Microsoft Defender for IoT-riasztások
A Microsoft Defender for IoT-riasztások növelik a hálózat biztonságát és műveleteit a hálózatban naplózott események valós idejű adataival. A riasztások akkor aktiválódnak, ha az OT hálózati érzékelői olyan változásokat vagy gyanús tevékenységeket észlelnek a hálózati forgalomban, amelyekre szüksége van a figyelmére.
Példa:
A Riasztások lapon vagy a riasztás részleteit tartalmazó lapon megjelenő részletek segítségével kivizsgálhatja és végrehajthatja a hálózatra vonatkozó kockázatokat elhárító műveleteket, akár a kapcsolódó eszközökről, akár a riasztást kiváltó hálózati folyamatból.
Tipp.
A riasztások szervizelési lépéseivel segíthet az SOC-csapatoknak megérteni a lehetséges problémákat és megoldásokat. Javasoljuk, hogy tekintse át a javasolt szervizelési lépéseket, mielőtt frissítené a riasztási állapotot, vagy műveletet hajt végre az eszközön vagy a hálózaton.
Riasztáskezelési beállítások
Az IoT-riasztásokhoz készült Defender az Azure Portalon, az OT hálózati érzékelő konzolokon és a helyszíni felügyeleti konzolon érhető el. Nagyvállalati IoT-biztonság esetén a riasztások a Microsoft 365 Defenderben a Defender által az Endpointhez készült Defender által észlelt nagyvállalati IoT-eszközökhöz is elérhetők.
Bár megtekintheti a riasztások részleteit, megvizsgálhatja a riasztási környezetet, valamint a riasztási állapotok osztályozását és kezelését bármely ilyen helyről, az egyes helyek további riasztási műveleteket is kínálnak. Az alábbi táblázat az egyes helyeken támogatott riasztásokat és a csak az adott helyről elérhető további műveleteket ismerteti:
| Hely | Leírás | További riasztási műveletek |
|---|---|---|
| Azure Portalra | Riasztások az összes felhőalapú OT-érzékelőtől | - Kapcsolódó MITRE ATT&CK-taktikák és technikák megtekintése – Beépített munkafüzetek használata a magas prioritású riasztások láthatóságához – Tekintse meg a Microsoft Sentinel riasztásait, és alaposabban vizsgálja meg a Microsoft Sentinel forgatókönyveit és munkafüzeteit. |
| OT hálózati érzékelő konzolok | Az OT-érzékelő által generált riasztások | – A riasztás forrásának és céljának megtekintése az eszköztérképen – Kapcsolódó események megtekintése az esemény ütemtervében – Riasztások közvetlen továbbítása partnerszállítóknak – Riasztási megjegyzések létrehozása – Egyéni riasztási szabályok létrehozása – Riasztások kivezetésének megszüntetése |
| Helyszíni felügyeleti konzol | Csatlakoztatott OT-érzékelők által generált riasztások | – Riasztások közvetlen továbbítása partnerszállítóknak – Riasztáskizárási szabályok létrehozása |
| Microsoft 365 Defender | A Végponthoz készült Microsoft Defender által észlelt nagyvállalati IoT-eszközökhöz létrehozott riasztások | – Riasztási adatok kezelése más Microsoft 365 Defender-adatokkal együtt, beleértve a speciális vadászatot is |
Tipp.
Az azonos zónában lévő különböző érzékelőkből, 10 perces időkereten belül létrehozott riasztások, amelyek típusa, állapota, riasztási protokollja és kapcsolódó eszközei egyetlen, egységes riasztásként vannak felsorolva.
- A 10 perces időkeret a riasztás első észlelési idején alapul.
- Az egységesített riasztás felsorolja a riasztást észlelő összes érzékelőt.
- A riasztások a riasztási protokollon alapulnak, és nem az eszközprotokollon alapulnak.
További információkért lásd:
- Riasztások adatmegőrzése
- Az OT-riasztási munkafolyamatok felgyorsítása
- Riasztási állapotok és osztályozási beállítások
- OT-helyek és zónák tervezése
A riasztási lehetőségek a tartózkodási helytől és a felhasználói szerepkörtől függően is eltérnek. További információkért tekintse meg az Azure felhasználói szerepköreit és engedélyeit , valamint a helyszíni felhasználókat és szerepköröket.
Szűrt riasztások OT/IT-környezetekben
Azokat a szervezeteket, amelyekben az érzékelők az OT és az informatikai hálózatok között vannak üzembe helyezve, számos riasztással foglalkoznak, amelyek mind az OT, mind az informatikai forgalomhoz kapcsolódnak. A riasztások mennyisége, amelyek némelyike irreleváns, a riasztások kifáradását okozhatja, és hatással lehet az általános teljesítményre. Ezeknek a kihívásoknak a megoldása érdekében az IoT-hez készült Defender észlelési szabályzata a különböző riasztási motorokat irányítja, hogy az üzleti hatással rendelkező és az OT-hálózat szempontjából releváns riasztásokra összpontosítson, és csökkentse az alacsony értékű informatikai riasztásokat. A jogosulatlan internetkapcsolat riasztása például nagyon fontos egy OT-hálózaton, de viszonylag alacsony az értéke egy informatikai hálózatban.
Az ezekben a környezetekben aktivált riasztások fókuszba helyezéséhez az összes riasztási motor – a Kártevőmotor kivételével – csak akkor aktiválja a riasztásokat, ha egy kapcsolódó OT-alhálózatot vagy protokollt észlelnek. Azonban a kritikus forgatókönyveket jelző riasztások aktiválásának fenntartása:
- A kártevőmotor a kártevő-riasztásokat aktiválja, függetlenül attól, hogy a riasztások ot vagy informatikai eszközökhöz kapcsolódnak-e.
- A többi motor kivételeket tartalmaz a kritikus helyzetekhez. Az operatív motor például az érzékelőforgalommal kapcsolatos riasztásokat aktivál, függetlenül attól, hogy a riasztás az OT vagy az informatikai forgalomhoz kapcsolódik-e.
OT-riasztások kezelése hibrid környezetben
A hibrid környezetekben dolgozó felhasználók az Azure Portalon, az OT-érzékelőn és egy helyszíni felügyeleti konzolon kezelhetik az IoT Defenderben az OT-riasztásokat.
Feljegyzés
Míg az érzékelőkonzol valós időben jeleníti meg a riasztás utolsó észlelési mezőjét, az Azure Portalon a Defender for IoT akár egy órát is igénybe vehet a frissített idő megjelenítéséhez. Ez egy olyan forgatókönyvet ismertet, amelyben az érzékelőkonzol utolsó észlelési ideje nem ugyanaz, mint az Azure Portal legutóbbi észlelési ideje.
A riasztási állapotok egyébként teljes mértékben szinkronizálódnak az Azure Portal és az OT-érzékelő, valamint az érzékelő és a helyszíni felügyeleti konzol között. Ez azt jelenti, hogy függetlenül attól, hogy hol kezeli a riasztást az IoT Defenderben, a riasztás más helyeken is frissül.
Ha egy riasztási állapotot bezárt vagy elnémított állapotra állít be egy érzékelőn vagy egy helyszíni felügyeleti konzolon, a riasztás állapota az Azure Portalon lezárva állapotúra frissül. A helyszíni felügyeleti konzolon a zárt riasztás állapota Nyugtázva.
Tipp.
Ha a Microsoft Sentinellel dolgozik, javasoljuk, hogy konfigurálja az integrációt úgy, hogy szinkronizálja a riasztási állapotot a Microsoft Sentinellel, majd kezelje a riasztási állapotokat a kapcsolódó Microsoft Sentinel-incidensekkel együtt.
További információ: Oktatóanyag: Az IoT-eszközök fenyegetéseinek vizsgálata és észlelése.
Vállalati IoT-riasztások és Végponthoz készült Microsoft Defender
Ha nagyvállalati IoT-biztonságot használ a Microsoft 365 Defenderben, a Végponthoz készült Microsoft Defender által észlelt nagyvállalati IoT-eszközökre vonatkozó riasztások csak a Microsoft 365 Defenderben érhetők el. A Végponthoz készült Microsoft Defender számos hálózati alapú észlelése a nagyvállalati IoT-eszközökre vonatkozik, például a felügyelt végpontokat érintő vizsgálatok által aktivált riasztások.
További információ: IoT-eszközök biztonságossá tétele a nagyvállalatban és a Riasztások üzenetsor a Microsoft 365 Defenderben.
Az OT-riasztási munkafolyamatok felgyorsítása
Az új riasztások automatikusan le lesznek zárva, ha a kezdeti észlelés után 90 nappal nem észlelhető azonos forgalom. Ha az első 90 napon belül azonos forgalom észlelhető, a 90 napos szám alaphelyzetbe áll.
Az alapértelmezett viselkedésen kívül érdemes lehet segítenie az SOC és az OT felügyeleti csapatának a riasztások gyorsabb osztályozásában és szervizelésében. Jelentkezzen be egy OT-érzékelőbe vagy egy helyszíni felügyeleti konzolba Rendszergazda felhasználóként az alábbi lehetőségek használatához:
Egyéni riasztási szabályok létrehozása. Csak OT-érzékelők.
Adjon hozzá egyéni riasztási szabályokat, amelyekkel riasztásokat aktiválhat a hálózaton olyan adott tevékenységekkel kapcsolatban, amelyekre nem terjed ki a beépített funkció.
A MODBUS-t futtató környezetek esetében például hozzáadhat egy szabályt, amely észleli az írott parancsokat egy adott IP-címen és Ethernet-célhelyen található memóriaregisztrálásban.
További információ: Egyéni riasztási szabályok létrehozása egy OT-érzékelőn.
Riasztási megjegyzések létrehozása. Csak OT-érzékelők.
Hozzon létre egy riasztási megjegyzéskészletet, amelyet más OT-érzékelő felhasználói hozzáadhatnak az egyes riasztásokhoz, olyan részletekkel, mint például az egyéni kockázatcsökkentési lépések, a más csapattagok felé irányuló kommunikáció, vagy az eseményre vonatkozó egyéb megállapítások vagy figyelmeztetések.
A csapattagok újra felhasználhatják ezeket az egyéni megjegyzéseket a riasztási állapotok osztályozása és kezelésekor. A riasztások megjegyzései a riasztás részletei oldalon lévő megjegyzések területén jelennek meg. Példa:
További információ: Riasztási megjegyzések létrehozása egy OT-érzékelőn.
Riasztáskizárási szabályok létrehozása: Csak helyszíni felügyeleti konzolok.
Ha helyszíni felügyeleti konzollal dolgozik, riasztáskizárási szabályokat határozhat meg, amelyek figyelmen kívül hagyják az adott feltételeknek megfelelő több érzékelő eseményeit. Létrehozhat például egy riasztáskizárási szabályt, amely figyelmen kívül hagyja azokat az eseményeket, amelyek irreleváns riasztásokat váltanak ki egy adott karbantartási időszak során.
A kizárási szabályok által figyelmen kívül hagyott riasztások nem jelennek meg az Azure Portalon, az érzékelőn vagy a helyszíni felügyeleti konzolon, illetve az eseménynaplókban.
További információ: Riasztáskizárási szabályok létrehozása helyszíni felügyeleti konzolon.
Riasztási adatok továbbítása partnerrendszereknek partner SIEM-eknek, syslog-kiszolgálóknak, megadott e-mail-címeknek stb.
Az OT-érzékelők és a helyszíni felügyeleti konzolok egyaránt támogatják. További információt a Riasztás továbbítása című témakörben talál.
Riasztási állapotok és osztályozási beállítások
Az alábbi riasztási állapotokkal és osztályozási lehetőségekkel kezelheti a riasztásokat a Defender for IoT-ben.
A riasztások osztályozásakor vegye figyelembe, hogy egyes riasztások érvényes hálózati változásokat tükrözhetnek, például egy engedélyezett eszköz, amely egy másik eszközön próbál hozzáférni egy új erőforráshoz.
Bár az OT-érzékelő és a helyszíni felügyeleti konzol beállításai csak az OT-riasztásokhoz érhetők el, az Azure Portalon elérhető lehetőségek az OT- és a nagyvállalati IoT-riasztásokhoz is elérhetők.
Az alábbi táblázat segítségével további információkat tudhat meg az egyes riasztási állapotokról és osztályozási lehetőségekről.
| Állapot/osztályozási művelet | Elérhető a következőn: | Leírás |
|---|---|---|
| Új | - Azure Portal - OT hálózati érzékelők - Helyszíni felügyeleti konzol |
Az új riasztások olyan riasztások, amelyeket még nem vizsgált meg vagy vizsgált meg a csapat. Az ugyanahhoz az eszközhöz észlelt új forgalom nem hoz létre új riasztást, hanem hozzáadódik a meglévő riasztáshoz. A helyszíni felügyeleti konzolon az új riasztásokat ismeretlennek nevezzük. Megjegyzés: Előfordulhat, hogy több, új vagy ismeretlen riasztás is megjelenik ugyanazzal a névvel. Ilyen esetekben az egyes különálló riasztásokat külön forgalom aktiválja, különböző eszközcsoportokon. |
| Aktív | - Csak az Azure Portalon | Állítson be egy aktív riasztást, amely azt jelzi, hogy vizsgálat van folyamatban, de a riasztás még nem zárható be vagy más módon nem állítható be. Ennek az állapotnak máshol nincs hatása az IoT Defenderben. |
| Zárt | - Azure Portal - OT hálózati érzékelők - Helyszíni felügyeleti konzol |
Zárjon be egy riasztást, amely jelzi, hogy teljes mértékben ki van vizsgálva, és a következő alkalommal, amikor ugyanazt a forgalmat észleli, ismét riasztást szeretne kapni. A riasztás bezárása hozzáadja az érzékelő eseménysorához. A helyszíni felügyeleti konzolon az új riasztások neve Nyugtázva. |
| Információ | - Azure Portal - OT hálózati érzékelők - Helyszíni felügyeleti konzol A riasztások használatának megszüntetése csak az OT-érzékelőn érhető el. |
Megtudhatja, hogy mikor szeretné bezárni és engedélyezett forgalomként hozzáadni egy riasztást, hogy a rendszer ne riasztást küldjön, amikor legközelebb ugyanazt a forgalmat észleli. Ha például az érzékelő a szokásos karbantartási eljárásokat követve észleli a belső vezérlőprogram verzióváltozásait, vagy új, várt eszközt ad hozzá a hálózathoz. Tanulás egy riasztás bezárja a riasztást, és hozzáad egy elemet az érzékelő eseménysorához. Az észlelt forgalom szerepel az adatbányászati jelentésekben, más OT-érzékelős jelentések kiszámításakor azonban nem. Tanulás riasztások csak a kiválasztott riasztásokhoz érhetők el, többnyire a Szabályzat- és anomáliademotor-riasztások. |
| Néma | - OT hálózati érzékelők - Helyszíni felügyeleti konzol A riasztások visszahangosítása csak az OT-érzékelőn érhető el. |
Elnémíthat egy riasztást, ha be szeretné zárni, és nem látja újra ugyanazt a forgalmat, de a riasztás által engedélyezett forgalom hozzáadása nélkül. Ha például az operatív motor aktivál egy riasztást, amely azt jelzi, hogy a PLC mód megváltozott egy eszközön. Az új mód azt jelezheti, hogy a PLC nem biztonságos, de a vizsgálat után megállapították, hogy az új mód elfogadható. A riasztás elnémításával bezárul, de nem ad hozzá elemet az érzékelő eseménysorához. Az észlelt forgalom szerepel az adatbányászati jelentésekben, más érzékelőjelentések adatainak kiszámításakor azonban nem. A riasztások elnémítása csak a kiválasztott riasztásokhoz érhető el, többnyire az anomália, a protokollmegsértés vagy az operatív motorok által aktivált riasztásokhoz. |
Tipp.
Ha előre tudja, hogy mely események fontosak Önnek, például egy karbantartási időszak során, vagy ha nem szeretné nyomon követni az eseményt az esemény ütemtervében, hozzon létre egy riasztáskizárási szabályt egy helyszíni felügyeleti konzolon.
További információ: Riasztáskizárási szabályok létrehozása helyszíni felügyeleti konzolon.
Ot-riasztások osztályozása tanulási módban
Tanulás mód az OT-érzékelő üzembe helyezésének kezdeti időszakára utal, amikor az OT-érzékelő megismeri a hálózat alaptevékenységét, beleértve a hálózat eszközeit és protokolljait, valamint az adott eszközök közötti rendszeres fájlátvitelt.
A tanulási mód használatával elvégezhet egy kezdeti osztályozást a hálózaton lévő riasztásokon, és megismerheti azokat, amelyeket engedélyezettként, elvárt tevékenységként szeretne megjelölni. A tanult forgalom nem hoz létre új riasztásokat, amikor legközelebb ugyanazt a forgalmat észleli.
További információ: Az OT-riasztások tanult alapkonfigurációjának létrehozása.
Következő lépések
Tekintse át a riasztástípusokat és üzeneteket, hogy könnyebben megérthesse és megtervezhesse a szervizelési műveleteket és a forgatókönyv-integrációkat. További információ: OT monitorozási riasztástípusok és leírások.