Az OT-riasztási munkafolyamatok felgyorsítása

  • Cikk

Feljegyzés

A feljegyzett funkciók előzetes verzióban érhetők el. Az Azure Előzetes verzió kiegészítő feltételei olyan egyéb jogi feltételeket tartalmaznak, amelyek a bétaverzióban, előzetes verzióban vagy más módon még nem általánosan elérhető Azure-funkciókra vonatkoznak.

A Microsoft Defender for IoT-riasztások növelik a hálózat biztonságát és műveleteit a hálózatban naplózott események valós idejű adataival. Az OT-riasztások akkor aktiválódnak, ha az OT hálózati érzékelői olyan változásokat vagy gyanús tevékenységeket észlelnek a hálózati forgalomban, amelyekre szüksége van a figyelmére.

Ez a cikk a következő módszereket ismerteti az OT hálózati riasztások kimerültségének csökkentésére a csapatban:

  • Az érzékelők által aktivált riasztások csökkentése érdekében hozzon létre letiltási szabályokat az Azure Portalról. Ha levegőalapú környezetben dolgozik, ezt úgy teheti meg, hogy riasztáskizárási szabályokat hoz létre a helyszíni felügyeleti konzolon.

  • Hozzon létre riasztási megjegyzéseket a csapatok számára az egyes riasztásokhoz való hozzáadáshoz, a kommunikáció és a nyilvántartás egyszerűsítésééhez a riasztások között.

  • Egyéni riasztási szabályok létrehozása a hálózat adott forgalmának azonosításához

Előfeltételek

A lapon található eljárások használata előtt vegye figyelembe a következő előfeltételeket:

To ... Rendelkeznie kell ...
Riasztáselnyomási szabályok létrehozása az Azure Portalon A Defender for IoT-előfizetés legalább egy felhőalapú ot-érzékelővel és hozzáféréssel biztonsági Rendszergazda, közreműködőként vagy tulajdonosként.
DNS-engedélyezési lista létrehozása egy OT-érzékelőn Az alapértelmezett Rendszergazda felhasználóként egy ot hálózati érzékelő van telepítve, és az érzékelőhöz való hozzáférés.
Riasztási megjegyzések létrehozása egy OT-érzékelőn Telepített OT hálózati érzékelő, és hozzáférés az érzékelőhöz, mint bármely olyan felhasználó, aki Rendszergazda szerepkörrel rendelkezik.
Egyéni riasztási szabályok létrehozása egy OT-érzékelőn Telepített OT hálózati érzékelő, és hozzáférés az érzékelőhöz, mint bármely olyan felhasználó, aki Rendszergazda szerepkörrel rendelkezik.
Riasztáskizárási szabályok létrehozása helyszíni felügyeleti konzolon Telepített helyszíni felügyeleti konzol, és hozzáférés a helyszíni felügyeleti konzolhoz, mint bármely olyan felhasználó, aki Rendszergazda szerepkörrel rendelkezik.

További információkért lásd:

Irreleváns riasztások letiltása

Konfigurálja az OT-érzékelőket úgy, hogy letiltsa a riasztásokat a hálózat azon meghatározott forgalmára vonatkozóan, amelyek egyébként riasztást váltanak ki. Ha például egy adott érzékelő által figyelt összes OT-eszköz két napig karbantartási eljáráson megy keresztül, érdemes lehet meghatározni egy szabályt, amely letiltja az érzékelő által a karbantartási időszak alatt generált összes riasztást.

  • A felhőhöz csatlakoztatott OT-érzékelők esetében hozzon létre riasztáseloszlási szabályokat az Azure Portalon, hogy figyelmen kívül hagyja a hálózat azon meghatározott forgalmát, amelyek egyébként riasztást indítanának el.

  • Helyileg felügyelt érzékelők esetén hozzon létre riasztáskizárási szabályokat a helyszíni felügyeleti konzolon a felhasználói felület vagy az API használatával.

Fontos

Az Azure Portalon konfigurált szabályok felülbírálnak minden olyan szabályt, amely ugyanarra az érzékelőre van konfigurálva a helyszíni felügyeleti konzolon. Ha jelenleg riasztáskizárási szabályokat használ a helyszíni felügyeleti konzolon, javasoljuk, hogy a kezdés előtt telepítse át őket az Azure Portalra letiltási szabályokként.

Riasztás-letiltási szabályok létrehozása az Azure Portalon (nyilvános előzetes verzió)

Ez a szakasz azt ismerteti, hogyan hozhat létre riasztáseloszlási szabályt az Azure Portalon, és csak felhőalapú érzékelők esetén támogatott.

Riasztáselnyomási szabály létrehozása:

  1. Az Azure Portalon található Defender for IoT-ben válassza a riasztások>letiltására vonatkozó szabályokat.

  2. A Letiltási szabályok (előzetes verzió) lapon válassza a + Létrehozás lehetőséget.

  3. A Letiltási szabály létrehozása panel Részletek lapján adja meg a következő adatokat:

    1. Válassza ki azure-előfizetését a legördülő listából.

    2. Adjon meg egy értelmes nevet a szabálynak, és adjon meg egy opcionális leírást.

    3. Kapcsolja be az Engedélyezve beállítást, hogy a szabály a konfigurált módon fusson. Azt is megteheti, hogy kikapcsolja ezt a beállítást, hogy csak később kezdje el használni a szabályt.

    4. A Letiltás időtartomány szerint területen váltson a lejárati dátumra, és adjon meg egy adott kezdő és záró dátumot és időpontot a szabályhoz. Több időtartomány hozzáadásához válassza a Tartomány hozzáadása lehetőséget.

    5. Az Alkalmaz területen válassza ki, hogy a szabályt az előfizetés összes érzékelőjére, vagy csak bizonyos helyekre vagy érzékelőkre szeretné-e alkalmazni. Ha az Alkalmazás egyéni kijelölésre lehetőséget választja, jelölje ki azokat a webhelyeket és/vagy érzékelőket, ahol futtatni szeretné a szabályt.

      Egy adott hely kiválasztásakor a szabály a helyhez társított összes meglévő és jövőbeli érzékelőre vonatkozik.

    6. Válassza a Tovább lehetőséget, és erősítse meg a felülbírálási üzenetet.

  4. A Letiltási szabály létrehozása panel Feltételek lapján:

    1. A Riasztások neve legördülő listában válasszon ki egy vagy több riasztást a szabályhoz. Ha egy adott szabálynév helyett egy riasztási motor nevét választja, a szabály az adott motorhoz társított összes meglévő és jövőbeli riasztásra érvényes.

    2. A szabály további szűréséhez további feltételeket határoz meg, például adott forrásokból, adott célhelyekre vagy adott alhálózatokra irányuló forgalmat. Az alhálózatok feltételekként való megadásakor vegye figyelembe, hogy az alhálózatok a forrás- és céleszközökre is vonatkoznak.

    3. Ha befejezte a szabályfeltételek konfigurálását, válassza a Tovább gombot.

  5. A Letiltási szabály létrehozása panel Véleményezés és létrehozás lapján tekintse át a létrehozott szabály részleteit, majd válassza a Létrehozás lehetőséget.

A szabály hozzá lesz adva a letiltási szabályok listájához a Letiltási szabályok (előzetes verzió) lapon. Válasszon ki egy szabályt, amely szükség szerint szerkessze vagy törölje azt.

Tipp.

Ha exportálnia kell a letiltási szabályokat, válassza az Exportálás gombot az eszköztáron. A konfigurált összes szabályt egyetlen fájlba exportálja a rendszer. CSV-fájl, amelyet helyileg menthet.

Letiltási szabályok migrálása helyszíni felügyeleti konzolról (nyilvános előzetes verzió)

Ha jelenleg felhőalapú érzékelőkkel rendelkező helyszíni felügyeleti konzolt használ, javasoljuk, hogy az új tiltási szabályok létrehozása előtt telepítse át a kizárási szabályokat az Azure Portalra. Az Azure Portalon konfigurált letiltási szabályok felülbírálják a riasztáskizárási szabályokat, amelyek ugyanazokhoz az érzékelőkhöz léteznek a helyszíni felügyeleti konzolon.

Riasztáskizárási szabályok exportálása és importálása az Azure Portalra:

  1. Jelentkezzen be a helyszíni felügyeleti konzolra, és válassza a Riasztás kizárása lehetőséget.

  2. A Riasztás kizárása lapon válassza az Exportálás lehetőséget a szabályok exportálásához. CSV-fájl.

  3. Az Azure Portalon található Defender for IoT-ben válassza a riasztások>letiltására vonatkozó szabályokat.

  4. A Letiltási szabályok (előzetes verzió) lapon válassza a Helyi felügyeleti szabályok migrálása lehetőséget, majd keresse meg és válassza ki a lehetőséget. A helyszíni felügyeleti konzolról letöltött CSV-fájl.

  5. A Migrálási tiltási szabályok panelen tekintse át a migrálni kívánt letiltási szabályok feltöltött listáját, majd válassza az Áttelepítés jóváhagyása lehetőséget.

  6. Erősítse meg a felülbírálási üzenetet.

A szabályok bekerülnek a letiltási szabályok listájába a Letiltási szabályok (előzetes verzió) lapon. Válasszon ki egy szabályt, amely szükség szerint szerkessze vagy törölje azt.

Riasztáskizárási szabályok létrehozása helyszíni felügyeleti konzolon

Azt javasoljuk, hogy csak helyileg felügyelt érzékelőkhöz hozzon létre riasztáskizárási szabályokat egy helyszíni felügyeleti konzolon. A felhőalapú érzékelők esetében az Azure Portalon létrehozott letiltási szabályok felülbírálják az adott érzékelő helyszíni felügyeleti konzolján létrehozott kizárási szabályokat.

Riasztáskizárási szabály létrehozása:

  1. Jelentkezzen be a helyszíni felügyeleti konzolra, és válassza a Riasztás kizárása lehetőséget a bal oldali menüben.

  2. A Riasztás kizárása lapon kattintson a + jobb felső sarokban lévő gombra egy új szabály hozzáadásához.

  3. A Kizárási szabály létrehozása párbeszédpanelen adja meg a következő adatokat:

    Név Leírás
    Név Adjon meg egy értelmes nevet a szabálynak. A név nem tartalmazhat idézőjeleket (").
    Időszak szerint Jelöljön ki egy időzónát és azt az időtartamot, amelyet aktívnak szeretne lennie a kizárási szabálynak, majd válassza az ADD lehetőséget.

    Ezzel a beállítással külön szabályokat hozhat létre a különböző időzónákhoz. Előfordulhat például, hogy három különböző időzónában 8:00 és 10:00 óra között kell alkalmaznia egy kizárási szabályt. Ebben az esetben hozzon létre három külön kizárási szabályt, amelyek ugyanazt az időszakot és a vonatkozó időzónát használják.
    Eszközcím szerint Jelölje ki és adja meg a következő értékeket, majd válassza az ADD(Hozzáadás) lehetőséget:

    – Válassza ki, hogy a kijelölt eszköz forrás, cél vagy forrás- és céleszköz-e.
    – Válassza ki, hogy a cím IP-cím, MAC-cím vagy alhálózat-e
    - Adja meg az IP-cím, a MAC-cím vagy az alhálózat értékét.
    Riasztás címe szerint Jelöljön ki egy vagy több riasztást, amely hozzáadható a kizárási szabályhoz, majd válassza az ADD lehetőséget. A riasztások címének megkereséséhez írja be egy riasztási cím egészét vagy egy részét, és válassza ki a kívánt címet a legördülő listából.
    Érzékelő neve szerint Jelöljön ki egy vagy több érzékelőt a kizárási szabályhoz hozzáadni, majd válassza az ADD lehetőséget. Az érzékelőnevek megkereséséhez írja be az érzékelő nevét vagy egy részét, és válassza ki a kívántt a legördülő listából.

    Fontos

    A riasztáskizárási szabályok alapulnak AND , ami azt jelenti, hogy a riasztások csak akkor lesznek kizárva, ha minden szabályfeltétel teljesül. Ha nincs meghatározva szabályfeltétel, az összes beállítás megjelenik. Ha például nem adja meg az érzékelő nevét a szabályban, a szabály minden érzékelőre érvényes.

    A szabályparaméterek összegzése a párbeszédpanel alján látható.

  4. Ellenőrizze a kizárási szabály létrehozása párbeszédpanel alján látható szabályösszesítést, majd válassza a MENTÉS lehetőséget

Riasztáskizárási szabályok létrehozása API-val:

A Defender for IoT API használatával hozzon létre helyszíni felügyeleti konzol riasztáskivételi szabályokat egy külső jegykezelő rendszerből vagy más, a hálózati karbantartási folyamatokat kezelő rendszerből.

