Helyszíni OT-riasztási információk továbbítása
A Microsoft Defender for IoT-riasztások növelik a hálózat biztonságát és műveleteit a hálózatban naplózott események valós idejű adataival. Az OT-riasztások akkor aktiválódnak, ha az OT hálózati érzékelői olyan változásokat vagy gyanús tevékenységeket észlelnek a hálózati forgalomban, amelyekre szüksége van a figyelmére.
Ez a cikk bemutatja, hogyan konfigurálhatja az OT-érzékelőt vagy a helyszíni felügyeleti konzolt a riasztások partnerszolgáltatásoknak, syslog-kiszolgálóknak, e-mail-címeknek és egyebeknek való továbbítására. A továbbított riasztási információk a következőkre vonatkozó részleteket tartalmaznak:
- A riasztás dátuma és időpontja
- Az eseményt észlelő motor
- Riasztás címe és leíró üzenete
- A riasztás súlyossága
- Forrás- és célnév és IP-cím
- Gyanús forgalom észlelhető
- Leválasztott érzékelők
- Távoli biztonsági mentési hibák
Megjegyzés:
A továbbítási riasztási szabályok csak a továbbítási szabály létrehozása után aktivált riasztásokon futnak. A szabály nem érinti a már a rendszerben a továbbítási szabály létrehozása előtti riasztásokat.
Előfeltételek
Attól függően, hogy hol szeretné létrehozni a továbbítási riasztási szabályokat, telepítenie kell egy OT hálózati érzékelőt vagy egy helyszíni felügyeleti konzolt, amely Rendszergazda felhasználóként rendelkezik hozzáféréssel.
További információ: Az OT ügynök nélküli monitorozási szoftverének és helyszíni felhasználóinak és szerepköreinek telepítése az IoT-hez készült Defenderrel végzett OT-monitorozáshoz.
Az SMTP-beállításokat az OT-érzékelőn vagy a helyszíni felügyeleti konzolon is meg kell határoznia.
További információt az SMTP-levelezési kiszolgáló beállításainak konfigurálása egy OT-érzékelőn és az SMTP-levelezési kiszolgáló beállításainak konfigurálása a helyszíni felügyeleti konzolon című témakörben talál.
Továbbítási szabályok létrehozása egy OT-érzékelőn
Jelentkezzen be az OT-érzékelőbe, és válassza a Továbbítás lehetőséget a bal oldali menüben >+ Új szabály létrehozása.
A Továbbítási szabály hozzáadása panelen adjon meg egy értelmes szabálynevet, majd adja meg a szabályfeltételeket és műveleteket az alábbiak szerint:
Name Leírás Minimális riasztási szint Válassza ki a továbbítandó minimális riasztási súlyossági szintet .
Ha például az Alverzió lehetőséget választja, a rendszer a kisebb riasztásokat és a súlyossági szint feletti riasztásokat továbbítja.Bármilyen észlelt protokoll Kapcsolja be a riasztásokat az összes protokollforgalomból, vagy kapcsolja ki, és válassza ki a felvenni kívánt protokollokat. Bármely motor által észlelt forgalom Kapcsolja be a kapcsolót az összes elemzési motor riasztásainak továbbításához, vagy kapcsolja ki, és válassza ki a felvenni kívánt motorokat. Actions Válassza ki azt a kiszolgálótípust, amelyre a riasztásokat továbbítani szeretné, majd adja meg az adott kiszolgálótípushoz szükséges egyéb információkat.
Ha több kiszolgálót szeretne hozzáadni ugyanahhoz a szabályhoz, válassza a + Kiszolgáló hozzáadása lehetőséget, és adjon hozzá további részleteket.
További információ: Riasztástovábbítási szabályműveletek konfigurálása.Ha végzett a szabály konfigurálásával, válassza a Mentés lehetőséget. A szabály megjelenik a Továbbítás lapon.
Tesztelje a létrehozott szabályt:
- Válassza a tesztüzenet küldése szabály> beállítások menüjét (...).
- Lépjen a célszolgáltatásra annak ellenőrzéséhez, hogy az érzékelő által küldött információk megérkeztek-e.
Továbbítási szabályok szerkesztése vagy törlése egy OT-érzékelőn
Meglévő szabály szerkesztése vagy törlése:
Jelentkezzen be az OT-érzékelőbe, és válassza a Továbbítás lehetőséget a bal oldali menüben.
