Mempercepat alur kerja pemberitahuan OT

  • Artikel

Catatan

Fitur penting tercantum dalam PRATINJAU. Ketentuan Tambahan Pratinjau Azure mencakup persyaratan hukum lain yang berlaku untuk fitur Azure dalam versi beta, pratinjau, atau belum dirilis ke ketersediaan umum.

Pemberitahuan Pertahanan Microsoft untuk IoT meningkatkan keamanan dan operasi jaringan Anda dengan detail real time tentang peristiwa yang dicatat di jaringan Anda. Pemberitahuan OT dipicu ketika sensor jaringan OT mendeteksi perubahan atau aktivitas mencurigakan dalam lalu lintas jaringan yang membutuhkan perhatian Anda.

Artikel ini menjelaskan metode berikut untuk mengurangi kelelahan pemberitahuan jaringan OT di tim Anda:

  • Buat aturan supresi dari portal Azure untuk mengurangi pemberitahuan yang dipicu oleh sensor Anda. Jika Anda bekerja di lingkungan yang terpasang di udara, lakukan ini dengan membuat aturan pengecualian pemberitahuan di konsol manajemen lokal.

  • Buat komentar pemberitahuan untuk tim Anda untuk ditambahkan ke pemberitahuan individual, menyederhanakan komunikasi, dan menyimpan catatan di seluruh pemberitahuan Anda.

  • Membuat aturan pemberitahuan kustom untuk mengidentifikasi lalu lintas tertentu di jaringan Anda

Prasyarat

Sebelum Anda menggunakan prosedur di halaman ini, perhatikan prasyarat berikut:

Untuk... Anda harus memiliki ...
Membuat aturan supresi pemberitahuan pada portal Azure Langganan Defender untuk IoT dengan setidaknya satu sensor OT yang terhubung ke cloud dan akses sebagai Admin Keamanan, Kontributor, atau Pemilik.
Membuat daftar izin DNS pada sensor OT Sensor jaringan OT diinstal dan akses ke sensor sebagai pengguna Admin default.
Membuat komentar pemberitahuan pada sensor OT Sensor jaringan OT diinstal dan akses ke sensor sebagai pengguna mana pun dengan peran Admin .
Membuat aturan pemberitahuan kustom pada sensor OT Sensor jaringan OT diinstal dan akses ke sensor sebagai pengguna mana pun dengan peran Admin .
Membuat aturan pengecualian pemberitahuan di konsol manajemen lokal Konsol manajemen lokal diinstal dan akses ke konsol manajemen lokal sebagai pengguna mana pun dengan peran Admin .

Untuk informasi selengkapnya, lihat:

Menyembunyikan pemberitahuan yang tidak relevan

Konfigurasikan sensor OT Anda untuk menekan pemberitahuan untuk lalu lintas tertentu di jaringan Anda yang akan memicu pemberitahuan. Misalnya, jika semua perangkat OT yang dipantau oleh sensor tertentu akan melalui prosedur pemeliharaan selama dua hari, Anda mungkin ingin menentukan aturan untuk menekan semua pemberitahuan yang dihasilkan oleh sensor tersebut selama periode pemeliharaan.

  • Untuk sensor OT yang terhubung ke cloud, buat aturan supresi pemberitahuan pada portal Azure untuk mengabaikan lalu lintas tertentu di jaringan Anda yang akan memicu pemberitahuan.

  • Untuk sensor yang dikelola secara lokal, buat aturan pengecualian pemberitahuan di konsol manajemen lokal, baik menggunakan UI atau API.

Penting

Aturan yang dikonfigurasi pada portal Azure mengambil alih aturan apa pun yang dikonfigurasi untuk sensor yang sama pada konsol manajemen lokal. Jika saat ini Anda menggunakan aturan pengecualian pemberitahuan di konsol manajemen lokal, kami sarankan Anda memigrasikannya ke portal Azure sebagai aturan supresi sebelum memulai.

Membuat aturan supresi pemberitahuan pada portal Azure (Pratinjau Umum)

Bagian ini menjelaskan cara membuat aturan supresi pemberitahuan pada portal Azure, dan hanya didukung untuk sensor yang terhubung ke cloud.

Untuk membuat aturan supresi pemberitahuan:

  1. Di Defender untuk IoT pada portal Azure, pilih Aturan Supresi Pemberitahuan>.

  2. Pada halaman Aturan supresi (Pratinjau) , pilih + Buat.

  3. Di tab Buat detail aturansupresi, masukkan detail berikut ini:

    1. Pilih langganan Azure Anda dari menu drop-down.

    2. Masukkan nama yang bermakna untuk aturan Anda dan deskripsi opsional.

    3. Alihkan aktif Diaktifkan agar aturan mulai berjalan seperti yang dikonfigurasi. Anda juga dapat membiarkan opsi ini dinonaktifkan untuk mulai menggunakan aturan hanya nanti.

    4. Di area Sembunyikan menurut rentang waktu, alihkan pada tanggal Kedaluwarsa untuk menentukan tanggal dan waktu mulai dan berakhir tertentu untuk aturan Anda. Pilih Tambahkan rentang untuk menambahkan beberapa rentang waktu.

    5. Di area Terapkan pada, pilih apakah Anda ingin menerapkan aturan ke semua sensor pada langganan Anda, atau hanya pada situs atau sensor tertentu. Jika Anda memilih Terapkan pada pilihan kustom, pilih situs dan/atau sensor tempat Anda ingin menjalankan aturan.

      Saat Anda memilih situs tertentu, aturan berlaku untuk semua sensor yang ada dan yang akan datang yang terkait dengan situs.

    6. Pilih Berikutnya dan konfirmasi pesan penimpaan.

  4. Di tab Buat aturansupresi Kondisi :

    1. Di daftar dropdown Nama pemberitahuan, pilih satu atau beberapa pemberitahuan untuk aturan Anda. Memilih nama mesin pemberitahuan alih-alih nama aturan tertentu menerapkan aturan ke semua pemberitahuan yang ada dan di masa mendatang yang terkait dengan mesin tersebut.

    2. Secara opsional memfilter aturan Anda lebih lanjut dengan menentukan kondisi tambahan, seperti untuk lalu lintas yang berasal dari sumber tertentu, ke tujuan tertentu, atau pada subnet tertentu. Saat menentukan subnet sebagai kondisi, perhatikan bahwa subnet merujuk ke perangkat sumber dan tujuan.

    3. Setelah selesai mengonfigurasi kondisi aturan, pilih Berikutnya.

  5. Di panel Buat aturan supresi Tinjau dan buat tab , tinjau detail aturan yang Anda buat lalu pilih Buat.

Aturan Anda ditambahkan ke daftar aturan supresi pada halaman Aturan supresi (Pratinjau). Pilih aturan untuk mengedit atau menghapusnya sesuai kebutuhan.

Tip

Jika Anda perlu mengekspor aturan supresi, pilih tombol Ekspor dari toolbar. Semua aturan yang dikonfigurasi diekspor ke satu . File CSV, yang dapat Anda simpan secara lokal.

Memigrasikan aturan supresi dari konsol manajemen lokal (Pratinjau Umum)

Jika saat ini Anda menggunakan konsol manajemen lokal dengan sensor yang terhubung ke cloud, kami sarankan Anda memigrasikan aturan pengecualian apa pun ke portal Azure sebagai aturan supresi sebelum Anda mulai membuat aturan supresi baru. Setiap aturan supresi yang dikonfigurasi pada aturan pengecualian pemberitahuan portal Azure mengambil alih yang ada untuk sensor yang sama di konsol manajemen lokal.

Untuk mengekspor aturan pengecualian pemberitahuan dan mengimpornya ke portal Azure:

  1. Masuk ke konsol manajemen lokal Anda dan pilih Pengecualian Pemberitahuan.

  2. Pada halaman Pengecualian Pemberitahuan, pilih Ekspor untuk mengekspor aturan Anda ke . File CSV.

  3. Di Defender untuk IoT pada portal Azure, pilih Aturan Supresi Pemberitahuan>.

  4. Pada halaman Aturan supresi (Pratinjau) , pilih Migrasi aturan manajer lokal, lalu telusuri dan pilih . File CSV yang telah Anda unduh dari konsol manajemen lokal.