A szabály alkalmazásához használja a maintenanceWindow (Riasztáskivételek létrehozása) API-t az érzékelők, az elemzési motorok, a kezdési és a befejezési időpont meghatározásához. Az API-val létrehozott kizárási szabályok írásvédettként jelennek meg a helyszíni felügyeleti konzolon.

További információ: Defender for IoT API-referencia.

Internetkapcsolat engedélyezése EGY OT-hálózaton

Csökkentse a jogosulatlan internetes riasztások számát a tartománynevek engedélyezési listájának létrehozásával az OT-érzékelőn. Ha egy DNS-engedélyezési lista van konfigurálva, az érzékelő a riasztás aktiválása előtt ellenőrzi az összes jogosulatlan internetkapcsolati kísérletet a listával szemben. Ha a tartomány teljes tartománynevét tartalmazza az engedélyezési lista, az érzékelő nem aktiválja a riasztást, és automatikusan engedélyezi a forgalmat.

Az összes OT-érzékelő felhasználó megtekintheti az adatbányászati jelentésekben jelenleg konfigurált tartományok listáját, beleértve a teljes tartományneveket, a feloldott IP-címeket és az utolsó feloldási időt.

DNS-engedélyezési lista definiálása:

  1. Jelentkezzen be rendszergazdaként az OT-érzékelőbe, és válassza a Támogatási lapot.

  2. A keresőmezőben keresse meg a DNS-t , majd keresse meg a motort az Internet Domain Allowlist leírásával.

  3. Válassza az Internet Domain Allowlist sor Szerkesztés elemét. Példa:

    Képernyőkép a DNS konfigurációinak szerkesztéséről az érzékelőkonzolon.

  4. A Konfiguráció szerkesztése panel >Fqdn allowlist mezőjébe írjon be egy vagy több tartománynevet. Több tartománynév elkülönítése vesszővel. Az érzékelő nem fog riasztásokat generálni a konfigurált tartományokon történő jogosulatlan internetkapcsolati kísérletekhez.

  5. A módosítások mentéséhez válassza a Küldés lehetőséget.

Az adatbányászati jelentések aktuális engedélyezési listájának megtekintése:

Amikor kiválaszt egy kategóriát az egyéni adatbányászati jelentésben, győződjön meg arról, hogy az Internet Domain Allowlist (Internet Domain Allowlist) lehetőséget választja a DNS kategóriában.

Példa:

Képernyőkép arról, hogyan hozhat létre egyéni adatbányászati jelentést az engedélyezési listához az érzékelőkonzolon.

A létrehozott adatbányászati jelentés megjeleníti az engedélyezett tartományok és az ezekhez a tartományokhoz feloldott IP-címek listáját. A jelentés másodpercek alatt tartalmazza a TTL-t is, amely során ezek az IP-címek nem aktiválnak internetkapcsolatra vonatkozó riasztást. Példa:

Képernyőkép az érzékelőkonzol engedélyezési listájának adatbányászati jelentéséről.

Riasztási megjegyzések létrehozása egy OT-érzékelőn

  1. Jelentkezzen be az OT-érzékelőbe, és válassza a System Gépház> Network Monitorozási>riasztás megjegyzései lehetőséget.

  2. A Riasztás megjegyzések panel Leírás mezőjében adja meg az új megjegyzést, és válassza a Hozzáadás lehetőséget. Az új megjegyzés megjelenik a mező alatti Leírás listában.

    Példa:

    Képernyőkép az OT-érzékelő Riasztás megjegyzések paneljéről.

  3. Válassza a Küldés lehetőséget, ha hozzá szeretné adni a megjegyzést az érzékelő egyes riasztásaiban elérhető megjegyzések listájához.

A csapattagok számára az érzékelőn lévő egyes riasztásokban egyéni megjegyzések érhetők el. További információ: Riasztási megjegyzések hozzáadása.

Egyéni riasztási szabályok létrehozása egy OT-érzékelőn

Adjon hozzá egyéni riasztási szabályokat, amelyekkel riasztásokat aktiválhat a hálózaton olyan adott tevékenységekkel kapcsolatban, amelyekre nem terjed ki a beépített funkció.

A MODBUS-t futtató környezetek esetében például hozzáadhat egy szabályt, amely észleli az írott parancsokat egy adott IP-címen és Ethernet-célhelyen található memóriaregisztrálásban.

Egyéni riasztási szabály létrehozása:

  1. Jelentkezzen be az OT-érzékelőbe, és válassza az Egyéni riasztási szabályok>+ Szabály létrehozása lehetőséget.

  2. Az egyéni riasztási szabály létrehozása panelen adja meg a következő mezőket:

    Név Leírás
    Riasztás neve Adjon meg egy értelmes nevet a riasztásnak.
    Riasztási protokoll Válassza ki az észlelni kívánt protokollt.
    Bizonyos esetekben válasszon az alábbi protokollok közül:

    – Adatbázisadatok vagy struktúramanipulációs esemény esetén válassza a TNS vagy a TDS lehetőséget.
    - Fájlesemények esetén válassza a HTTP, DELTAV, SMB vagy FTP elemet a fájl típusától függően.
    – Csomagletöltési esemény esetén válassza a HTTP lehetőséget.
    - Nyitott portok (elvetett) esemény esetén válassza a TCP vagy az UDP elemet a port típusától függően.

    Ha olyan szabályokat szeretne létrehozni, amelyek nyomon követik az egyik OT-protokoll egyes módosításait, például az S7 vagy a CIP protokollt, használja az adott protokollon található paramétereket, például tag vagy sub-function.
    Üzenet Adjon meg egy üzenetet, amely a riasztás aktiválásakor jelenik meg. A riasztási üzenetek támogatják az alfanumerikus karaktereket és az észlelt forgalmi változókat.

    Előfordulhat például, hogy meg szeretné adni az észlelt forrás- és célcímeket. A riasztási üzenethez használjon kapcsos zárójeleket ({}) változók hozzáadásához.
    Direction (Irány) Adjon meg egy forrás- és/vagy cél IP-címet, ahol a forgalmat észlelni szeretné.
    Feltételek Adjon meg egy vagy több feltételt, amelyet teljesítenie kell a riasztás aktiválásához.

    - Válassza ki a + jelet, ha több feltételt tartalmazó feltételkészletet szeretne létrehozni, amely az AND operátort használja. A + jel csak a Riasztás protokoll értékének kiválasztása után van engedélyezve.
    - Ha egy MAC-címet vagy IP-címet jelöl ki változóként, akkor pontozott tizedesjeles címről decimális formátumra kell konvertálnia az értéket.

    Egyéni riasztási szabály létrehozásához legalább egy feltételt hozzá kell adnia.
    Észlelt Adjon meg egy dátum- és/vagy időtartományt az észlelni kívánt forgalomhoz. A napok és az időtartomány testreszabása a karbantartási órákhoz vagy a munkaidő beállításához.
    Művelet Adja meg azt a műveletet, amelyet az IoT Defender automatikusan végrehajt a riasztás aktiválásakor.
    A Defender for IoT hozzon létre riasztást vagy eseményt a megadott súlyossággal.
    PCAP-t tartalmaz Ha egy esemény létrehozását választotta, szükség szerint törölje a PCAP-t is . Ha egy riasztás létrehozását választotta, a PCAP mindig megjelenik, és nem távolítható el.

    Példa:

    Képernyőkép az Egyéni riasztási szabály létrehozása panelről egyéni riasztási szabályok létrehozásához.

  3. Ha végzett a szabály mentésével, válassza a Mentés lehetőséget.

Egyéni riasztási szabály szerkesztése

Egyéni riasztási szabály szerkesztéséhez válassza ki a szabályt, majd válassza a Beállítások (...) menü Szerkesztés parancsát>. Szükség szerint módosítsa a riasztási szabályt, és mentse a módosításokat.

Az egyéni riasztási szabályok módosításait, például a súlyossági szint vagy a protokoll módosítását az OT-érzékelő Esemény ütemterv lapján követheti nyomon a rendszer.

További információ: Érzékelői tevékenység nyomon követése.

Egyéni riasztási szabályok letiltása, engedélyezése vagy törlése

Tiltsa le az egyéni riasztási szabályokat, hogy ne fussanak anélkül, hogy teljesen törölné őket.

Az Egyéni riasztási szabályok lapon jelöljön ki egy vagy több szabályt, majd szükség szerint válassza a Letiltás, Engedélyezés vagy Törlés lehetőséget az eszköztáron.

Riasztáskizárási szabályok létrehozása helyszíni felügyeleti konzolon

Riasztáskizárási szabályok létrehozásával utasíthatja az érzékelőket, hogy hagyják figyelmen kívül a hálózat azon meghatározott forgalmát, amelyek egyébként riasztást váltanak ki.

Ha például tudja, hogy egy adott érzékelő által figyelt összes OT-eszköz karbantartási eljárásokon megy keresztül két napig, határozzon meg egy kizárási szabályt, amely arra utasítja az IoT Defendert, hogy tiltsa le az érzékelő által az előre meghatározott időszakban észlelt riasztásokat.

Riasztáskizárási szabály létrehozása:

  1. Jelentkezzen be a helyszíni felügyeleti konzolra, és válassza a Riasztás kizárása lehetőséget a bal oldali menüben.

  2. A Riasztás kizárása lapon kattintson a + jobb felső sarokban lévő gombra egy új szabály hozzáadásához.

  3. A Kizárási szabály létrehozása párbeszédpanelen adja meg a következő adatokat:

    Név Leírás
    Név Adjon meg egy értelmes nevet a szabálynak. A név nem tartalmazhat idézőjeleket (").
    Időszak szerint Jelöljön ki egy időzónát és azt az időtartamot, amelyet aktívnak szeretne lennie a kizárási szabálynak, majd válassza az ADD lehetőséget.

    Ezzel a beállítással külön szabályokat hozhat létre a különböző időzónákhoz. Előfordulhat például, hogy három különböző időzónában 8:00 és 10:00 óra között kell alkalmaznia egy kizárási szabályt. Ebben az esetben hozzon létre három külön kizárási szabályt, amelyek ugyanazt az időszakot és a vonatkozó időzónát használják.
    Eszközcím szerint Jelölje ki és adja meg a következő értékeket, majd válassza az ADD(Hozzáadás) lehetőséget:

    – Válassza ki, hogy a kijelölt eszköz forrás, cél vagy forrás- és céleszköz-e.
    – Válassza ki, hogy a cím IP-cím, MAC-cím vagy alhálózat-e
    - Adja meg az IP-cím, a MAC-cím vagy az alhálózat értékét.
    Riasztás címe szerint Jelöljön ki egy vagy több riasztást, amely hozzáadható a kizárási szabályhoz, majd válassza az ADD lehetőséget. A riasztások címének megkereséséhez írja be egy riasztási cím egészét vagy egy részét, és válassza ki a kívánt címet a legördülő listából.
    Érzékelő neve szerint Jelöljön ki egy vagy több érzékelőt a kizárási szabályhoz hozzáadni, majd válassza az ADD lehetőséget. Az érzékelőnevek megkereséséhez írja be az érzékelő nevét vagy egy részét, és válassza ki a kívántt a legördülő listából.

    Fontos

    A riasztáskizárási szabályok alapulnak AND , ami azt jelenti, hogy a riasztások csak akkor lesznek kizárva, ha minden szabályfeltétel teljesül. Ha nincs meghatározva szabályfeltétel, az összes beállítás megjelenik. Ha például nem adja meg az érzékelő nevét a szabályban, a szabály minden érzékelőre érvényes.

    A szabályparaméterek összegzése a párbeszédpanel alján látható.

  4. Ellenőrizze a kizárási szabály létrehozása párbeszédpanel alján látható szabályösszesítést, majd válassza a MENTÉS lehetőséget

Riasztáskizárási szabályok létrehozása API-val

A Defender for IoT API használatával riasztási kizárási szabályokat hozhat létre egy külső jegykezelő rendszerből vagy más, a hálózati karbantartási folyamatokat kezelő rendszerből.

A szabály alkalmazásához használja a maintenanceWindow (Riasztáskivételek létrehozása) API-t az érzékelők, az elemzési motorok, a kezdési és a befejezési időpont meghatározásához. Az API-val létrehozott kizárási szabályok írásvédettként jelennek meg a helyszíni felügyeleti konzolon.

További információ: Defender for IoT API-referencia.

Következő lépések

Microsoft Defender for IoT-riasztások