Válassza ki a szabály beállítások menüjét (...), majd hajtsa végre az alábbi műveletek egyikét:
Válassza a Szerkesztés lehetőséget, és szükség szerint frissítse a mezőket. Amikor elkészült, válassza a Mentés lehetőséget.
A törlés megerősítéséhez válassza az Igen törlése>lehetőséget.
Továbbítási szabályok létrehozása helyszíni felügyeleti konzolon
Továbbítási szabály létrehozása a felügyeleti konzolon:
Jelentkezzen be a helyszíni felügyeleti konzolra, és válassza a Továbbítás lehetőséget a bal oldali menüben.
Új szabály létrehozásához kattintson a + jobb felső sarokban található gombra.
A Továbbítási szabály létrehozása ablakban adjon meg egy értelmes nevet a szabálynak, majd adja meg a szabály feltételeit és műveleteit az alábbiak szerint:
Name Leírás Minimális riasztási szint A párbeszédpanel jobb felső sarkában a legördülő listában válassza ki a továbbítandó minimális riasztási súlyossági szintet .
Ha például az Alverzió lehetőséget választja, a rendszer a kisebb riasztásokat és a súlyossági szint feletti riasztásokat továbbítja.Protokollok Válassza az Összes lehetőséget a riasztások továbbításához az összes protokollforgalomból, vagy válassza az Adott lehetőséget, ha csak adott protokollokat szeretne hozzáadni. Motorok Válassza az Összes lehetőséget az összes érzékelőelemző motor által aktivált riasztások továbbításához, vagy válassza az Egyedi lehetőséget, ha csak adott motorokat szeretne hozzáadni. Rendszerértesítések Válassza a Jelentési rendszer értesítése lehetőséget a leválasztott érzékelőkről vagy a távoli biztonsági mentési hibákról való értesítéshez. Riasztási értesítések A Riasztások jelentése beállítással értesítést jeleníthet meg a riasztás dátumáról és idejéről, címéről, súlyosságáról, a forrás- és célnévről, az IP-címről, a gyanús forgalomról, valamint az eseményt észlelő motorról. Actions A Hozzáadás gombra kattintva műveletet adhat hozzá az alkalmazáshoz, és megadhatja a kiválasztott művelethez szükséges paraméterértékeket. Szükség szerint ismételje meg a műveletet több művelet hozzáadásához.
További információ: Riasztástovábbítási szabályműveletek konfigurálása.Ha végzett a szabály konfigurálásával, válassza a MENTÉS lehetőséget. A szabály megjelenik a Továbbítás lapon.
Tesztelje a létrehozott szabályt:
- A szabály sorában válassza a továbbítási szabály tesztelése
gombot. Sikeres értesítés jelenik meg, ha az üzenet sikeresen elküldve van. - Lépjen a partnerrendszerhez annak ellenőrzéséhez, hogy az érzékelő által küldött információk megérkeztek-e.
- A szabály sorában válassza a továbbítási szabály tesztelése
Továbbítási szabályok szerkesztése vagy törlése helyszíni felügyeleti konzolon
Meglévő szabály szerkesztése vagy törlése:
Jelentkezzen be a helyszíni felügyeleti konzolra, és válassza a Továbbítás lehetőséget a bal oldali menüben.
Keresse meg a szabály sorát, majd válassza a Szerkesztés vagy
a
Törlés gombot.Ha szerkeszti a szabályt, szükség szerint frissítse a mezőket, és válassza a MENTÉS lehetőséget.
Ha törli a szabályt, a törlés megerősítéséhez válassza a MEGERŐSÍTÉS lehetőséget.
Riasztástovábbítási szabályműveletek konfigurálása
Ez a szakasz bemutatja, hogyan konfigurálhatja a támogatott továbbítási szabályműveletek beállításait egy OT-érzékelőn vagy a helyszíni felügyeleti konzolon.
E-mail-cím művelet
E-mail-művelet konfigurálása riasztási adatoknak a konfigurált e-mail-címre való továbbításához.
A Műveletek területen adja meg a következő adatokat:
| Name | Leírás |
|---|---|
| Kiszolgáló | Válassza az E-mail lehetőséget. |
| Adja meg a riasztásokat továbbítani kívánt e-mail-címet. Minden szabály egyetlen e-mail-címet támogat. | |
| Timezone | Válassza ki a célrendszer riasztásészleléséhez használni kívánt időzónát. |
Syslog-kiszolgálóműveletek
Konfiguráljon egy Syslog-kiszolgálói műveletet a riasztási adatoknak a Syslog-kiszolgáló kiválasztott típusára való továbbításához.
A Műveletek területen adja meg a következő adatokat:
| Name | Leírás |
|---|---|
| Kiszolgáló | Válasszon a következő típusú syslog-formátumok közül: - SYSLOG-kiszolgáló (CEF formátum) - SYSLOG-kiszolgáló (L Enterprise kiadás F formátum) - SYSLOG-kiszolgáló (objektum) - SYSLOG-kiszolgáló (szöveges üzenet) |
| Gazdagépport / | Adja meg a syslog-kiszolgáló állomásnevét és portját |
| Timezone | Válassza ki a célrendszer riasztásészleléséhez használni kívánt időzónát. |
| Protokoll | Csak szöveges üzenetek esetén támogatott. Válassza a TCP vagy az UDP lehetőséget. |
| Titkosítás engedélyezése | Csak CEF formátum esetén támogatott. TLS titkosítási tanúsítványfájl, kulcsfájl és jelszó konfigurálásához kapcsolja be a kapcsolót. |
A következő szakaszok az egyes formátumok syslog kimeneti szintaxisát ismertetik.
Syslog szöveges üzenet kimeneti mezői
| Name | Leírás |
|---|---|
| Prioritás | Felhasználó. Alert |
| Üzenet | CyberX-platform neve: Az érzékelő neve. Microsoft Defender for IoT-riasztás: A riasztás címe. Típus: A riasztás típusa. Lehet protokollsértés, szabályzatsértés, kártevőirtó, anomália vagy működési hiba. Súlyosság: A riasztás súlyossága. Lehet figyelmeztetés, alverzió, főverzió vagy kritikus. Forrás: A forráseszköz neve. Forrás IP-címe: A forráseszköz IP-címe. Protokoll (nem kötelező): Az észlelt forrásprotokoll. Cím (nem kötelező): Forrásprotokoll címe. Cél: A céleszköz neve. Cél IP-címe: A céleszköz IP-címe. Protokoll (nem kötelező): Az észlelt célprotokoll. Cím (nem kötelező): A célprotokoll címe. Üzenet: A riasztás üzenete. Riasztási csoport: A riasztáshoz társított riasztási csoport. UUID (nem kötelező): A riasztás UUID azonosítója. |
Syslog objektum kimeneti mezői
| Name | Leírás |
|---|---|
| Prioritás | User.Alert |
| Dátum és idő | Az a dátum és idő, amikor a syslog-kiszolgáló gépe megkapta az információt. |
| Hostname (Gazdanév) | Érzékelő IP-címe |
| Üzenet | Érzékelő neve: A berendezés neve. Riasztási idő: A riasztás észlelésének időpontja: A syslog-kiszolgáló gépétől függően változhat, és a továbbítási szabály időzóna-konfigurációjától függ. Riasztás címe: A riasztás címe. Riasztási üzenet: A riasztás üzenete. Riasztás súlyossága: A riasztás súlyossága: Figyelmeztetés, Kisebb, Fő vagy Kritikus. Riasztás típusa: Protokollmegsértés, szabályzatmegsértés, kártevők, anomália vagy működési. Protokoll: A riasztás protokollja. Source_MAC: a forráseszköz IP-címe, neve, szállítója vagy operációs rendszere. Destination_MAC: a cél IP-címe, neve, szállítója vagy operációs rendszere. Ha az adatok hiányoznak, az érték n/A. alert_group: A riasztáshoz társított riasztási csoport. |
Syslog CEF kimeneti mezők
| Name | Leírás |
|---|---|
| Prioritás | User.Alert |
| Dátum és idő | Dátum és idő, amikor az érzékelő elküldte az információt UTC formátumban |
| Hostname (Gazdanév) | Érzékelő állomásneve |
| Üzenet | CEF:0 Microsoft Defender for IoT/CyberX Érzékelő neve Érzékelő verziója Microsoft Defender for IoT-riasztás Riasztás címe A súlyosság egész száma. 1=Figyelmeztetés, 4=Kisebb, 8=Fő vagy 10=Kritikus. msg= A riasztás üzenete. protocol= A riasztás protokollja. súlyosság= Figyelmeztetés, Kisebb, Fő vagy Kritikus. type= Protokollsértés, szabályzatmegsértés, kártevők, anomália vagy működési. UUID= a riasztás UUID azonosítója (nem kötelező) start= A riasztás észlelésének időpontja. A syslog-kiszolgáló gépétől függően változhat, és a továbbítási szabály időzóna-konfigurációjától függ. src_ip = a forráseszköz IP-címe. (Nem kötelező) src_mac= a forráseszköz MAC-címe. (Nem kötelező) dst_ip = a céleszköz IP-címe. (Nem kötelező) dst_mac= a céleszköz MAC-címe. (Nem kötelező) cat= A riasztáshoz társított riasztási csoport. |
Syslog L Enterprise kiadás F kimeneti mezők
| Name | Leírás |
|---|---|
| Prioritás | User.Alert |
| Dátum és idő | Dátum és idő, amikor az érzékelő elküldte az információt UTC formátumban |
| Hostname (Gazdanév) | Érzékelő IP-címe |
| Üzenet | Érzékelő neve: A Microsoft Defender for IoT-berendezés neve. L Enterprise kiadás F:1.0 Microsoft Defender for IoT Érzékelő Érzékelő verziója Microsoft Defender for IoT-riasztás cím: A riasztás címe. msg: A riasztás üzenete. protokoll: A riasztás protokollja. súlyosság: Figyelmeztetés, Kisebb, Fő vagy Kritikus. Típus: A riasztás típusa: Protokollmegsértés, Szabályzatmegsértés, Kártevő, Anomália vagy Működési. kezdés: A riasztás időpontja. Ez eltérhet a syslog-kiszolgáló gépétől, és az időzóna konfigurációjától függ. src_ip: A forráseszköz IP-címe. dst_ip: a céleszköz IP-címe. cat: A riasztáshoz társított riasztási csoport. |
Webhook-kiszolgálóművelet
Csak a helyszíni felügyeleti konzolról támogatott
Webhook-művelet konfigurálása olyan integráció konfigurálásához, amely feliratkozik a Defender for IoT riasztási eseményeire. Például küldjön riasztási adatokat egy webhook-kiszolgálónak egy külső SIEM-rendszer, SOAR rendszer vagy incidenskezelő rendszer frissítéséhez.
Ha konfigurálta a riasztások webhook-kiszolgálóra való továbbítását, és riasztási esemény aktiválódik, a helyszíni felügyeleti konzol http POST hasznos adatokat küld a konfigurált webhook URL-címre.
A Műveletek területen adja meg a következő adatokat:
| Name | Leírás |
|---|---|
| Kiszolgáló | Válassza a Webhook lehetőséget. |
| URL-cím | Adja meg a webhook-kiszolgáló URL-címét. |
| Kulcs/érték | Adja meg a kulcs-/érték párokat a HTTP-fejléc igény szerinti testreszabásához. A támogatott karakterek a következők: - A kulcsok csak betűket, számokat, kötőjeleket és aláhúzásjeleket tartalmazhatnak. - Az értékek csak egy kezdő és/vagy záró szóközt tartalmazhatnak. |
Webhook bővített
Csak a helyszíni felügyeleti konzolról támogatott
Konfiguráljon egy kibővített Webhook-műveletet a következő további adatok webhook-kiszolgálóra való küldéséhez:
- sensorID
- sensorName
- zoneID
- zoneName
- siteID
- siteName
- sourceDeviceAddress
- destinationDeviceAddress
- remediationSteps
- Kezelni
- additionalInformation
A Műveletek területen adja meg a következő adatokat:
| Name | Leírás |
|---|---|
| Kiszolgáló | Válassza a Bővített Webhook lehetőséget. |
| URL-cím | Adja meg a végpontadatok URL-címét. |
| Kulcs/érték | Adja meg a kulcs-/érték párokat a HTTP-fejléc igény szerinti testreszabásához. A támogatott karakterek a következők: - A kulcsok csak betűket, számokat, kötőjeleket és aláhúzásjeleket tartalmazhatnak. - Az értékek csak egy kezdő és/vagy záró szóközt tartalmazhatnak. |
NetWitness-művelet
Konfiguráljon egy NetWitness-műveletet , hogy riasztási információkat küldjön egy NetWitness-kiszolgálónak.
A Műveletek területen adja meg a következő adatokat:
| Name | Leírás |
|---|---|
| Kiszolgáló | Válassza a NetWitness lehetőséget. |
| Állomásnév/port | Adja meg a NetWitness-kiszolgáló állomásnevét és portját. |
| Időzóna | Adja meg az időbélyegben használni kívánt időzónát a riasztásészleléshez a SIEM-ben. |
Továbbítási szabályok konfigurálása partnerintegrációkhoz
Előfordulhat, hogy az IoT Defendert egy partnerszolgáltatással integrálja, hogy riasztásokat vagy eszközleltár-információkat küldjön egy másik biztonsági vagy eszközkezelő rendszernek, vagy kommunikáljon a partneroldali tűzfalakkal.
A partnerintegrációk segíthetnek a korábban silózott biztonsági megoldások áthidalásában, az eszközök láthatóságának javításában és a rendszerszintű reagálás felgyorsításában a kockázatok gyorsabb mérséklése érdekében.
Ilyen esetekben a támogatott műveletek használatával adja meg az integrált partnerszolgáltatásokkal való kommunikációhoz szükséges hitelesítő adatokat és egyéb információkat.
For more information, see:
- Fortinet integrálása a Microsoft Defender for IoT-vel
- A Qradar integrálása a Microsoft Defender for IoT-vel
Riasztási csoportok konfigurálása a partnerszolgáltatásokban
Ha úgy konfigurálja a továbbítási szabályokat, hogy riasztási adatokat küldjenek a Syslog-kiszolgálóknak, a QRadarnak és az ArcSightnak, a rendszer automatikusan alkalmazza a riasztási csoportokat, és ezek elérhetők ezeken a partnerkiszolgálókon.
A riasztási csoportok segítségével az SOC-csapatok a vállalati biztonsági szabályzatok és üzleti prioritások alapján kezelhetik a riasztásokat. Az új észlelésekkel kapcsolatos riasztások például felderítési csoportba vannak rendezve, amely magában foglalja az új eszközökre, VLAN-okra, felhasználói fiókokra, MAC-címekre és egyebekre vonatkozó riasztásokat.
A riasztási csoportok a partnerszolgáltatásokban az alábbi előtagokkal jelennek meg:
| Előtag | Partnerszolgáltatás |
|---|---|
cat |
QRadar, ArcSight, Syslog CEF, Syslog L Enterprise kiadás F |
Alert Group |
Syslog szöveges üzenetek |
alert_group |
Syslog-objektumok |
Ha riasztási csoportokat szeretne használni az integrációban, konfigurálja a partnerszolgáltatásokat a riasztási csoport nevének megjelenítésére.
Alapértelmezés szerint a riasztások a következőképpen vannak csoportosítva:
- Rendellenes kommunikációs viselkedés
- Egyéni riasztások
- Távelérés
- Rendellenes HTTP-kommunikációs viselkedés
- Discovery
- Parancsok újraindítása és leállítása
- Hitelesítés
- Belső vezérlőprogram módosítása
- Vizsgálat
- Jogosulatlan kommunikációs viselkedés
- Illegális parancsok
- Érzékelőforgalom
- Sávszélesség-rendellenességek
- Internet-hozzáférés
- Kártevő gyanúja
- Puffer túlcsordult
- Művelethibák
- Rosszindulatú tevékenység gyanúja
- Parancshibák
- Működési problémák
- Konfigurációs módosítások
- Programozás
További információkért és egyéni riasztási csoportok létrehozásához lépjen kapcsolatba Microsoft ügyfélszolgálata.
Továbbítási szabályok hibaelhárítása
Ha a továbbítási riasztási szabályok nem a várt módon működnek, ellenőrizze az alábbi részleteket:
Tanúsítvány érvényesítése. A Syslog CEF, a Microsoft Sentinel és a QRadar továbbítási szabályai támogatják a titkosítást és a tanúsítványérvényesítést.
Ha az OT-érzékelők vagy a helyszíni felügyeleti konzol a tanúsítványok ellenőrzésére van konfigurálva, és a tanúsítvány nem ellenőrizhető, a riasztások nem lesznek továbbítva.
Ezekben az esetekben az érzékelő vagy a helyszíni felügyeleti konzol a munkamenet ügyfele és kezdeményezője. A tanúsítványok általában a kiszolgálótól érkeznek, vagy aszimmetrikus titkosítást használnak, ahol egy adott tanúsítványt biztosítanak az integráció beállításához.
Riasztáskizárási szabályok. Ha a helyszíni felügyeleti konzolon kizárási szabályok vannak konfigurálva, előfordulhat, hogy az érzékelők figyelmen kívül hagyják a továbbítandó riasztásokat. További információ: Riasztáskizárási szabályok létrehozása helyszíni felügyeleti konzolon.