  5. Di panel Migrasi aturan supresi, tinjau daftar aturan supresi yang diunggah yang akan Anda migrasikan, lalu pilih Setujui migrasi.

  6. Konfirmasikan pesan penimpaan.

Aturan Anda ditambahkan ke daftar aturan supresi pada halaman Aturan supresi (Pratinjau). Pilih aturan untuk mengedit atau menghapusnya sesuai kebutuhan.

Membuat aturan pengecualian pemberitahuan di konsol manajemen lokal

Sebaiknya buat aturan pengecualian pemberitahuan pada konsol manajemen lokal hanya untuk sensor yang dikelola secara lokal. Untuk sensor yang terhubung ke cloud, aturan supresi apa pun yang dibuat pada portal Azure akan mengambil alih aturan pengecualian yang dibuat pada konsol manajemen lokal untuk sensor tersebut.

Untuk membuat aturan pengecualian pemberitahuan:

  1. Masuk ke konsol manajemen lokal Anda dan pilih Pengecualian Pemberitahuan di menu sebelah kiri.

  2. Pada halaman Pengecualian Pemberitahuan, pilih tombol + di kanan atas untuk menambahkan aturan baru.

  3. Dalam dialog Buat Aturan Pengecualian, masukkan detail berikut ini:

    Nama Deskripsi
    Nama Masukkan nama yang bermakna untuk aturan Anda. Nama tidak boleh berisi kuotasi (").
    Menurut Periode Waktu Pilih zona waktu dan periode waktu tertentu yang Anda inginkan agar aturan pengecualian aktif, lalu pilih TAMBAHKAN.

    Gunakan opsi ini untuk membuat aturan terpisah untuk zona waktu yang berbeda. Misalnya, Anda mungkin perlu menerapkan aturan pengecualian antara pukul 8.00 dan 10.00 pagi di tiga zona waktu yang berbeda. Dalam hal ini, buat tiga aturan pengecualian terpisah yang menggunakan periode waktu yang sama dan zona waktu yang relevan.
    Menurut Alamat Perangkat Pilih dan masukkan nilai berikut, lalu pilih TAMBAHKAN:

    - Pilih apakah perangkat yang ditunjuk adalah sumber, tujuan, atau perangkat sumber dan tujuan.
    - Pilih apakah alamat adalah alamat IP, alamat MAC, atau subnet
    - Masukkan nilai alamat IP, alamat MAC, atau subnet.
    Menurut Judul Pemberitahuan Pilih satu atau beberapa pemberitahuan untuk ditambahkan ke aturan pengecualian lalu pilih TAMBAHKAN. Untuk menemukan judul pemberitahuan, masukkan semua, atau bagian dari judul pemberitahuan dan pilih judul yang Anda inginkan dari daftar dropdown.
    Menurut Nama Sensor Pilih satu atau beberapa sensor untuk ditambahkan ke aturan pengecualian lalu pilih TAMBAHKAN. Untuk menemukan nama sensor, masukkan semua atau sebagian nama sensor dan pilih nama yang Anda inginkan dari daftar dropdown.

    Penting

    Aturan AND pengecualian pemberitahuan didasarkan, yang berarti bahwa pemberitahuan hanya dikecualikan saat semua kondisi aturan terpenuhi. Jika kondisi aturan tidak ditentukan, semua opsi disertakan. Misalnya, jika Anda tidak menyertakan nama sensor dalam aturan, aturan diterapkan ke semua sensor.

    Ringkasan parameter aturan ditampilkan di bagian bawah dialog.

  4. Periksa ringkasan aturan yang diperlihatkan di bagian bawah dialog Buat Aturan Pengecualian lalu pilih SIMPAN

Untuk membuat aturan pengecualian pemberitahuan melalui API:

Gunakan Defender for IoT API untuk membuat aturan pengecualian pemberitahuan konsol manajemen lokal dari sistem tiket eksternal atau sistem lain yang mengelola proses pemeliharaan jaringan.

Gunakan API maintenanceWindow (Buat pengecualian pemberitahuan) untuk menentukan sensor, mesin analitik, waktu mulai, dan waktu akhir untuk menerapkan aturan. Aturan pengecualian yang dibuat melalui API ditampilkan di konsol manajemen lokal sebagai baca-saja.

Untuk informasi selengkapnya, lihat Referensi Defender untuk IoT API.

Perbolehkan koneksi internet pada jaringan OT

Kurangi jumlah pemberitahuan internet yang tidak sah dengan membuat daftar nama domain yang diizinkan pada sensor OT Anda. Saat daftar izin DNS dikonfigurasi, sensor memeriksa setiap upaya konektivitas internet yang tidak sah terhadap daftar sebelum memicu pemberitahuan. Jika FQDN domain disertakan dalam daftar yang diizinkan, sensor tidak memicu pemberitahuan dan mengizinkan lalu lintas secara otomatis.

Semua pengguna sensor OT dapat melihat daftar domain yang saat ini dikonfigurasi dalam laporan penambangan data, termasuk FQDN, alamat IP yang diselesaikan, dan waktu resolusi terakhir.

Untuk menentukan daftar izin DNS:

  1. Masuk ke sensor OT Anda sebagai pengguna admin dan pilih halaman Dukungan .

  2. Dalam kotak pencarian, cari DNS lalu temukan mesin dengan deskripsi Daftar Izin Domain Internet.

  3. Pilih Edit untuk baris Daftar Izin Domain Internet. Contohnya:

    Cuplikan layar cara mengedit konfigurasi untuk DNS di konsol sensor.

  4. Di panel >Edit konfigurasi Bidang daftar izin Fqdn, masukkan satu atau beberapa nama domain. Pisahkan beberapa nama domain dengan koma. Sensor Anda tidak akan menghasilkan pemberitahuan untuk upaya konektivitas internet yang tidak sah pada domain yang dikonfigurasi.

  5. Pilih Kirim untuk menyimpan perubahan Anda.

Untuk melihat daftar yang diizinkan saat ini dalam laporan penambangan data:

Saat memilih kategori dalam laporan penggalian data kustom Anda, pastikan untuk memilih Daftar Izin Domain Internet di bawah kategori DNS.

Contohnya:

Cuplikan layar cara membuat laporan penambangan data kustom untuk daftar yang diizinkan di konsol sensor.

Laporan penggalian data yang dihasilkan menunjukkan daftar domain yang diizinkan dan setiap alamat IP yang sedang diselesaikan untuk domain tersebut. Laporan ini juga mencakup TTL, dalam hitungan detik, di mana alamat IP tersebut tidak akan memicu pemberitahuan konektivitas internet. Contohnya:

Cuplikan layar laporan penambangan data daftar yang diizinkan di konsol sensor.

Membuat komentar pemberitahuan pada sensor OT

  1. Masuk ke sensor OT Anda dan pilih System Pengaturan> Network Monitoring>Alert Comments.

  2. Di panel Komentar pemberitahuan , di bidang Deskripsi , masukkan komentar baru, dan pilih Tambahkan. Komentar baru muncul di daftar Deskripsi di bawah bidang .

    Contohnya:

    Cuplikan layar panel Komentar pemberitahuan pada sensor OT.

  3. Pilih Kirim untuk menambahkan komentar Anda ke daftar komentar yang tersedia di setiap pemberitahuan di sensor Anda.

Komentar kustom tersedia di setiap pemberitahuan pada sensor Anda untuk ditambahkan anggota tim. Untuk informasi selengkapnya, lihat Menambahkan komentar pemberitahuan.

Membuat aturan pemberitahuan kustom pada sensor OT

Tambahkan aturan pemberitahuan kustom untuk memicu pemberitahuan untuk aktivitas tertentu di jaringan Anda yang tidak tercakup oleh fungsionalitas di luar kotak.

Misalnya, untuk lingkungan yang menjalankan MODBUS, Anda dapat menambahkan aturan untuk mendeteksi perintah tertulis apa pun ke register memori pada alamat IP dan tujuan ethernet tertentu.

Untuk membuat aturan peringatan kustom:

  1. Masuk ke sensor OT Anda dan pilih Aturan> pemberitahuan kustom+ Buat aturan.

  2. Di panel Buat aturan pemberitahuan kustom, tentukan bidang berikut ini:

    Nama Deskripsi
    Nama pemberitahuan Masukkan nama yang bermakna untuk peringatan.
    Protokol pemberitahuan Pilih protokol yang ingin Anda deteksi.
    Dalam kasus tertentu, pilih salah satu protokol berikut:

    - Untuk data database atau peristiwa manipulasi struktur, pilih TNS atau TDS.
    - Untuk peristiwa file, pilih HTTP, DELTAV, SMB, atau FTP, tergantung pada jenis file.
    - Untuk peristiwa unduhan paket, pilih HTTP.
    - Untuk peristiwa port terbuka (dihilangkan), pilih TCP atau UDP, tergantung pada jenis port.

    Untuk membuat aturan yang melacak perubahan tertentu di salah satu protokol OT Anda, seperti S7 atau CIP, gunakan parameter apa pun yang ditemukan pada protokol tersebut, seperti tag atau sub-function.
    Pesan Tentukan pesan untuk ditampilkan saat peringatan dipicu. Pesan peringatan mendukung karakter alfanumerik dan variabel lalu lintas apa pun yang terdeteksi.

    Misalnya, Anda mungkin ingin menyertakan alamat sumber dan tujuan yang terdeteksi. Gunakan tanda kurung keriting ({}) untuk menambahkan variabel ke pesan peringatan.
    Arah Masukkan alamat IP sumber dan/atau tujuan tempat Anda ingin mendeteksi lalu lintas.
    Kondisi Tentukan satu atau beberapa kondisi yang harus dipenuhi untuk memicu peringatan.

    - Pilih + tanda untuk membuat kumpulan kondisi dengan beberapa kondisi yang menggunakan operator AND . Tanda + diaktifkan hanya setelah memilih nilai protokol Pemberitahuan.
    - Jika Anda memilih alamat MAC atau alamat IP sebagai variabel, Anda harus mengonversi nilai dari alamat desimal putus-putus ke format desimal.

    Anda harus menambahkan setidaknya satu kondisi untuk membuat aturan pemberitahuan kustom.
    Terdeteksi Tentukan tanggal dan/atau rentang waktu untuk lalu lintas yang ingin Anda deteksi. Sesuaikan hari dan rentang waktu agar pas dengan jam pemeliharaan atau atur jam kerja.
    Perbuatan Tentukan tindakan yang Anda ingin Defender for IoT ambil secara otomatis saat peringatan dipicu.
    Minta Defender untuk IoT membuat pemberitahuan atau peristiwa, dengan tingkat keparahan yang ditentukan.
    PCAP disertakan Jika Anda telah memilih untuk membuat peristiwa, kosongkan opsi yang disertakan PCAP sesuai kebutuhan. Jika Anda telah memilih untuk membuat pemberitahuan, PCAP selalu disertakan, dan tidak dapat dihapus.

    Contohnya:

    Cuplikan layar panel Buat aturan pemberitahuan kustom untuk membuat aturan pemberitahuan kustom.

  3. Pilih Simpan saat Anda selesai untuk menyimpan aturan.

Mengedit aturan pemberitahuan kustom

Untuk mengedit aturan peringatan kustom, pilih aturan lalu pilih menu opsi (...) >Edit. Ubah aturan peringatan sesuai kebutuhan dan simpan perubahan Anda.

Pengeditan yang dibuat untuk aturan pemberitahuan kustom, seperti mengubah tingkat keparahan atau protokol, dilacak di halaman Garis waktu peristiwa pada sensor OT.

Untuk informasi selengkapnya, lihat Melacak aktivitas sensor.

Menonaktifkan, mengaktifkan, atau menghapus aturan pemberitahuan kustom

Nonaktifkan aturan pemberitahuan kustom untuk mencegahnya berjalan tanpa menghapusnya sama sekali.

Di halaman Aturan pemberitahuan kustom, pilih satu atau beberapa aturan, lalu pilih Nonaktifkan, Aktifkan, atau Hapus di toolbar sesuai kebutuhan.

