Megosztás a következőn keresztül:

Incidensek és riasztások vizsgálata

  • Cikk

Az IoT-hez készült Microsoft Defender a Microsoft Defender portálon incidenseket és riasztásokat jelenít meg, amelyek javítják a hálózati biztonságot és a műveleteket a működési technológiai (OT) hálózatban naplózott események valós idejű részleteivel.

A riasztások képezik az összes incidens alapját, és jelzik a kártékony vagy gyanús események előfordulását a környezetben. Egy incidensen belül elemezheti a hálózatot érintő riasztásokat, megértheti azok lényegét, és összevetheti a bizonyítékokat, hogy hatékony javítási tervet alakíthat ki.

További információ a riasztásokról és incidensekről a Defender portálon.

Ebből a cikkből megtudhatja, hogyan vizsgálhat ki egy IoT-hez készült Microsoft Defender-incidenst és az ahhoz kapcsolódó riasztásokat, és hogyan háríthatja el a riasztás által kiváltott biztonsági problémákat.

Az Incidensek oldalon található riasztások egyedi módon egyesítik az informatikai és az ot-környezeti jeleket a lehetséges fenyegetések és adatszivárgások észleléséhez. Az Incidensek oldal a következőt jeleníti meg:

  • Az incidenshez kapcsolódó riasztások előzményei és egy incidensgráf. A grafikonon az érintett OT-eszközhöz csatlakoztatott egyéb eszközök láthatók, amelyek szintén sérültek lehetnek.
  • Riasztási leírások, amelyek az észlelt biztonsági probléma típusát mutatják be.
  • Szervizelési lehetőségek a biztonsági probléma megoldásához.

Megjegyzés:

Az IoT-hez készült Defender incidens- és riasztási adatai csak akkor jelennek meg, ha beállított egy webhelyet, és az eszközök adatokat küldenek a Defender portálra. Megtudhatja, hogyan állíthat be webhelyet.

Fontos

Ez a cikk a Microsoft Defender for IoT-t ismerteti a Defender portálon (előzetes verzió).

Ha Ön egy meglévő ügyfél, aki a klasszikus Defender for IoT portálon (Azure Portal) dolgozik, tekintse meg az Azure-beli Defender for IoT dokumentációját.

További információ az IoT-hez készült Defender felügyeleti portáljairól.

A cikkben található információk egy része egy előzetesen kiadott termékre vonatkozik, amely a kereskedelmi forgalomba kerülés előtt lényegesen módosulhat. A Microsoft nem vállal kifejezett vagy hallgatólagos szavatosságot az itt megadott információkra vonatkozóan.

Értesítések vizsgálata

Riasztás vizsgálata:

  1. A Microsoft Defender portál menüjében válassza az Incidensek & riasztások > Incidensek lehetőséget.

  2. Ot-hoz kapcsolódó incidensek megjelenítése:

    1. Válassza a Szűrő hozzáadása lehetőséget.
    2. Válassza a Terméknév , majd a Hozzáadás lehetőséget.
    3. Válassza ki a megjelenő Terméknevek lapot, és írja be a következőt: Defender for IoT.
    4. Válassza az Alkalmaz lehetőséget.

  3. Keresse meg és válassza ki az incidenst.

    Az adott incidens oldalán a riasztási idővonalból, egy incidensgráfból és az incidens részleteiből álló támadási történet látható.

  4. Válasszon ki egy riasztást a riasztások listájából.

    Az incidensgráf és az incidens részletei a riasztás konkrét adatait jelenítik meg.

  5. Az Incidens panelen tekintse át az információkat, olvassa el a riasztás leírását, a bizonyítékokat és az érintett objektumokat , és kövesse a riasztás javasolt műveleteit a probléma megoldásához.

Az IoT-hez készült Defender riasztása

Az IoT-hez készült Defender saját egyedi riasztást hoz létre.

Name (Név) Leírás
Lehetséges működési hatás egy sérült eszköz miatt Egy feltört eszköz, amely egy operatív technológiai (OT) objektummal kommunikál. Előfordulhat, hogy egy támadó megpróbálja irányítani vagy megzavarni a fizikai műveleteket.

Speciális veszélyforrás-keresés

A DeviceInfo táblában felsorolt Site tulajdonság használatával lekérdezéseket írhat speciális veszélyforrás-kereséshez. Ez lehetővé teszi, hogy az eszközöket egy adott webhely szerint szűrje, például az összes olyan eszközt, amely egy adott helyen rosszindulatú eszközökkel kommunikált.

Az alábbi lekérdezés felsorolja a San Francisco-helyen található adott IP-címmel rendelkező összes végponteszközt.

DeviceInfo
|where Site == "SanFrancisco" and PublicIP == "192.168.1.1" and DeviceCategory == "Endpoint"

Ez az eszközleltár és a hely biztonsága szempontjából is fontos. További információ: Speciális veszélyforrás-keresés és a Speciális veszélyforrás-keresés DeviceInfo sémája.