Incidensek és riasztások vizsgálata
Az IoT-hez készült Microsoft Defender a Microsoft Defender portálon incidenseket és riasztásokat jelenít meg, amelyek javítják a hálózati biztonságot és a műveleteket a működési technológiai (OT) hálózatban naplózott események valós idejű részleteivel.
A riasztások képezik az összes incidens alapját, és jelzik a kártékony vagy gyanús események előfordulását a környezetben. Egy incidensen belül elemezheti a hálózatot érintő riasztásokat, megértheti azok lényegét, és összevetheti a bizonyítékokat, hogy hatékony javítási tervet alakíthat ki.
További információ a riasztásokról és incidensekről a Defender portálon.
Ebből a cikkből megtudhatja, hogyan vizsgálhat ki egy IoT-hez készült Microsoft Defender-incidenst és az ahhoz kapcsolódó riasztásokat, és hogyan háríthatja el a riasztás által kiváltott biztonsági problémákat.
Az Incidensek oldalon található riasztások egyedi módon egyesítik az informatikai és az ot-környezeti jeleket a lehetséges fenyegetések és adatszivárgások észleléséhez. Az Incidensek oldal a következőt jeleníti meg:
- Az incidenshez kapcsolódó riasztások előzményei és egy incidensgráf. A grafikonon az érintett OT-eszközhöz csatlakoztatott egyéb eszközök láthatók, amelyek szintén sérültek lehetnek.
- Riasztási leírások, amelyek az észlelt biztonsági probléma típusát mutatják be.
- Szervizelési lehetőségek a biztonsági probléma megoldásához.
Megjegyzés:
Az IoT-hez készült Defender incidens- és riasztási adatai csak akkor jelennek meg, ha beállított egy webhelyet, és az eszközök adatokat küldenek a Defender portálra. Megtudhatja, hogyan állíthat be webhelyet.
Fontos
Ez a cikk a Microsoft Defender for IoT-t ismerteti a Defender portálon (előzetes verzió).
Ha Ön egy meglévő ügyfél, aki a klasszikus Defender for IoT portálon (Azure Portal) dolgozik, tekintse meg az Azure-beli Defender for IoT dokumentációját.
További információ az IoT-hez készült Defender felügyeleti portáljairól.
A cikkben található információk egy része egy előzetesen kiadott termékre vonatkozik, amely a kereskedelmi forgalomba kerülés előtt lényegesen módosulhat. A Microsoft nem vállal kifejezett vagy hallgatólagos szavatosságot az itt megadott információkra vonatkozóan.
Értesítések vizsgálata
Riasztás vizsgálata:
A Microsoft Defender portál menüjében válassza az Incidensek & riasztások > Incidensek lehetőséget.
Ot-hoz kapcsolódó incidensek megjelenítése:
- Válassza a Szűrő hozzáadása lehetőséget.
- Válassza a Terméknév , majd a Hozzáadás lehetőséget.
- Válassza ki a megjelenő Terméknevek lapot, és írja be a következőt: Defender for IoT.
- Válassza az Alkalmaz lehetőséget.
Keresse meg és válassza ki az incidenst.
Az adott incidens oldalán a riasztási idővonalból, egy incidensgráfból és az incidens részleteiből álló támadási történet látható.
Válasszon ki egy riasztást a riasztások listájából.
Az incidensgráf és az incidens részletei a riasztás konkrét adatait jelenítik meg.
Az Incidens panelen tekintse át az információkat, olvassa el a riasztás leírását, a bizonyítékokat és az érintett objektumokat , és kövesse a riasztás javasolt műveleteit a probléma megoldásához.
Az IoT-hez készült Defender riasztása
Az IoT-hez készült Defender saját egyedi riasztást hoz létre.
Name (Név) | Leírás |
---|---|
Lehetséges működési hatás egy sérült eszköz miatt | Egy feltört eszköz, amely egy operatív technológiai (OT) objektummal kommunikál. Előfordulhat, hogy egy támadó megpróbálja irányítani vagy megzavarni a fizikai műveleteket. |
Speciális veszélyforrás-keresés
A DeviceInfo táblában felsorolt Site tulajdonság használatával lekérdezéseket írhat speciális veszélyforrás-kereséshez. Ez lehetővé teszi, hogy az eszközöket egy adott webhely szerint szűrje, például az összes olyan eszközt, amely egy adott helyen rosszindulatú eszközökkel kommunikált.
Az alábbi lekérdezés felsorolja a San Francisco-helyen található adott IP-címmel rendelkező összes végponteszközt.
DeviceInfo
|where Site == "SanFrancisco" and PublicIP == "192.168.1.1" and DeviceCategory == "Endpoint"
Ez az eszközleltár és a hely biztonsága szempontjából is fontos. További információ: Speciális veszélyforrás-keresés és a Speciális veszélyforrás-keresés DeviceInfo sémája.