Ot hálózati riasztás kivizsgálása és megválaszolása

Ez a cikk azt ismerteti, hogyan vizsgálhatja meg és válaszolhatja meg az OT hálózati riasztásokat a Microsoft Defender for IoT-ben.

Lehet, hogy Ön a Microsoft Sentinelt használó biztonsági üzemeltetési központ (SOC) mérnöke, aki egy új incidenst látott a Microsoft Sentinel-munkaterületen, és a Kapcsolódó eszközökkel kapcsolatos további részletekért és a javasolt szervizelési lépésekért folytatja a Defender for IoT-ben.

Alternatív megoldásként előfordulhat, hogy ön egy ot-mérnök, aki közvetlenül az IoT Defenderben figyeli az operatív riasztásokat. Előfordulhat, hogy a működési riasztások nem rosszindulatúak, de olyan működési tevékenységeket jelezhetnek, amelyek segíthetnek a biztonsági vizsgálatokban.

Előfeltételek

Mielőtt hozzákezd, győződjön meg arról, hogy a következőt szeretné:

• Azure-előfizetés. Ha szükséges, regisztráljon egy ingyenes fiókra.

• A Defender for IoT-be előkészített felhőalapú OT-hálózati érzékelő , amely az Azure Portalra streamelt riasztásokkal rendelkezik.

• Egy Microsoft Sentinel-incidens riasztásának vizsgálatához győződjön meg arról, hogy elvégezte az alábbi oktatóanyagokat:

  • Oktatóanyag: Csatlakozás Microsoft Defender for IoT és a Microsoft Sentinel
  • Oktatóanyag: IoT-eszközök fenyegetéseinek vizsgálata és észlelése

• Megnyílik egy riasztás részleteinek lapja, amely az Azure Portal Defender for IoT-riasztások oldaláról, az IoT-hez készült Defender eszköz részletei oldalról vagy egy Microsoft Sentinel-incidensből érhető el.

Riasztás vizsgálata az Azure Portalról

Az Azure Portal riasztási részleteinek lapján először módosítsa a riasztás állapotát aktívra, jelezve, hogy jelenleg vizsgálat alatt áll.

Például:

Fontos

Ha integrálva van a Microsoft Sentinellel, győződjön meg arról, hogy csak a Microsoft Sentinel incidenséből kezeli a riasztás állapotát. A riasztások állapota nem szinkronizálva van az IoT Defenderből a Microsoft Sentinelbe.

Az állapot frissítése után tekintse meg a riasztás részleteinek oldalát a következő részletekért, hogy segítsen a vizsgálatban:

• A forrás- és céleszköz adatai. A forrás- és céleszközök a Riasztás részletei lapon, valamint az alábbi Entitások területen, Microsoft Sentinel-entitásokként, saját entitáslapokkal jelennek meg. Az Entitások területen a Név oszlopban található hivatkozásokkal nyithatja meg az eszköz részletes adatait tartalmazó oldalakat a további vizsgálathoz.

• Hely és/vagy zóna. Ezek az értékek segítenek megérteni a riasztás földrajzi és hálózati helyét, és hogy vannak-e olyan területek a hálózatban, amelyek sebezhetőbbek a támadásokkal szemben.

• MITRE ATT&CK taktikák és technikák. Görgessen le a bal oldali panelen a MITRE ATT&CK összes részletének megtekintéséhez. A taktikák és technikák leírása mellett válassza a MITRE ATT&CK webhelyre mutató hivatkozásokat, hogy többet tudjon meg mindegyikről.

• Töltse le a PCAP-t. A lap tetején válassza a PCAP letöltése lehetőséget a kiválasztott riasztás nyers forgalmi fájljainak letöltéséhez.

Kapcsolódó riasztások vizsgálata az Azure Portalon

Keresse meg az ugyanazon forrás- vagy céleszköz által aktivált egyéb riasztásokat. A több riasztás közötti korreláció azt jelezheti, hogy az eszköz veszélyben van, és kihasználható.

Például egy rosszindulatú IP-címhez csatlakozni próbáló eszköz, valamint egy másik, az eszközön végzett nem engedélyezett PLC-programozási változásokra vonatkozó riasztás azt jelezheti, hogy a támadó már átvehette az irányítást az eszköz felett.

Kapcsolódó riasztások keresése az IoT Defenderben:

1. A Riasztások lapon válasszon ki egy riasztást a jobb oldali részletek megtekintéséhez.

2. Keresse meg az eszközhivatkozásokat az Entitások területen a jobb oldali részletek panelen vagy a riasztás részletei lapon. Válasszon egy entitáshivatkozást a kapcsolódó eszközadatok lap megnyitásához a forrás- és céleszköz esetében is.

3. Az eszköz részletei lapon válassza a Riasztások lapot az eszköz összes riasztásának megtekintéséhez. Például:

   

Riasztás részleteinek vizsgálata az OT-érzékelőn

A riasztást aktiváló OT-érzékelő további részleteket tartalmaz a vizsgálathoz.

A vizsgálat folytatása az OT-érzékelőn:

1. Jelentkezzen be az OT-érzékelőbe megjelenítőként vagy biztonsági elemzőként.

2. Válassza a Riasztások lapot, és keresse meg a vizsgált riasztást. Válassza a **További részletek megtekintése lehetőséget az OT-érzékelő riasztási részleteinek megnyitásához. Például:

   

Az érzékelő riasztási részleteinek oldalán:

• A Térkép nézet fülre kattintva megtekintheti a riasztást az OT-érzékelő eszköztérképén, beleértve a csatlakoztatott eszközöket is.

• Az Esemény ütemterve fülre kattintva megtekintheti a riasztás teljes eseménysorát, beleértve az OT-érzékelő által is észlelt egyéb kapcsolódó tevékenységeket is.

• Válassza a PDF exportálása lehetőséget a riasztás részleteinek PDF-összefoglalásának letöltéséhez.

Szervizelési művelet végrehajtása

A szervizelési műveletek időzítése a riasztás súlyosságától függhet. A nagy súlyosságú riasztások esetében például érdemes lehet még a vizsgálat előtt is lépéseket tenni, például ha azonnal karanténba kell helyeznie a hálózat egy területét.

Az alacsonyabb súlyosságú riasztások vagy az operatív riasztások esetében érdemes lehet a művelet végrehajtása előtt teljes körű vizsgálatot végezni.

A riasztások szervizeléséhez használja a következő Defender for IoT-erőforrásokat:

• Az Azure Portalon vagy az OT-érzékelőn található riasztás részleteinek lapján válassza a Művelet végrehajtása lapot a kockázat csökkentése érdekében javasolt lépések részleteinek megtekintéséhez.

• Az Azure Portal eszközadatok lapján a forrás- és céleszközök esetében is:

  • Válassza a Biztonsági rések lapot, és ellenőrizze, hogy találhatók-e észlelt biztonsági rések az egyes eszközökön.

  • Válassza a Javaslatok lapot, és ellenőrizze az egyes eszközök aktuális biztonsági javaslatait.

Az IoT-hez készült Defender biztonsági résekre vonatkozó adatai és biztonsági javaslatai egyszerű műveleteket kínálnak a kockázatok csökkentésére, például a belső vezérlőprogram frissítésére vagy javítások alkalmazására. Más műveletek nagyobb tervezést is igénybe vehetnek.

Ha befejezte a kockázatcsökkentési tevékenységeket, és készen áll a riasztás bezárására, frissítse a riasztás állapotát Lezárt állapotra, vagy értesítse az SOC-csapatot a további incidenskezelésről.

Megjegyzés:

Ha integrálja a Defender for IoT-t a Microsoft Sentinellel, az IoT Defenderben végrehajtott riasztási állapotváltozások nem frissülnek a Microsoft Sentinelben. Győződjön meg arról, hogy a riasztásokat a Microsoft Sentinelben kezeli a kapcsolódó incidenssel együtt.

Rendszeres osztályozási riasztások

A riasztások rendszeres osztályozásával megelőzheti a riasztások kimerülését a hálózaton, és gondoskodhat arról, hogy időben láthassa és kezelje a fontos riasztásokat.

Riasztások osztályozása:

1. Az Azure Portalon a Defender for IoT-ben nyissa meg a Riasztások lapot. A riasztások alapértelmezés szerint az Utolsó észlelés oszlop szerint vannak rendezve a legutóbbitól a legrégebbiig, így először láthatja a hálózat legújabb riasztásait.

2. Használjon más szűrőket, például érzékelőt vagy súlyosságot adott riasztások megkereséséhez.

3. Mielőtt bármilyen riasztási műveletet végrehajt, ellenőrizze a riasztás részleteit, és szükség szerint vizsgálja meg. Ha készen áll, műveletet hajthat végre egy adott riasztás riasztási részleteinek oldalán, vagy a Riasztások lapon tömeges műveletekhez.

   Például frissítse a riasztás állapotát vagy súlyosságát, vagy tanuljon meg egy riasztást az észlelt forgalom engedélyezéséhez. A tanult riasztások nem aktiválódnak újra, ha ugyanazt a pontos forgalmat észleli újra.

   

A nagy súlyosságú riasztások esetén érdemes lehet azonnal intézkedni.

További lépések

A biztonsági helyzet javítása biztonsági javaslatokkal