Hálózati és érzékelői tevékenység nyomon követése az esemény ütemtervével

  • Cikk

A Microsoft Defender által az IoT-érzékelőkhöz észlelt tevékenység rögzítve lesz az eseménysoron. A tevékenység magában foglalja a riasztásokat és riasztáskezelési műveleteket, a hálózati eseményeket és a felhasználói műveleteket, például a felhasználói bejelentkezést vagy a felhasználó törlését.

Az OT-érzékelő esemény-ütemterve időrendi nézetet és kontextust biztosít az összes hálózati tevékenységhez, hogy segítsen meghatározni az incidensek okát és hatását. Az idősornézet megkönnyíti a hálózati eseményekből származó információk kinyerét, és hatékonyabban elemzi a hálózaton megfigyelt riasztásokat és eseményeket. A nagy mennyiségű adat tárolásának képességével az esemény ütemtervének nézete értékes erőforrás lehet a biztonsági csapatok számára a vizsgálatok elvégzéséhez és a hálózati tevékenységek mélyebb megértéséhez.

A vizsgálatok során az eseménysor használatával megismerheti és elemezheti a támadást vagy incidenst megelőző és követő események láncát. Az ugyanazon az idővonalon több, biztonsággal kapcsolatos esemény központosított nézete segít azonosítani a mintákat és a korrelációkat, és lehetővé teszi a biztonsági csapatok számára, hogy gyorsan felmérjék az incidensek hatását, és ennek megfelelően válaszoljanak.

További információkért lásd:

Engedélyek

A cikkben ismertetett eljárások végrehajtása előtt győződjön meg arról, hogy rendelkezik hozzáféréssel egy OT-érzékelőhöz Rendszergazda vagy biztonsági elemző szerepkörként. További információ: Helyszíni felhasználók és szerepkörök az IoT-hez készült Defenderrel végzett OT-monitorozáshoz.

Az esemény ütemtervének megtekintése

  1. Jelentkezzen be az érzékelőkonzolra, és válassza az Eseménysor lehetőséget a bal oldali menüben.

  2. Szükség szerint tekintse át és szűrje az eseményeket .

  3. Válasszon ki egy eseménysort az esemény részleteinek megtekintéséhez a jobb oldali panelen, ahol szűrhet a kapcsolódó eszközök eseményeinek megtekintésére is. A Felhasználói műveletek szűrő alapértelmezés szerint be van kapcsolva, és igény szerint elrejtheti vagy megjelenítheti a felhasználói eseményeket.

    Például:

    Képernyőkép az esemény idővonalán lévő eseményekről.

Egy adott eszköz eseménysorát az Eszközleltárból is megtekintheti.

Egy adott eszköz eseménysorának megtekintése:

  1. Az érzékelőkonzolon lépjen az Eszközleltár elemre.

  2. Válassza ki az adott eszközt az eszköz részletei panel megnyitásához, majd válassza a Teljes adatok megtekintése lehetőséget az eszköztulajdonságok lap megnyitásához.

  3. Válassza az Esemény ütemterve lapot az eszközhöz társított összes esemény megtekintéséhez, és szükség szerint szűrje az eseményeket .

    Például:

    Képernyőkép az eseménysor lapjáról az eszköztulajdonságok lapon.

Események szűrése az ütemterven

  1. Az eseménysorlapon válassza a Szűrő hozzáadása lehetőséget a megjelenített események megadásához.

  2. Válassza ki a szűrőtípust. A megjelenő eszközök szűréséhez használja az alábbi lehetőségeket:

    Típus Description
    Felhasználói műveletek Ez a szűrő alapértelmezés szerint be van kapcsolva, és úgy dönt, hogy megjeleníti vagy elrejti a felhasználói műveleti eseményeket.
    Date Adott dátumtartományban lévő események keresése.
    Eszközcsoport Adott eszközök szűrése csoport szerint az eszköztérképen meghatározottak szerint.
    Esemény súlyossága Csak riasztások, riasztások és értesítések vagy minden esemény megjelenítése.
    Eszközök kizárása Keresse meg és szűrje azokat az eszközöket, amelyeket ki szeretne zárni.
    Eszközök belefoglalása Keresse meg és szűrje a felvenni kívánt eszközöket.
    Eseménytípusok kizárása Adott eseménytípusok keresése és szűrése a kizáráshoz.
    Eseménytípusok belefoglalása Keresse meg és szűrje ki a belefoglalandó eseménytípusokat.
    Kulcsszavak Események szűrése adott kulcsszavak szerint.

  3. Válassza az Alkalmaz lehetőséget a szűrő beállításához.

Az esemény ütemtervének exportálása CSV-be

Exportálhatja az eseménysort EGY CSV-fájlba, az exportált adatok az exportáláskor alkalmazott szűrőknek megfelelően vannak.

Az esemény ütemtervének exportálása:

Az Esemény ütemterve lapon válassza az Exportálás lehetőséget a felső menüből az esemény ütemtervének CSV-fájlba való exportálásához.

Esemény létrehozása

Az érzékelő által észlelt események megtekintése mellett manuálisan is hozzáadhat eseményeket az ütemtervhez. Ez a folyamat akkor hasznos, ha egy külső rendszeresemény hatással van a hálózatra, és rögzíteni szeretné azt az ütemterven.

  1. Az Esemény ütemterve lapon válassza az Esemény létrehozása lehetőséget.

  2. Az Esemény létrehozása párbeszédpanelen adja hozzá a következő eseményadatokat:

    • Írja be a parancsot. Adja meg az esemény típusát (Információ, Értesítés vagy Riasztás).

    • Időbélyeg. Adja meg az esemény dátumát és időpontját.

    • Eszköz. Válassza ki azt az eszközt, amelyhez az eseményt csatlakoztatni kell.

    • Leírás. Adja meg az esemény leírását.

  3. Válassza a Mentés lehetőséget az esemény ütemtervhez való hozzáadásához.

Például:

Képernyőkép egy új esemény létrehozásáról az ütemtervben.

Eseménysor kapacitása

Az eseménysoron tárolható adatok mennyisége különböző tényezőktől függ, például a hálózat méretétől, az események gyakoriságától és az érzékelő tárolási kapacitásától. Az eseménysoron tárolt adatok tartalmazhatnak információkat a hálózati forgalomról, a biztonsági eseményekről és más releváns adatpontokról.

Az eseménysoron megjelenített események maximális száma az érzékelő telepítése során kiválasztott hardverprofiltól függ. Minden hardverprofil maximális eseménykapacitással rendelkezik. További információ az egyes hardverprofilok maximális eseménykapacitásáról: OT eseménysor-megőrzés.

Következő lépések

További információkért lásd: