination. Les corrélations entre plusieurs alertes peuvent indiquer que l’appareil est à risque et peut être exploité.

Par exemple, un appareil qui a tenté de se connecter à une adresse IP malveillante, ainsi qu’une autre alerte concernant les modifications de programmation PLC non autorisées sur l’appareil, peut indiquer qu’un attaquant a déjà obtenu le contrôle de l’appareil.

Pour rechercher les alertes associées dans Defender pour IoT :

1. Dans la page Alertes , sélectionnez une alerte pour afficher les détails à droite.

2. Recherchez les liens des appareils dans la zone Entités, soit dans le volet de détails à droite, soit dans la page des détails de l’alerte. Sélectionnez un lien d’entité pour ouvrir la page de détails de l’appareil associé, à la fois pour un appareil source et de destination.

3. Dans la page détails de l’appareil, sélectionnez l’onglet Alertes pour afficher toutes les alertes de cet appareil. Par exemple:

   

Examiner les alertes qui ne sont pas corrélées avec un capteur spécifique

Dans certains cas, les alertes dans le portail Azure peuvent ne pas être corrélées avec les alertes sur un capteur spécifique. L’alerte peut être déclenchée par la configuration d’un capteur spécifique, comme un appareil marqué comme scanneur dans un capteur, mais pas dans un autre. Par conséquent, les alertes peuvent uniquement être affichées sur le capteur qui a la configuration appropriée, même si d’autres capteurs voient également le même trafic.

Dans ce scénario, vous pouvez vérifier les champs Sensor, SiteDisplayName et SensorZone sous l’onglet Détails de l’alerte pour identifier le capteur qui a généré l’alerte. Vous pouvez ensuite passer en revue la configuration et le contexte de ce capteur pour comprendre pourquoi l’alerte a été déclenchée.

Examiner les détails de l’alerte sur le capteur OT

Le capteur OT qui a déclenché l’alerte aura plus de détails pour faciliter votre investigation.

Pour poursuivre votre investigation sur le capteur OT :

1. Connectez-vous à votre capteur OT en tant qu’utilisateur Spectateur ou Analyste de sécurité.

2. Sélectionnez la page Alertes , puis recherchez l’alerte que vous examinez. Sélectionnez **Afficher plus de détails pour ouvrir la page de détails de l’alerte du capteur OT. Par exemple:

   

Dans la page des détails de l’alerte du capteur :

• Sélectionnez l’onglet Mode Carte pour afficher l’alerte à l’intérieur de la carte des appareils du capteur OT, y compris les appareils connectés.

• Sélectionnez l’onglet Chronologie des événements pour afficher la chronologie complète des événements de l’alerte, y compris d’autres activités associées également détectées par le capteur OT.

• Sélectionnez Exporter le fichier PDF pour télécharger un résumé PDF des détails de l’alerte.

Effectuer une action de correction

Le moment où vous effectuez des actions de correction peut dépendre de la gravité de l’alerte. Par exemple, pour les alertes de gravité élevée, vous pouvez prendre des mesures avant même d’examiner, par exemple si vous devez mettre immédiatement en quarantaine une zone de votre réseau.

Pour les alertes de gravité inférieure ou pour les alertes opérationnelles, vous devriez enquêter minutieusement avant de prendre des mesures.

Pour corriger une alerte, utilisez les ressources Defender pour IoT suivantes :

• Dans une page de détails d’alerte sur le portail Azure ou le capteur OT, sélectionnez l’onglet Prendre des mesures pour afficher des détails sur les étapes recommandées pour atténuer le risque.

• Sur une page de détails d’appareil dans le portail Azure, pour les appareils source et de destination :

  • Sélectionnez l’onglet Vulnérabilités et recherchez les vulnérabilités détectées sur chaque appareil.

  • Sélectionnez l’onglet Recommandations et recherchez les recommandations de sécurité actuelles pour chaque appareil.

Les recommandations en matière de sécurité et de données de vulnérabilité Defender pour IoT peuvent fournir des actions simples que vous pouvez entreprendre pour atténuer les risques, tels que la mise à jour du microprogramme ou l’application d’un correctif. D’autres actions peuvent prendre plus de planification.

Une fois que vous avez terminé d’effectuer des activités d’atténuation et que vous êtes prêt à fermer l’alerte, veillez à mettre à jour l’état de l’alerte sur Fermé ou à informer votre équipe SOC pour une gestion des incidents supplémentaire.

Note

Si vous intégrez Defender pour IoT à Microsoft Sentinel, les modifications d’état d’alerte que vous apportez dans Defender pour IoT ne sont pas mises à jour dans Microsoft Sentinel. Veillez à gérer vos alertes dans Microsoft Sentinel avec l’incident associé.

Trier régulièrement les alertes

Trier les alertes régulièrement pour éviter la surcharge d'alertes dans votre réseau et afin de pouvoir voir et gérer les alertes importantes en temps voulu.

Pour trier les alertes :

1. Dans Defender pour IoT dans le portail Azure, accédez à la page Alertes . Par défaut, les alertes sont triées par la colonne Dernière détection , de la plus récente à l’alerte la plus ancienne, afin que vous puissiez d’abord voir les dernières alertes dans votre réseau.

2. Utilisez d’autres filtres, tels que capteur ou gravité , pour rechercher des alertes spécifiques.

3. Vérifiez les détails de l’alerte et examinez si nécessaire avant d’effectuer une action d’alerte. Lorsque vous êtes prêt, effectuez des actions sur une page de détails d’alerte pour une alerte spécifique ou sur la page Alertes pour les actions en bloc.

   Par exemple, mettez à jour l’état ou la gravité de l’alerte, ou découvrez une alerte pour autoriser le trafic détecté. Les alertes apprises ne sont pas déclenchées à nouveau si le même trafic exact est détecté à nouveau.

   

Pour les alertes de gravité élevée, vous pouvez prendre des mesures immédiatement.

Étapes suivantes

Améliorer la posture de sécurité avec des recommandations de sécurité