Ot hálózati riasztás kivizsgálása és megválaszolása
Ez a cikk azt ismerteti, hogyan vizsgálhatja meg és válaszolhatja meg az OT hálózati riasztásokat a Microsoft Defender for IoT-ben.
Lehet, hogy Ön a Microsoft Sentinelt használó biztonsági üzemeltetési központ (SOC) mérnöke, aki egy új incidenst látott a Microsoft Sentinel-munkaterületen, és a Kapcsolódó eszközökkel kapcsolatos további részletekért és a javasolt szervizelési lépésekért folytatja a Defender for IoT-ben.
Alternatív megoldásként előfordulhat, hogy ön egy ot-mérnök, aki közvetlenül az IoT Defenderben figyeli az operatív riasztásokat. Előfordulhat, hogy a működési riasztások nem rosszindulatúak, de olyan működési tevékenységeket jelezhetnek, amelyek segíthetnek a biztonsági vizsgálatokban.
Előfeltételek
Mielőtt hozzákezd, győződjön meg arról, hogy a következőt szeretné:
Azure-előfizetés. Ha szükséges, regisztráljon egy ingyenes fiókra.
A Defender for IoT-be előkészített felhőalapú OT-hálózati érzékelő , amely az Azure Portalra streamelt riasztásokkal rendelkezik.
Egy Microsoft Sentinel-incidens riasztásának vizsgálatához győződjön meg arról, hogy elvégezte az alábbi oktatóanyagokat:
Megnyílik egy riasztás részleteinek lapja, amely az Azure Portal Defender for IoT-riasztások oldaláról, az IoT-hez készült Defender eszköz részletei oldalról vagy egy Microsoft Sentinel-incidensből érhető el.
Riasztás vizsgálata az Azure Portalról
Az Azure Portal riasztási részleteinek lapján először módosítsa a riasztás állapotát aktívra, jelezve, hogy jelenleg vizsgálat alatt áll.
Például:
Fontos
Ha integrálva van a Microsoft Sentinellel, győződjön meg arról, hogy csak a Microsoft Sentinel incidenséből kezeli a riasztás állapotát. A riasztások állapota nem szinkronizálva van az IoT Defenderből a Microsoft Sentinelbe.
Az állapot frissítése után tekintse meg a riasztás részleteinek oldalát a következő részletekért, hogy segítsen a vizsgálatban:
A forrás- és céleszköz adatai. A forrás- és céleszközök a Riasztás részletei lapon, valamint az alábbi Entitások területen, Microsoft Sentinel-entitásokként, saját entitáslapokkal jelennek meg. Az Entitások területen a Név oszlopban található hivatkozásokkal nyithatja meg az eszköz részletes adatait tartalmazó oldalakat a további vizsgálathoz.
Hely és/vagy zóna. Ezek az értékek segítenek megérteni a riasztás földrajzi és hálózati helyét, és hogy vannak-e olyan területek a hálózatban, amelyek sebezhetőbbek a támadásokkal szemben.
MITRE ATT&CK taktikák és technikák. Görgessen le a bal oldali panelen a MITRE ATT&CK összes részletének megtekintéséhez. A taktikák és technikák leírása mellett válassza a MITRE ATT&CK webhelyre mutató hivatkozásokat, hogy többet tudjon meg mindegyikről.
Töltse le a PCAP-t. A lap tetején válassza a PCAP letöltése lehetőséget a kiválasztott riasztás nyers forgalmi fájljainak letöltéséhez.
Kapcsolódó riasztások vizsgálata az Azure Portalon
Keresse meg az ugyanazon forrás- vagy céleszköz által aktivált egyéb riasztásokat. A több riasztás közötti korreláció azt jelezheti, hogy az eszköz veszélyben van, és kihasználható.
Például egy rosszindulatú IP-címhez csatlakozni próbáló eszköz, valamint egy másik, az eszközön végzett nem engedélyezett PLC-programozási változásokra vonatkozó riasztás azt jelezheti, hogy a támadó már átvehette az irányítást az eszköz felett.
Kapcsolódó riasztások keresése az IoT Defenderben:
A Riasztások lapon válasszon ki egy riasztást a jobb oldali részletek megtekintéséhez.
Keresse meg az eszközhivatkozásokat az Entitások területen a jobb oldali részletek panelen vagy a riasztás részletei lapon. Válasszon egy entitáshivatkozást a kapcsolódó eszközadatok lap megnyitásához a forrás- és céleszköz esetében is.
Az eszköz részletei lapon válassza a Riasztások lapot az eszköz összes riasztásának megtekintéséhez. Például:
Riasztás részleteinek vizsgálata az OT-érzékelőn
A riasztást aktiváló OT-érzékelő további részleteket tartalmaz a vizsgálathoz.
A vizsgálat folytatása az OT-érzékelőn:
Jelentkezzen be az OT-érzékelőbe megjelenítőként vagy biztonsági elemzőként.
Válassza a Riasztások lapot, és keresse meg a vizsgált riasztást. Válassza a **További részletek megtekintése lehetőséget az OT-érzékelő riasztási részleteinek megnyitásához. Például:
Az érzékelő riasztási részleteinek oldalán:
A Térkép nézet fülre kattintva megtekintheti a riasztást az OT-érzékelő eszköztérképén, beleértve a csatlakoztatott eszközöket is.
Az Esemény ütemterve fülre kattintva megtekintheti a riasztás teljes eseménysorát, beleértve az OT-érzékelő által is észlelt egyéb kapcsolódó tevékenységeket is.
Válassza a PDF exportálása lehetőséget a riasztás részleteinek PDF-összefoglalásának letöltéséhez.
Szervizelési művelet végrehajtása
A szervizelési műveletek időzítése a riasztás súlyosságától függhet. A nagy súlyosságú riasztások esetében például érdemes lehet még a vizsgálat előtt is lépéseket tenni, például ha azonnal karanténba kell helyeznie a hálózat egy területét.
Az alacsonyabb súlyosságú riasztások vagy az operatív riasztások esetében érdemes lehet a művelet végrehajtása előtt teljes körű vizsgálatot végezni.
A riasztások szervizeléséhez használja a következő Defender for IoT-erőforrásokat:
Az Azure Portalon vagy az OT-érzékelőn található riasztás részleteinek lapján válassza a Művelet végrehajtása lapot a kockázat csökkentése érdekében javasolt lépések részleteinek megtekintéséhez.
Az Azure Portal eszközadatok lapján a forrás- és céleszközök esetében is:
Válassza a Biztonsági rések lapot, és ellenőrizze, hogy találhatók-e észlelt biztonsági rések az egyes eszközökön.
Válassza a Javaslatok lapot, és ellenőrizze az egyes eszközök aktuális biztonsági javaslatait.
Az IoT-hez készült Defender biztonsági résekre vonatkozó adatai és biztonsági javaslatai egyszerű műveleteket kínálnak a kockázatok csökkentésére, például a belső vezérlőprogram frissítésére vagy javítások alkalmazására. Más műveletek nagyobb tervezést is igénybe vehetnek.
Ha befejezte a kockázatcsökkentési tevékenységeket, és készen áll a riasztás bezárására, frissítse a riasztás állapotát Lezárt állapotra, vagy értesítse az SOC-csapatot a további incidenskezelésről.
Megjegyzés:
Ha integrálja a Defender for IoT-t a Microsoft Sentinellel, az IoT Defenderben végrehajtott riasztási állapotváltozások nem frissülnek a Microsoft Sentinelben. Győződjön meg arról, hogy a riasztásokat a Microsoft Sentinelben kezeli a kapcsolódó incidenssel együtt.
Rendszeres osztályozási riasztások
A riasztások rendszeres osztályozásával megelőzheti a riasztások kimerülését a hálózaton, és gondoskodhat arról, hogy időben láthassa és kezelje a fontos riasztásokat.
Riasztások osztályozása:
Az Azure Portalon a Defender for IoT-ben nyissa meg a Riasztások lapot. A riasztások alapértelmezés szerint az Utolsó észlelés oszlop szerint vannak rendezve a legutóbbitól a legrégebbiig, így először láthatja a hálózat legújabb riasztásait.
Használjon más szűrőket, például érzékelőt vagy súlyosságot adott riasztások megkereséséhez.
Mielőtt bármilyen riasztási műveletet végrehajt, ellenőrizze a riasztás részleteit, és szükség szerint vizsgálja meg. Ha készen áll, műveletet hajthat végre egy adott riasztás riasztási részleteinek oldalán, vagy a Riasztások lapon tömeges műveletekhez.
Például frissítse a riasztás állapotát vagy súlyosságát, vagy tanuljon meg egy riasztást az észlelt forgalom engedélyezéséhez. A tanult riasztások nem aktiválódnak újra, ha ugyanazt a pontos forgalmat észleli újra.
A nagy súlyosságú riasztások esetén érdemes lehet azonnal intézkedni.
További lépések
Visszajelzés
https://aka.ms/ContentUserFeedback.
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ:Visszajelzés küldése és megtekintése a következőhöz: