Riasztások megtekintése és kezelése az Azure Portalról

  • Cikk

A Microsoft Defender for IoT-riasztások növelik a hálózat biztonságát és műveleteit a hálózatban naplózott események valós idejű adataival. Ez a cikk bemutatja, hogyan kezelheti a Microsoft Defender for IoT-riasztásokat az Azure Portalon, beleértve az OT és a Nagyvállalati IoT hálózati érzékelők által létrehozott riasztásokat is.

Előfeltételek

További információ: Azure felhasználói szerepkörök és engedélyek az IoT Defenderhez.

Riasztások megtekintése az Azure Portalon

  1. Az Azure Portalon található Defender for IoT-ben válassza a bal oldali Riasztások lapot. Alapértelmezés szerint a következő részletek jelennek meg a rácson:

    Oszlop Leírás
    Súlyosság Az érzékelő által hozzárendelt előre definiált riasztási súlyosság, amelyet szükség szerint módosíthat.
    Név A riasztás címe.
    Oldalon A riasztást észlelő érzékelőhöz társított webhely a Webhelyek és érzékelők lapon látható módon.
    Motor A Defender for IoT észlelési motor , amely észlelte a tevékenységet, és aktiválta a riasztást.

    Megjegyzés: A Micro-agent értéke azt jelzi, hogy az eseményt a Defender for IoT Device Builder platform aktiválta.
    Utolsó észlelés A riasztás legutóbbi észlelése.

    – Ha egy riasztás állapota Új, és ugyanaz a forgalom látható újra, a legutóbbi észlelési idő ugyanahhoz a riasztáshoz frissül.
    – Ha a riasztás állapota bezárva van, és a forgalom ismét látható, az utolsó észlelési idő nem frissül, és egy új riasztás aktiválódik.
    Állapot A riasztás állapota: Új, Aktív, Lezárt

    További információ: Riasztási állapotok és osztályozási beállítások.
    Forráseszköz Az IP-cím, a MAC-cím vagy annak az eszköznek a neve, amelyből a riasztást kiváltó forgalom származik.
    Taktika A MITRE ATT&CK szakasz.

    1. További részletek megtekintéséhez válassza az Oszlopok szerkesztése gombot.

      A jobb oldali Oszlopok szerkesztése panelen válassza az Oszlop hozzáadása és az alábbi további oszlopok bármelyike lehetőséget:

      Oszlop Leírás
      Forráseszköz címe A forráseszköz IP-címe.
      Céleszköz címe A céleszköz IP-címe.
      Céleszköz A cél IP-címe vagy MAC-címe, illetve a céleszköz neve.
      Első észlelés A riasztás első észlelése a hálózaton.
      Azonosító Az érzékelőkonzolon található azonosítóhoz igazított egyedi riasztásazonosító.

      Megjegyzés: Ha a riasztást egyesítették az azonos riasztást észlelő érzékelők más riasztásaival , az Azure Portal megjeleníti a riasztásokat létrehozó első érzékelő riasztásazonosítóját.
      Utolsó tevékenység A riasztás legutóbbi módosításának időpontja, beleértve a súlyosság vagy állapot manuális frissítéseit, vagy az eszközfrissítések vagy az eszköz/riasztás deduplikációjának automatikus módosításait
      Protokoll A riasztás hálózati forgalmában észlelt protokoll.
      Érzékelő A riasztást észlelő érzékelő.
      Zóna A riasztást észlelő érzékelőhöz rendelt zóna.
      Kategória A riasztáshoz társított kategória , például működési problémák, egyéni riasztások vagy illegális parancsok.
      Típus A riasztás belső neve.

Tipp.

Ha a vártnál több riasztást lát, előfordulhat, hogy elnyomási szabályokat szeretne létrehozni, hogy a riasztások ne aktiválódjanak a jogszerű hálózati tevékenységhez. További információ: Az irreleváns riasztások letiltása.

Megjelenített riasztások szűrése

A Keresőmező, az Időtartomány és a Szűrő hozzáadása lehetőséggel szűrheti az adott paraméterek által megjelenített riasztásokat, vagy megkereshet egy adott riasztást.

Szűrjön például riasztásokat kategória szerint:

Screenshot of the Category filter option in Alerts page in the Azure portal.

Csoportriasztások jelennek meg

A jobb felső sarokban található Csoportosítás menüvel adott paraméterek szerint összecsukhatja a rácsot alszakaszokba.

Ha például a riasztások teljes száma a rács fölött jelenik meg, a riasztások számának lebontásával, például az adott súlyosságú riasztások számával, a protokolllal vagy a helytel kapcsolatos pontosabb információkra lehet szüksége.

A támogatott csoportosítási lehetőségek közé tartozik a motor, a név, az érzékelő, a súlyosság és a hely.

Részletek megtekintése és adott riasztás szervizelése

  1. A Riasztások lapon válasszon ki egy riasztást a rácson a jobb oldali panel további részleteinek megjelenítéséhez. A riasztás részletei panel tartalmazza a riasztás leírását, a forgalom forrását és célját stb.

    További részletezéshez válassza a Teljes részletek megtekintése lehetőséget. Példa:

    Screenshot of an alert selected from Alerts page in the Azure portal.

  2. A riasztás részleteinek lapja további részleteket tartalmaz a riasztásról, valamint a Művelet végrehajtása lapon található szervizelési lépések készletét. Például:

    Screenshot of the alert details page on the Azure portal.

Riasztás súlyosságának és állapotának kezelése

Javasoljuk, hogy az Azure Portalon azonnal frissítse a riasztás súlyosságát az IoT-hez készült Defenderben, amint egy riasztást triázsolt, hogy a lehető leghamarabb rangsorolhassa a legkockázatosabb riasztásokat. Győződjön meg arról, hogy a szervizelési lépések elvégzése után frissítenie kell a riasztás állapotát, hogy a folyamat rögzítve legyen.

Egyszerre frissítheti egyetlen riasztás súlyosságát és állapotát, illetve a riasztások tömeges kiválasztását.

Megismerhet egy riasztást, amely jelzi az IoT Defendernek, hogy az észlelt hálózati forgalom engedélyezve van. A tanult riasztások nem aktiválódnak újra a következő alkalommal, amikor ugyanazt a forgalmat észleli a hálózaton. Tanulás csak a kiválasztott riasztások esetében támogatott, a nem edukálást pedig csak az OT hálózati érzékelő támogatja.

További információ: Riasztási állapotok és osztályozási beállítások.

  • Egyetlen riasztás kezelése:

    1. Az Azure Portalon a Defender for IoT-ben válassza a bal oldali Riasztások lapot, majd válasszon ki egy riasztást a rácson.
    2. Válassza ki az új állapotot és/vagy súlyosságot a jobb oldali részletek panelen, vagy egy riasztás részleteit tartalmazó lapon.

  • Több riasztás tömeges kezelése:

    1. Az Azure Portalon a Defender for IoT-ben válassza a bal oldali Riasztások lapot, majd válassza ki a módosítani kívánt riasztásokat a rácson.
    2. Az eszköztár állapotának és/vagy súlyossági beállításainak módosítása az összes kijelölt riasztás állapotának és/vagy súlyosságának frissítéséhez használható.

  • Egy vagy több riasztás elsajátításához:

    Az Azure Portalon a Defender for IoT-ben válassza a bal oldali Riasztások lapot, majd hajtsa végre az alábbi műveletek egyikét:

    • Jelöljön ki egy vagy több tanulható riasztást a rácson, majd válassza a Learn lehetőséget az eszköztáron.
    • A megtanulható riasztások értesítési részleteinek lapján, a Művelet végrehajtása lapon válassza a Learn lehetőséget.

Hozzáférés a riasztási PCAP-adatokhoz

A vizsgálat részeként érdemes lehet hozzáférni a nyers adatforgalmi fájlokhoz, más néven csomagrögzítési fájlokhoz vagy PCAP-fájlokhoz . Ha Ön SOC- vagy OT-biztonsági mérnök, közvetlenül az Azure Portalról érheti el a PCAP-fájlokat a gyorsabb kivizsgálás érdekében.

A riasztás nyers forgalmi fájljainak eléréséhez válassza a PCAP letöltése lehetőséget a riasztás részletei lap bal felső sarkában.

Példa:

Screenshot of the Download PCAP button.

A portál a riasztást észlelő érzékelőtől kéri le a fájlt, és letölti az Azure Storage-ba.

A PCAP-fájl letöltése az érzékelő kapcsolatának minőségétől függően több percet is igénybe vehet.

Riasztások exportálása CSV-fájlba

Előfordulhat, hogy több riasztást szeretne exportálni egy CSV-fájlba offline megosztáshoz és jelentéskészítéshez.

  1. Az Azure Portalon található Defender for IoT-ben válassza a bal oldali Riasztások lapot.

  2. A keresőmezővel és a szűrési beállításokkal csak az exportálni kívánt riasztásokat jelenítheti meg.

  3. A rács feletti eszköztáron válassza a Megerősítés exportálása lehetőséget.>

A rendszer létrehozza a fájlt, és a rendszer kérni fogja, hogy mentse helyileg.

Következő lépések

Microsoft Defender for IoT-riasztások