שתף באמצעות

בדוק אירועים והתראות

  • מאמר

Microsoft Defender עבור IoT בפורטל Microsoft Defender מציג אירועים והתראות, אשר משפרים את אבטחת הרשת ואת הפעולות שלך באמצעות פרטים בזמן אמת על אירועים שנרשם ברשת הטכנולוגיה התפעולית (OT) שלך.

התראות הן הבסיס לכל האירועים ומציינות את המופע של אירועים זדוניים או חשודים בסביבה שלך. במקרה מסוים, אתה מנתח את ההתראות המשפיעות על הרשת שלך, מבין את משמעותן ואיסוף הראיות כדי שתוכל לתכנן תוכנית תיקון יעילה.

קבל מידע נוסף עלהתראות ותקריות בפורטל Defender.

במאמר זה, תלמד כיצד לחקור מקרה של Microsoft Defender עבור IoT ואת ההתראות המשויכות לו, וכיצד לפתור את בעיות האבטחה שהובאו בהתראה.

התראות בדף אירועים משלבות באופן ייחודי אותות סביבת IT ו- OT כדי לזהות איומים פוטנציאליים דליפות נתונים. הדף אירועים מציג:

  • היסטוריה של ההתראות המחוברות לתקרית וגרף אירועים. הגרף מציג מכשירים אחרים המחוברים למכשיר ה- OT המושפע, שעשויים גם הם להיחשף לסכנה.
  • תיאורי התראה, שמסבירים את סוג בעיית האבטחה שזוהתה.
  • אפשרויות תיקון כדי לפתור את בעיית האבטחה.

הערה

נתוני אירוע והתראה עבור Defender for IoT מופיעים רק לאחר הגדרת אתר והמכשירים שלך שולחים נתונים לפורטל Defender. למד כיצד להגדיר אתר.

חשוב

מאמר זה דן ב- Microsoft Defender for IoT בפורטל Defender (Preview).

אם אתה לקוח קיים שעובד על פורטל Defender for IoT הקלאסי (פורטל Azure), עיין בתיעוד של Defender for IoT ב- Azure.

קבל מידע נוסף על פורטלי הניהול של Defender for IoT.

חלק מהמידע במאמר זה מתייחס למוצר שהופץ מראש, אשר עשוי להיות שונה באופן משמעותי לפני ההפצה המסחרית שלו. Microsoft אינה מעניקה כל אחריות, מפורשת או משתמעת, ביחס למידע המסופק כאן.

חקירת התראות

כדי לחקור התראה:

  1. בתפריט הפורטל של Microsoft Defender , בחר מקרים & התראות > אירועים.

  2. כדי להציג אירועים הקשורים ל- OT:

    1. בחר הוסף מסנן.
    2. בחר שם מוצר ובחר הוסף.
    3. בחר את הכרטיסיה שמות מוצרים שמופיעה והקלד: Defender for IoT.
    4. בחר החל.

  3. אתר ובחר מקרה.

    דף האירוע הספציפי מציג את סיפור התקיפה מורכב מציר הזמן של ההתראה, גרף אירועים ופרטי האירוע.

  4. בחר התראה מרשימת ההתראות.

    גרף האירועים ופרטי האירוע מציגים נתונים ספציפיים עבור התראה זו.

  5. בלוח אירוע, סקור את המידע, קרא את תיאור ההתראה, הראיות ונכסים מושפעים ובצע את הפעולות המומלצות התראה כדי לפתור את הבעיה.

התראת Defender for IoT

Defender for IoT יוצר התראה ייחודית משלו.

Name תיאור
השפעה תפעולית אפשרית עקב מכשיר שנחשף לסכנה מכשיר שנחשף לסכנה תקשר עם נכס טכנולוגיה תפעולית (OT). ייתכן שתוקף מנסה לשלוט בפעולות פיזיות או להפריע לה.

ציד מתקדם

השתמש במאפיין 'אתר' המפורט בטבלה DeviceInfo כדי לכתוב שאילתות עבור ציד מתקדם. הדבר מאפשר לך לסנן מכשירים לפי אתר ספציפי, לדוגמה, כל המכשירים שלתקשר עם מכשירים זדוניים באתר ספציפי.

השאילתה הבאה מפרטת את כל מכשירי נקודת הקצה עם כתובת ה- IP הספציפית באתר של סן פרנסיסקו.

DeviceInfo
|where Site == "SanFrancisco" and PublicIP == "192.168.1.1" and DeviceCategory == "Endpoint"

הדבר רלוונטי הן עבור מלאי המכשיר והן עבור אבטחת האתר. לקבלת מידע נוסף, ראה ציד מתקדם וסכימהAdvanced hunting DeviceInfo.