Membuat aturan pengecualian pemberitahuan di konsol manajemen lokal

Buat aturan pengecualian pemberitahuan untuk menginstruksikan sensor Anda untuk mengabaikan lalu lintas tertentu di jaringan Anda yang akan memicu pemberitahuan.

Misalnya, jika Anda tahu bahwa semua perangkat OT yang dipantau oleh sensor tertentu akan melalui prosedur pemeliharaan selama dua hari, tentukan aturan pengecualian yang menginstruksikan Defender for IoT untuk menekan pemberitahuan yang terdeteksi oleh sensor ini selama periode yang telah ditentukan sebelumnya.

Untuk membuat aturan pengecualian pemberitahuan:

  1. Masuk ke konsol manajemen lokal Anda dan pilih Pengecualian Pemberitahuan di menu sebelah kiri.

  2. Pada halaman Pengecualian Pemberitahuan, pilih tombol + di kanan atas untuk menambahkan aturan baru.

  3. Dalam dialog Buat Aturan Pengecualian, masukkan detail berikut ini:

    Nama Deskripsi
    Nama Masukkan nama yang bermakna untuk aturan Anda. Nama tidak boleh berisi kuotasi (").
    Menurut Periode Waktu Pilih zona waktu dan periode waktu tertentu yang Anda inginkan agar aturan pengecualian aktif, lalu pilih TAMBAHKAN.

    Gunakan opsi ini untuk membuat aturan terpisah untuk zona waktu yang berbeda. Misalnya, Anda mungkin perlu menerapkan aturan pengecualian antara pukul 8.00 dan 10.00 pagi di tiga zona waktu yang berbeda. Dalam hal ini, buat tiga aturan pengecualian terpisah yang menggunakan periode waktu yang sama dan zona waktu yang relevan.
    Menurut Alamat Perangkat Pilih dan masukkan nilai berikut, lalu pilih TAMBAHKAN:

    - Pilih apakah perangkat yang ditunjuk adalah sumber, tujuan, atau perangkat sumber dan tujuan.
    - Pilih apakah alamat adalah alamat IP, alamat MAC, atau subnet
    - Masukkan nilai alamat IP, alamat MAC, atau subnet.
    Menurut Judul Pemberitahuan Pilih satu atau beberapa pemberitahuan untuk ditambahkan ke aturan pengecualian lalu pilih TAMBAHKAN. Untuk menemukan judul pemberitahuan, masukkan semua, atau bagian dari judul pemberitahuan dan pilih judul yang Anda inginkan dari daftar dropdown.
    Menurut Nama Sensor Pilih satu atau beberapa sensor untuk ditambahkan ke aturan pengecualian lalu pilih TAMBAHKAN. Untuk menemukan nama sensor, masukkan semua atau sebagian nama sensor dan pilih nama yang Anda inginkan dari daftar dropdown.

    Penting

    Aturan AND pengecualian pemberitahuan didasarkan, yang berarti bahwa pemberitahuan hanya dikecualikan saat semua kondisi aturan terpenuhi. Jika kondisi aturan tidak ditentukan, semua opsi disertakan. Misalnya, jika Anda tidak menyertakan nama sensor dalam aturan, aturan diterapkan ke semua sensor.

    Ringkasan parameter aturan ditampilkan di bagian bawah dialog.

  4. Periksa ringkasan aturan yang diperlihatkan di bagian bawah dialog Buat Aturan Pengecualian lalu pilih SIMPAN

Membuat aturan pengecualian pemberitahuan melalui API

Gunakan Defender untuk IoT API untuk membuat aturan pengecualian pemberitahuan dari sistem tiket eksternal atau sistem lain yang mengelola proses pemeliharaan jaringan.

Gunakan API maintenanceWindow (Buat pengecualian pemberitahuan) untuk menentukan sensor, mesin analitik, waktu mulai, dan waktu akhir untuk menerapkan aturan. Aturan pengecualian yang dibuat melalui API ditampilkan di konsol manajemen lokal sebagai baca-saja.

Untuk informasi selengkapnya, lihat Referensi Defender untuk IoT API.

Langkah berikutnya

Pemberitahuan Pertahanan Microsoft untuk IoT