Riasztások megtekintése és kezelése az Azure Portalról
A Microsoft Defender for IoT-riasztások növelik a hálózat biztonságát és műveleteit a hálózatban naplózott események valós idejű adataival. Ez a cikk bemutatja, hogyan kezelheti a Microsoft Defender for IoT-riasztásokat az Azure Portalon, beleértve az OT és a Nagyvállalati IoT hálózati érzékelők által létrehozott riasztásokat is.
Az OT-riasztások az egyes OT-hálózati érzékelők konzolján vagy egy csatlakoztatott helyszíni felügyeleti konzolon is elérhetők
Integrálható a Microsoft Sentinellel a Defender for IoT-riasztások Microsoft Sentinelben való megtekintéséhez és biztonsági incidensekkel együtt történő kezeléséhez.
Ha be van kapcsolva a Vállalati IoT-biztonság a Microsoft Defender XDR-ben, a Végponthoz készült Microsoft Defender által észlelt nagyvállalati IoT-eszközökre vonatkozó riasztások csak a Defender for Endpointben érhetők el.
További információ: IoT-eszközök biztonságossá tétele a nagyvállalatban és a Riasztások üzenetsor a Microsoft Defender XDR-ben.
Előfeltételek
Ha riasztásokat szeretne létrehozni a Defender for IoT-ben, egy ot-ot kell előkészíteni, és hálózati adatokat kell streamelnie a Defender for IoT-be.
Az Azure Portalon a riasztások megtekintéséhez hozzáféréssel kell rendelkeznie biztonsági olvasóként, biztonsági rendszergazdaként, közreműködőként vagy tulajdonosként
Az Azure Portalon a riasztások kezeléséhez biztonsági rendszergazdaként, közreműködőként vagy tulajdonosként kell hozzáféréssel rendelkeznie. A riasztáskezelési tevékenységek közé tartozik az állapotuk vagy súlyosságuk módosítása, a riasztások megismerése , a PCAP-adatok elérése vagy a riasztások letiltási szabályainak használata.
További információ: Azure felhasználói szerepkörök és engedélyek az IoT Defenderhez.
Riasztások megtekintése az Azure Portalon
Az Azure Portalon található Defender for IoT-ben válassza a bal oldali Riasztások lapot. Alapértelmezés szerint a következő részletek jelennek meg a rácson:
Oszlop Leírás Súlyosság Az érzékelő által hozzárendelt előre definiált riasztási súlyosság, amelyet szükség szerint módosíthat. Név A riasztás címe. Oldalon A riasztást észlelő érzékelőhöz társított webhely a Webhelyek és érzékelők lapon látható módon. Motor A Defender for IoT észlelési motor , amely észlelte a tevékenységet, és aktiválta a riasztást.
Megjegyzés: A Micro-agent értéke azt jelzi, hogy az eseményt a Defender for IoT Device Builder platform aktiválta.Utolsó észlelés A riasztás legutóbbi észlelése.
– Ha egy riasztás állapota Új, és ugyanaz a forgalom látható újra, a legutóbbi észlelési idő ugyanahhoz a riasztáshoz frissül.
– Ha a riasztás állapota bezárva van, és a forgalom ismét látható, az utolsó észlelési idő nem frissül, és egy új riasztás aktiválódik.
Megjegyzés: Bár az érzékelőkonzol valós időben jeleníti meg a riasztás utolsó észlelési mezőjét, az Azure Portalon az IoT-hez készült Defender akár egy órát is igénybe vehet a frissített idő megjelenítéséhez. Ez egy olyan forgatókönyvet ismertet, amelyben az érzékelőkonzol utolsó észlelési ideje nem ugyanaz, mint az Azure Portal legutóbbi észlelési ideje.Állapot A riasztás állapota: Új, Aktív, Lezárt
További információ: Riasztási állapotok és osztályozási beállítások.Forráseszköz Az IP-cím, a MAC-cím vagy annak az eszköznek a neve, amelyből a riasztást kiváltó forgalom származik. Taktika A MITRE ATT&CK szakasz. További részletek megtekintéséhez válassza az Oszlopok szerkesztése gombot.
A jobb oldali Oszlopok szerkesztése panelen válassza az Oszlop hozzáadása és az alábbi további oszlopok bármelyike lehetőséget:
Oszlop Leírás Forráseszköz címe A forráseszköz IP-címe. Céleszköz címe A céleszköz IP-címe. Céleszköz A cél IP-címe vagy MAC-címe, illetve a céleszköz neve. Első észlelés A riasztás első észlelése a hálózaton. Azonosító Az érzékelőkonzolon található azonosítóhoz igazított egyedi riasztásazonosító.
Megjegyzés: Ha a riasztást egyesítették az azonos riasztást észlelő érzékelők más riasztásaival , az Azure Portal megjeleníti a riasztásokat létrehozó első érzékelő riasztásazonosítóját.Utolsó tevékenység A riasztás legutóbbi módosításának időpontja, beleértve a súlyosság vagy állapot manuális frissítéseit, vagy az eszközfrissítések vagy az eszköz/riasztás deduplikációjának automatikus módosításait Protokoll A riasztás hálózati forgalmában észlelt protokoll. Érzékelő A riasztást észlelő érzékelő. Övezet A riasztást észlelő érzékelőhöz rendelt zóna. Kategória A riasztáshoz társított kategória , például működési problémák, egyéni riasztások vagy illegális parancsok. Típus A riasztás belső neve.
Tipp.
Ha a vártnál több riasztást lát, előfordulhat, hogy elnyomási szabályokat szeretne létrehozni, hogy a riasztások ne aktiválódjanak a jogszerű hálózati tevékenységhez. További információ: Az irreleváns riasztások letiltása.
Megjelenített riasztások szűrése
A Keresőmező, az Időtartomány és a Szűrő hozzáadása lehetőséggel szűrheti az adott paraméterek által megjelenített riasztásokat, vagy megkereshet egy adott riasztást.
Szűrjön például riasztásokat kategória szerint:
Csoportriasztások jelennek meg
A jobb felső sarokban található Csoportosítás menüvel adott paraméterek szerint összecsukhatja a rácsot alszakaszokba.
Ha például a riasztások teljes száma a rács fölött jelenik meg, a riasztások számának lebontásával, például az adott súlyosságú riasztások számával, a protokolllal vagy a helytel kapcsolatos pontosabb információkra lehet szüksége.
A támogatott csoportosítási lehetőségek közé tartozik a motor, a név, az érzékelő, a súlyosság és a hely.
Részletek megtekintése és adott riasztás szervizelése
A Riasztások lapon válasszon ki egy riasztást a rácson a jobb oldali panel további részleteinek megjelenítéséhez. A riasztás részletei panel tartalmazza a riasztás leírását, a forgalom forrását és célját stb.
További részletezéshez válassza a Teljes részletek megtekintése lehetőséget. Példa:
A riasztás részleteinek lapja további részleteket tartalmaz a riasztásról, valamint a Művelet végrehajtása lapon található szervizelési lépések készletét. Például:
Riasztás súlyosságának és állapotának kezelése
Javasoljuk, hogy az Azure Portalon azonnal frissítse a riasztás súlyosságát az IoT-hez készült Defenderben, amint egy riasztást triázsolt, hogy a lehető leghamarabb rangsorolhassa a legkockázatosabb riasztásokat. Győződjön meg arról, hogy a szervizelési lépések elvégzése után frissítenie kell a riasztás állapotát, hogy a folyamat rögzítve legyen.
Egyszerre frissítheti egyetlen riasztás súlyosságát és állapotát, illetve a riasztások tömeges kiválasztását.
Megismerhet egy riasztást, amely jelzi az IoT Defendernek, hogy az észlelt hálózati forgalom engedélyezve van. A tanult riasztások nem aktiválódnak újra a következő alkalommal, amikor ugyanazt a forgalmat észleli a hálózaton. A tanulás csak a kiválasztott riasztások esetében támogatott, a tanulást pedig csak az OT hálózati érzékelő támogatja.
További információ: Riasztási állapotok és osztályozási beállítások.
Egyetlen riasztás kezelése:
- Az Azure Portalon a Defender for IoT-ben válassza a bal oldali Riasztások lapot, majd válasszon ki egy riasztást a rácson.
- Válassza ki az új állapotot és/vagy súlyosságot a jobb oldali részletek panelen, vagy egy riasztás részleteit tartalmazó lapon.
Több riasztás tömeges kezelése:
- Az Azure Portalon a Defender for IoT-ben válassza a bal oldali Riasztások lapot, majd válassza ki a módosítani kívánt riasztásokat a rácson.
- Az eszköztár állapotának és/vagy súlyossági beállításainak módosítása az összes kijelölt riasztás állapotának és/vagy súlyosságának frissítéséhez használható.
Egy vagy több riasztás elsajátításához:
Az Azure Portalon a Defender for IoT-ben válassza a bal oldali Riasztások lapot, majd hajtsa végre az alábbi műveletek egyikét:
- Jelöljön ki egy vagy több tanulható riasztást a rácson, majd válassza a Learn lehetőséget az eszköztáron.
- A megtanulható riasztások értesítési részleteinek lapján, a Művelet végrehajtása lapon válassza a Learn lehetőséget.
Hozzáférés a riasztási PCAP-adatokhoz
A vizsgálat részeként érdemes lehet hozzáférni a nyers adatforgalmi fájlokhoz, más néven csomagrögzítési fájlokhoz vagy PCAP-fájlokhoz . Ha Ön SOC- vagy OT-biztonsági mérnök, közvetlenül az Azure Portalról érheti el a PCAP-fájlokat a gyorsabb kivizsgálás érdekében.
A riasztás nyers forgalmi fájljainak eléréséhez válassza a PCAP letöltése lehetőséget a riasztás részletei lap bal felső sarkában.
Példa:
A portál a riasztást észlelő érzékelőtől kéri le a fájlt, és letölti az Azure Storage-ba.
A PCAP-fájl letöltése az érzékelő kapcsolatának minőségétől függően több percet is igénybe vehet.
Riasztások exportálása CSV-fájlba
Előfordulhat, hogy több riasztást szeretne exportálni egy CSV-fájlba offline megosztáshoz és jelentéskészítéshez.
Az Azure Portalon található Defender for IoT-ben válassza a bal oldali Riasztások lapot.
A keresőmezővel és a szűrési beállításokkal csak az exportálni kívánt riasztásokat jelenítheti meg.
A rács feletti eszköztáron válassza a Megerősítés exportálása lehetőséget.>
A rendszer létrehozza a fájlt, és a rendszer kérni fogja, hogy mentse helyileg.