Az OT-riasztások tanult alapkonfigurációjának létrehozása
Ez a cikk az IoT-hez készült Microsoft Defender OT-monitorozás üzembehelyezési útvonalát ismerteti, és ismerteti, hogyan hozhat létre alapkonfigurációt a tanult forgalomhoz az OT-érzékelőn.
A tanulási mód ismertetése
Az OT hálózati érzékelő automatikusan figyeli a hálózatot, miután csatlakozott a hálózathoz, és bejelentkezett. A hálózati eszközök megjelennek az eszközleltárban, és riasztások aktiválódnak a hálózatban előforduló biztonsági vagy üzemeltetési incidensek esetén.
Kezdetben ez a tevékenység tanulási módban történik, amely arra utasítja az OT-érzékelőt, hogy ismerje meg a hálózat szokásos tevékenységeit, beleértve a hálózat eszközeit és protokolljait, valamint az adott eszközök közötti rendszeres fájlátvitelt. Minden rendszeresen észlelt tevékenység a hálózat alapkonfigurációs forgalmává válik.
Tipp
A tanulási módban töltött idő használatával osztályozhatja a riasztásokat, és megismerheti azokat, amelyeket engedélyezett, várt tevékenységként szeretne megjelölni. A tanult forgalom nem hoz létre új riasztásokat, amikor legközelebb ugyanazt a forgalmat észleli.
A tanulási mód kikapcsolása után az alapadatoktól eltérő tevékenységek riasztást aktiválnak.
További információt az IoT-riasztások Microsoft Defender című témakörben talál.
Learn mód idővonala
Az OT-riasztások alapkonfigurációjának létrehozása a hálózat méretétől és összetettségétől függően akár néhány naptól akár több hétig is eltarthat. A tanulási mód automatikusan kikapcsol, ha az érzékelő az újonnan észlelt forgalom csökkenését észleli, amely általában az üzembe helyezést követő 2–6 hét között van.
Ha úgy érzi, hogy az aktuális riasztások pontosan tükrözik a hálózati tevékenységet, kapcsolja ki manuálisan a tanulási módot.
Előfeltételek
Az ebben a cikkben szereplő eljárásokat az Azure Portal, egy OT-érzékelőből vagy egy helyszíni felügyeleti konzolról hajthatja végre.
A kezdés előtt győződjön meg arról, hogy rendelkezik az alábbiakval:
Telepített, konfigurált és aktivált OT-érzékelő, amely riasztásokat aktivál az észlelt forgalom által.
Hozzáférés az OT-érzékelőhöz biztonsági elemzőként vagy Rendszergazda felhasználóként. További információ: Helyszíni felhasználók és szerepkörök az IoT-hez készült Defenderrel végzett OT-monitorozáshoz.
Osztályozási riasztások
Riasztások osztályozása az üzembe helyezés vége felé, hogy létrehozhasson egy kezdeti alapkonfigurációt a hálózati tevékenységhez.
Jelentkezzen be az OT-érzékelőbe, és válassza a Riasztások lapot.
Rendezési és csoportosítási lehetőségekkel először a legkritikusabb riasztásokat tekintheti meg. Tekintse át az egyes riasztásokat az állapotok frissítéséhez, és ismerje meg az OT által engedélyezett forgalomra vonatkozó riasztásokat.
További információ: Riasztások megtekintése és kezelése az OT-érzékelőn.
Következő lépések
A tanulási mód kikapcsolása után átkerült a tanulási módból a műveleti módba. Folytassa az alábbiak bármelyikével:
- IoT-adatok Microsoft Defender vizualizációja Azure Monitor-munkafüzetekkel
- Riasztások megtekintése és kezelése a Azure Portal
- Eszközleltár kezelése a Azure Portal
Integrálja a Defender for IoT-adatokat a Microsoft Sentinellel az SOC-csapat biztonsági monitorozásának egységesítése érdekében. További információkért lásd: