Examiner les incidents et les alertes
Microsoft Defender pour IoT dans le portail Microsoft Defender affiche des incidents et des alertes, qui améliorent la sécurité et les opérations de votre réseau avec des détails en temps réel sur les événements enregistrés dans votre réseau de technologie opérationnelle (OT).
Les alertes constituent la base de tous les incidents et indiquent l’occurrence d’événements malveillants ou suspects dans votre environnement. Dans un incident, vous analysez les alertes qui affectent votre réseau, comprenez ce qu’elles signifient et rassemblez les preuves afin de pouvoir concevoir un plan de correction efficace.
En savoir plus sur les alertes et les incidents dans le portail Defender.
Dans cet article, vous allez apprendre à examiner un incident Microsoft Defender pour IoT et ses alertes associées, et à corriger les problèmes de sécurité déclenchés par l’alerte.
Les alertes de la page Incidents combinent de façon unique les signaux de l’environnement informatique et OT pour détecter les menaces potentielles et les fuites de données. La page Incidents affiche :
- Historique des alertes connectées à l’incident et graphique de l’incident. Le graphique montre d’autres appareils connectés à l’appareil OT affecté qui peuvent également être compromis.
- Descriptions des alertes, qui expliquent le type de problème de sécurité détecté.
- Options de correction pour résoudre le problème de sécurité.
Remarque
Les données d’incident et d’alerte pour Defender pour IoT n’apparaissent qu’une fois que vous avez configuré un site et que vos appareils envoient des données au portail Defender. Découvrez comment configurer un site.
Importante
Cet article traite de Microsoft Defender pour IoT dans le portail Defender (préversion).
Si vous êtes un client existant travaillant sur le portail Defender pour IoT classique (portail Azure), consultez la documentation Defender pour IoT sur Azure.
En savoir plus sur les portails de gestion Defender pour IoT.
Certaines informations contenues dans cet article concernent le produit en préversion, qui peut être considérablement modifié avant sa publication commerciale. Microsoft n’offre aucune garantie, explicite ou implicite, concernant les informations fournies ici.
Examiner des alertes
Pour examiner une alerte :
Dans le menu du portail Microsoft Defender , sélectionnez Incidents & alertes > Incidents.
Pour afficher les incidents liés à OT :
- Sélectionnez Ajouter un filtre.
- Sélectionnez Nom du produit , puis Ajouter.
- Sélectionnez l’onglet Noms des produits qui s’affiche et tapez : Defender pour IoT.
- Sélectionnez Appliquer.
Recherchez et sélectionnez un incident.
La page d’incident spécifique affiche le récit de l’attaque constitué de la chronologie des alertes, d’un graphique d’incident et des détails de l’incident.
Sélectionnez une alerte dans la liste des alertes.
Le graphique d’incident et les détails de l’incident affichent des données spécifiques pour cette alerte.
Dans le panneau Incident , passez en revue les informations, lisez la description de l’alerte, Preuves et ressources impactées et suivez les actions recommandées d’alerte pour corriger le problème.
Alerte Defender pour IoT
Defender pour IoT génère sa propre alerte unique.
| Nom | Description |
|---|---|
| Impact opérationnel possible en raison d’un appareil compromis | Un appareil compromis communiqué avec une ressource de technologie opérationnelle (OT). Un attaquant peut tenter de contrôler ou d’interrompre les opérations physiques. |
Recherche avancée de menaces
Utilisez la propriété Site répertoriée dans la table DeviceInfo pour écrire des requêtes pour la chasse avancée. Cela vous permet de filtrer les appareils en fonction d’un site spécifique, par exemple tous les appareils qui ont communiqué avec des appareils malveillants sur un site spécifique.
La requête suivante répertorie tous les appareils de point de terminaison avec l’adresse IP spécifique sur le site de San Francisco.
DeviceInfo
|where Site == "SanFrancisco" and PublicIP == "192.168.1.1" and DeviceCategory == "Endpoint"
Cela s’applique à la fois à l’inventaire des appareils et à la sécurité du site. Pour plus d’informations, consultez Repérage avancé et schéma DeviceInfo de repérage avancé.