Riasztások megtekintése és kezelése az OT-érzékelőn

A Microsoft Defender for IoT-riasztások növelik a hálózat biztonságát és műveleteit a hálózatban naplózott események valós idejű adataival. Az OT-riasztások akkor aktiválódnak, ha az OT hálózati érzékelői olyan változásokat vagy gyanús tevékenységeket észlelnek a hálózati forgalomban, amelyekre szüksége van a figyelmére.

Ez a cikk azt ismerteti, hogyan tekintheti meg a Defender for IoT-riasztásokat közvetlenül egy OT hálózati érzékelőn. Az OT-riasztásokat az Azure Portalon vagy egy helyszíni felügyeleti konzolon is megtekintheti.

További információ: Microsoft Defender for IoT-riasztások.

Előfeltételek

• Ahhoz, hogy riasztások legyenek telepítve az OT-érzékelőn, rendelkeznie kell egy SPAN-port konfigurálva az érzékelőhöz és a Defender for IoT monitorozási szoftverhez. További információ: Az OT ügynök nélküli monitorozási szoftver telepítése.

• Az OT-érzékelő riasztásainak megtekintéséhez jelentkezzen be az érzékelőbe Rendszergazda, biztonsági elemző vagy megjelenítő felhasználóként.

• Ha egy OT-érzékelő riasztásait szeretné kezelni, jelentkezzen be az érzékelőbe Rendszergazda vagy biztonsági elemző felhasználóként. A riasztáskezelési tevékenységek közé tartozik az állapotuk vagy súlyosságuk módosítása, a riasztások tanulása vagy elnémítása , a PCAP-adatok elérése vagy előre definiált megjegyzések hozzáadása egy riasztáshoz.

További információ: Helyszíni felhasználók és szerepkörök az IoT-hez készült Defender használatával végzett OT-monitorozáshoz.

Riasztások megtekintése egy OT-érzékelőn

1. Jelentkezzen be az OT-érzékelő konzoljára, és válassza a riasztások lapot a bal oldalon.

   Alapértelmezés szerint a következő részletek jelennek meg a rácson:

   Name	Leírás
   Súlyosság	Az érzékelő által hozzárendelt előre definiált riasztási súlyosság, amelyet szükség szerint módosíthat, beleértve a következőket: Kritikus, Fő, Alverzió, Figyelmeztetés.
   Név	A riasztás címe
   Motor	A Defender for IoT észlelési motor , amely észlelte a tevékenységet, és aktiválta a riasztást.
   Utolsó észlelés	A riasztás legutóbbi észlelése. – Ha egy riasztás állapota Új, és ugyanaz a forgalom látható újra, a legutóbbi észlelési idő ugyanahhoz a riasztáshoz frissül. – Ha a riasztás állapota bezárva van, és a forgalom ismét látható, az utolsó észlelési idő nem frissül, és egy új riasztás aktiválódik.
   Állapot	A riasztás állapota: Új, Aktív, Lezárt További információ: Riasztási állapotok és osztályozási beállítások.
   Forráseszköz	A forráseszköz IP-címe, MAC-címe vagy eszközneve.

   1. További részletek megtekintéséhez válassza az Oszlopok szerkesztése gombot.

      A jobb oldali Oszlopok szerkesztése panelen válassza az Oszlop hozzáadása és az alábbi további oszlopok bármelyike lehetőséget:

      Name	Leírás
      Céleszköz	A céleszköz IP-címe.
      Első észlelés	A riasztási tevékenység első észlelésekor.
      Azonosító	A riasztás azonosítója.
      Utolsó tevékenység	A riasztás legutóbbi módosításának időpontja, beleértve a súlyosság vagy állapot manuális frissítéseit, vagy az eszközfrissítések vagy az eszköz/riasztás duplikációjának automatikus módosításait

Megjelenített riasztások szűrése

A Keresőmező, az Időtartomány és a Szűrő hozzáadása lehetőséggel szűrheti az adott paraméterek által megjelenített riasztásokat, vagy segíthet megtalálni egy adott riasztást.

Például:

A csoportok szerinti riasztások szűrése az eszközleltárban vagy az eszköztérképoldalakon létrehozott egyéni csoportokat használja.

Csoportriasztások jelennek meg

A jobb felső sarokban található Csoportosítás menüvel összecsukhatja a rácsot a súlyosság, a név, a motor vagy az állapot alapján alszakaszokba.

Ha például a riasztások teljes száma a rács fölött jelenik meg, a riasztások számának lebontásáról, például az adott súlyosságú vagy állapotú riasztások számáról részletesebb információkra lehet szüksége.

Részletek megtekintése és adott riasztás szervizelése

1. Jelentkezzen be az OT-érzékelőbe, és válassza a Riasztások lehetőséget a bal oldali menüben.

2. Jelöljön ki egy riasztást a rácson a jobb oldali panel további részleteinek megjelenítéséhez. A riasztás részletei panel tartalmazza a riasztás leírását, a forgalom forrását és célját stb. További részletezéshez válassza a Teljes részletek megtekintése lehetőséget. Például:

   

3. A riasztás részleteinek lapja további részleteket tartalmaz a riasztásról, valamint a Művelet végrehajtása lapon található szervizelési lépések készletét.

   A környezetfüggőbb elemzéshez használja az alábbi lapokat:

   • Térképnézet. A forrás- és céleszközöket térképnézetben tekintheti meg az érzékelőhöz csatlakoztatott egyéb eszközökkel. Például:

     

   • Esemény ütemterve. Tekintse meg az eseményt a kapcsolódó eszközökön végzett egyéb legutóbbi tevékenységekkel együtt. Szűrési beállítások a megjelenített adatok testreszabásához. Például:

     

Riasztási állapot és osztályozási riasztások kezelése

Győződjön meg arról, hogy a szervizelési lépések elvégzése után frissítenie kell a riasztás állapotát, hogy a folyamat rögzítve legyen. Egyetlen riasztás állapotának frissítésére vagy a riasztások tömeges kiválasztására is lehetősége van.

Megismerhet egy riasztást, amely jelzi az IoT Defendernek, hogy az észlelt hálózati forgalom engedélyezve van. A tanult riasztások nem aktiválódnak újra a következő alkalommal, amikor ugyanazt a forgalmat észleli a hálózaton. Riasztás elnémítása , ha a tanulás nem érhető el, és figyelmen kívül szeretne hagyni egy adott forgatókönyvet a hálózaton.

További információ: Riasztási állapotok és osztályozási beállítások.

• Riasztás állapotának kezelése:

  1. Jelentkezzen be az OT-érzékelő konzoljára, és válassza a riasztások lapot a bal oldalon.

  2. Jelöljön ki egy vagy több riasztást a rácson, amelynek állapotát frissíteni szeretné.

  3. A riasztás állapotának frissítéséhez használja az eszköztár Állapot módosítása gombját vagy az Állapot lehetőséget a jobb oldali részletek panelen.

     Az Állapot beállítás a riasztás részletei lapon is elérhető.

• Egy vagy több riasztás elsajátításához:

  Jelentkezzen be az OT-érzékelő konzoljára, és válassza a riasztások lapot a bal oldalon, majd hajtsa végre az alábbi műveletek egyikét:

  • Jelöljön ki egy vagy több tanulható riasztást a rácson, majd válassza a Learn lehetőséget az eszköztáron.
  • A riasztás részletei lapon, a Művelet végrehajtása lapon válassza a Learn lehetőséget.

• Riasztás elnémítása:

  1. Jelentkezzen be az OT-érzékelő konzoljára, és válassza a riasztások lapot a bal oldalon.
  2. Keresse meg a elnémítani kívánt riasztást, és nyissa meg a riasztás részleteit tartalmazó oldalt.
  3. A Művelet végrehajtása lapon váltson a Riasztás elnémítása beállításra.

• Riasztás visszahangosításának vagy visszahangosításának feloldásához:

  1. Jelentkezzen be az OT-érzékelő konzoljára, és válassza a riasztások lapot a bal oldalon.
  2. Keresse meg a tanult vagy elnémított riasztást, és nyissa meg a riasztás részleteit tartalmazó oldalt.
  3. A Művelet végrehajtása lapon kapcsolja ki a Riasztás tanulása vagy a Riasztás elnémítása lehetőséget.

  A riasztások visszahangosítása vagy visszahangosítása után a rendszer újra aktiválja a riasztásokat, amikor az érzékelő érzékeli a kiválasztott forgalomkombinációt.

Hozzáférés a riasztási PCAP-adatokhoz

A vizsgálat részeként érdemes lehet hozzáférni a nyers adatforgalmi fájlokhoz, más néven csomagrögzítési fájlokhoz vagy PCAP-fájlokhoz .

A riasztás nyers forgalmi fájljainak eléréséhez válassza a PCAP letöltése lehetőséget a riasztás részletei lap bal felső sarkában:

Például:

A PCAP-fájl letöltődik, és a böngésző kéri, hogy nyissa meg vagy mentse helyileg.

Riasztások exportálása CSV-be vagy PDF-be

Előfordulhat, hogy több riasztást szeretne exportálni egy CSV- vagy PDF-fájlba offline megosztás és jelentéskészítés céljából.

• Riasztások exportálása CSV-fájlba a fő Riasztások lapról. Riasztások exportálása egyenként vagy tömegesen.
• A riasztásokat csak egyenként exportálhatja PDF-fájlba, akár a fő Riasztások lapról, akár egy riasztás részleteit tartalmazó oldalról.

Riasztások exportálása CSV-fájlba:

1. Jelentkezzen be az OT-érzékelő konzoljára, és válassza a riasztások lapot a bal oldalon.

2. A keresőmezővel és a szűrési beállításokkal csak az exportálni kívánt riasztásokat jelenítheti meg.

3. A rács feletti eszköztáron válassza az Exportálás CSV-be lehetőséget.

A rendszer létrehozza a fájlt, és a rendszer kérni fogja a fájl helyi megnyitását vagy mentését.

Riasztás exportálása PDF-fájlba:

Jelentkezzen be az OT-érzékelő konzoljára, és válassza a riasztások lapot a bal oldalon, majd hajtsa végre az alábbi műveletek egyikét:

• A Riasztások lapon válasszon ki egy riasztást, majd válassza az Exportálás PDF-fájlba lehetőséget a rács feletti eszköztáron.
• A riasztások részletei lapon válassza az Exportálás PDF-fájlba lehetőséget.

A rendszer létrehozza a fájlt, és a rendszer kérni fogja, hogy mentse helyileg.

Riasztási megjegyzések hozzáadása

A riasztási megjegyzések segítenek felgyorsítani a kivizsgálási és szervizelési folyamatot a csapattagok közötti kommunikáció és az adatok felvételének hatékonyabbá tételével.

Ha a rendszergazda egyéni megjegyzéseket hozott létre a csapat számára a riasztásokhoz való hozzáadáshoz, vegye fel őket a Riasztás részletei lap Megjegyzések szakaszából.

1. Jelentkezzen be az OT-érzékelő konzoljára, és válassza a riasztások lapot a bal oldalon.

2. Keresse meg azt a riasztást, amelyhez megjegyzést szeretne fűzni, és nyissa meg a riasztás részleteit tartalmazó oldalt.

3. A Megjegyzés kiválasztása listában jelölje ki a hozzáadni kívánt megjegyzést, majd válassza a Hozzáadás lehetőséget. Például:

   

További információt az OT-riasztási munkafolyamatok felgyorsítása című témakörben talál.

További lépések

Adatmegőrzés a Microsoft Defender for IoT-ben