Riasztások megtekintése és kezelése az OT-érzékelőn
A Microsoft Defender for IoT-riasztások növelik a hálózat biztonságát és műveleteit a hálózatban naplózott események valós idejű adataival. Az OT-riasztások akkor aktiválódnak, ha az OT hálózati érzékelői olyan változásokat vagy gyanús tevékenységeket észlelnek a hálózati forgalomban, amelyekre szüksége van a figyelmére.
Ez a cikk azt ismerteti, hogyan tekintheti meg a Defender for IoT-riasztásokat közvetlenül egy OT hálózati érzékelőn. Az OT-riasztásokat az Azure Portalon vagy egy helyszíni felügyeleti konzolon is megtekintheti.
További információ: Microsoft Defender for IoT-riasztások.
Előfeltételek
Ahhoz, hogy riasztások legyenek telepítve az OT-érzékelőn, rendelkeznie kell egy SPAN-port konfigurálva az érzékelőhöz és a Defender for IoT monitorozási szoftverhez. További információ: Az OT ügynök nélküli monitorozási szoftver telepítése.
Az OT-érzékelő riasztásainak megtekintéséhez jelentkezzen be az érzékelőbe Rendszergazda, biztonsági elemző vagy megjelenítő felhasználóként.
Ha egy OT-érzékelő riasztásait szeretné kezelni, jelentkezzen be az érzékelőbe Rendszergazda vagy biztonsági elemző felhasználóként. A riasztáskezelési tevékenységek közé tartozik az állapotuk vagy súlyosságuk módosítása, a riasztások tanulása vagy elnémítása , a PCAP-adatok elérése vagy előre definiált megjegyzések hozzáadása egy riasztáshoz.
További információ: Helyszíni felhasználók és szerepkörök az IoT-hez készült Defender használatával végzett OT-monitorozáshoz.
Riasztások megtekintése egy OT-érzékelőn
Jelentkezzen be az OT-érzékelő konzoljára, és válassza a riasztások lapot a bal oldalon.
Alapértelmezés szerint a következő részletek jelennek meg a rácson:
Name Leírás Súlyosság Az érzékelő által hozzárendelt előre definiált riasztási súlyosság, amelyet szükség szerint módosíthat, beleértve a következőket: Kritikus, Fő, Alverzió, Figyelmeztetés. Név A riasztás címe Motor A Defender for IoT észlelési motor , amely észlelte a tevékenységet, és aktiválta a riasztást. Utolsó észlelés A riasztás legutóbbi észlelése.
– Ha egy riasztás állapota Új, és ugyanaz a forgalom látható újra, a legutóbbi észlelési idő ugyanahhoz a riasztáshoz frissül.
– Ha a riasztás állapota bezárva van, és a forgalom ismét látható, az utolsó észlelési idő nem frissül, és egy új riasztás aktiválódik.Állapot A riasztás állapota: Új, Aktív, Lezárt
További információ: Riasztási állapotok és osztályozási beállítások.Forráseszköz A forráseszköz IP-címe, MAC-címe vagy eszközneve. További részletek megtekintéséhez válassza az Oszlopok szerkesztése gombot.
A jobb oldali Oszlopok szerkesztése panelen válassza az Oszlop hozzáadása és az alábbi további oszlopok bármelyike lehetőséget:
Name Leírás Céleszköz A céleszköz IP-címe. Első észlelés A riasztási tevékenység első észlelésekor. Azonosító A riasztás azonosítója. Utolsó tevékenység A riasztás legutóbbi módosításának időpontja, beleértve a súlyosság vagy állapot manuális frissítéseit, vagy az eszközfrissítések vagy az eszköz/riasztás duplikációjának automatikus módosításait
Megjelenített riasztások szűrése
A Keresőmező, az Időtartomány és a Szűrő hozzáadása lehetőséggel szűrheti az adott paraméterek által megjelenített riasztásokat, vagy segíthet megtalálni egy adott riasztást.
Például:
A csoportok szerinti riasztások szűrése az eszközleltárban vagy az eszköztérképoldalakon létrehozott egyéni csoportokat használja.
Csoportriasztások jelennek meg
A jobb felső sarokban található Csoportosítás menüvel összecsukhatja a rácsot a súlyosság, a név, a motor vagy az állapot alapján alszakaszokba.
Ha például a riasztások teljes száma a rács fölött jelenik meg, a riasztások számának lebontásáról, például az adott súlyosságú vagy állapotú riasztások számáról részletesebb információkra lehet szüksége.
Részletek megtekintése és adott riasztás szervizelése
Jelentkezzen be az OT-érzékelőbe, és válassza a Riasztások lehetőséget a bal oldali menüben.
Jelöljön ki egy riasztást a rácson a jobb oldali panel további részleteinek megjelenítéséhez. A riasztás részletei panel tartalmazza a riasztás leírását, a forgalom forrását és célját stb. További részletezéshez válassza a Teljes részletek megtekintése lehetőséget. Például:
A riasztás részleteinek lapja további részleteket tartalmaz a riasztásról, valamint a Művelet végrehajtása lapon található szervizelési lépések készletét.
A környezetfüggőbb elemzéshez használja az alábbi lapokat:
Térképnézet. A forrás- és céleszközöket térképnézetben tekintheti meg az érzékelőhöz csatlakoztatott egyéb eszközökkel. Például:
Esemény ütemterve. Tekintse meg az eseményt a kapcsolódó eszközökön végzett egyéb legutóbbi tevékenységekkel együtt. Szűrési beállítások a megjelenített adatok testreszabásához. Például:
Riasztási állapot és osztályozási riasztások kezelése
Győződjön meg arról, hogy a szervizelési lépések elvégzése után frissítenie kell a riasztás állapotát, hogy a folyamat rögzítve legyen. Egyetlen riasztás állapotának frissítésére vagy a riasztások tömeges kiválasztására is lehetősége van.
Megismerhet egy riasztást, amely jelzi az IoT Defendernek, hogy az észlelt hálózati forgalom engedélyezve van. A tanult riasztások nem aktiválódnak újra a következő alkalommal, amikor ugyanazt a forgalmat észleli a hálózaton. Riasztás elnémítása , ha a tanulás nem érhető el, és figyelmen kívül szeretne hagyni egy adott forgatókönyvet a hálózaton.
További információ: Riasztási állapotok és osztályozási beállítások.
Riasztás állapotának kezelése:
Jelentkezzen be az OT-érzékelő konzoljára, és válassza a riasztások lapot a bal oldalon.
Jelöljön ki egy vagy több riasztást a rácson, amelynek állapotát frissíteni szeretné.
A riasztás állapotának frissítéséhez használja az eszköztár Állapot módosítása gombját vagy az Állapot lehetőséget a jobb oldali részletek panelen.
Az Állapot beállítás a riasztás részletei lapon is elérhető.
Egy vagy több riasztás elsajátításához:
Jelentkezzen be az OT-érzékelő konzoljára, és válassza a riasztások lapot a bal oldalon, majd hajtsa végre az alábbi műveletek egyikét:
- Jelöljön ki egy vagy több tanulható riasztást a rácson, majd válassza a Learn lehetőséget az eszköztáron.
- A riasztás részletei lapon, a Művelet végrehajtása lapon válassza a Learn lehetőséget.
Riasztás elnémítása:
- Jelentkezzen be az OT-érzékelő konzoljára, és válassza a riasztások lapot a bal oldalon.
- Keresse meg a elnémítani kívánt riasztást, és nyissa meg a riasztás részleteit tartalmazó oldalt.
- A Művelet végrehajtása lapon váltson a Riasztás elnémítása beállításra.
Riasztás visszahangosításának vagy visszahangosításának feloldásához:
- Jelentkezzen be az OT-érzékelő konzoljára, és válassza a riasztások lapot a bal oldalon.
- Keresse meg a tanult vagy elnémított riasztást, és nyissa meg a riasztás részleteit tartalmazó oldalt.
- A Művelet végrehajtása lapon kapcsolja ki a Riasztás tanulása vagy a Riasztás elnémítása lehetőséget.
A riasztások visszahangosítása vagy visszahangosítása után a rendszer újra aktiválja a riasztásokat, amikor az érzékelő érzékeli a kiválasztott forgalomkombinációt.
Hozzáférés a riasztási PCAP-adatokhoz
A vizsgálat részeként érdemes lehet hozzáférni a nyers adatforgalmi fájlokhoz, más néven csomagrögzítési fájlokhoz vagy PCAP-fájlokhoz .
A riasztás nyers forgalmi fájljainak eléréséhez válassza a PCAP letöltése lehetőséget a riasztás részletei lap bal felső sarkában:
Például:
A PCAP-fájl letöltődik, és a böngésző kéri, hogy nyissa meg vagy mentse helyileg.
Riasztások exportálása CSV-be vagy PDF-be
Előfordulhat, hogy több riasztást szeretne exportálni egy CSV- vagy PDF-fájlba offline megosztás és jelentéskészítés céljából.
- Riasztások exportálása CSV-fájlba a fő Riasztások lapról. Riasztások exportálása egyenként vagy tömegesen.
- A riasztásokat csak egyenként exportálhatja PDF-fájlba, akár a fő Riasztások lapról, akár egy riasztás részleteit tartalmazó oldalról.
Riasztások exportálása CSV-fájlba:
Jelentkezzen be az OT-érzékelő konzoljára, és válassza a riasztások lapot a bal oldalon.
A keresőmezővel és a szűrési beállításokkal csak az exportálni kívánt riasztásokat jelenítheti meg.
A rács feletti eszköztáron válassza az Exportálás CSV-be lehetőséget.
A rendszer létrehozza a fájlt, és a rendszer kérni fogja a fájl helyi megnyitását vagy mentését.
Riasztás exportálása PDF-fájlba:
Jelentkezzen be az OT-érzékelő konzoljára, és válassza a riasztások lapot a bal oldalon, majd hajtsa végre az alábbi műveletek egyikét:
- A Riasztások lapon válasszon ki egy riasztást, majd válassza az Exportálás PDF-fájlba lehetőséget a rács feletti eszköztáron.
- A riasztások részletei lapon válassza az Exportálás PDF-fájlba lehetőséget.
A rendszer létrehozza a fájlt, és a rendszer kérni fogja, hogy mentse helyileg.
Riasztási megjegyzések hozzáadása
A riasztási megjegyzések segítenek felgyorsítani a kivizsgálási és szervizelési folyamatot a csapattagok közötti kommunikáció és az adatok felvételének hatékonyabbá tételével.
Ha a rendszergazda egyéni megjegyzéseket hozott létre a csapat számára a riasztásokhoz való hozzáadáshoz, vegye fel őket a Riasztás részletei lap Megjegyzések szakaszából.
Jelentkezzen be az OT-érzékelő konzoljára, és válassza a riasztások lapot a bal oldalon.
Keresse meg azt a riasztást, amelyhez megjegyzést szeretne fűzni, és nyissa meg a riasztás részleteit tartalmazó oldalt.
A Megjegyzés kiválasztása listában jelölje ki a hozzáadni kívánt megjegyzést, majd válassza a Hozzáadás lehetőséget. Például:
További információt az OT-riasztási munkafolyamatok felgyorsítása című témakörben talál.
További lépések
Visszajelzés
https://aka.ms/ContentUserFeedback.
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ:Visszajelzés küldése és megtekintése a következőhöz: