Menampilkan dan mengelola peringatan dari portal Azure
Pemberitahuan Pertahanan Microsoft untuk IoT meningkatkan keamanan dan operasi jaringan Anda dengan detail real time tentang peristiwa yang dicatat di jaringan Anda. Artikel ini menjelaskan cara mengelola pemberitahuan Pertahanan Microsoft untuk IoT pada portal Azure, termasuk pemberitahuan yang dihasilkan oleh sensor jaringan OT dan Enterprise IoT.
Pemberitahuan OT juga tersedia di setiap konsol sensor jaringan OT, atau konsol manajemen lokal yang terhubung
Integrasikan dengan Microsoft Sentinel untuk melihat pemberitahuan Defender for IoT di Microsoft Azure Sentinel dan mengelolanya bersama dengan insiden keamanan.
Jika Anda mengaktifkan keamananIoT Enterprise di Microsoft Defender XDR, pemberitahuan untuk perangkat Enterprise IoT yang terdeteksi oleh Microsoft Defender untuk Titik Akhir hanya tersedia di Pertahanan untuk Titik Akhir.
Untuk informasi selengkapnya, lihat Mengamankan perangkat IoT di perusahaan dan antrean Pemberitahuan di Microsoft Defender XDR.
Prasyarat
Untuk memiliki pemberitahuan di Defender untuk IoT, Anda harus memiliki OT yang di-onboarding, dan streaming data jaringan ke Defender for IoT.
Untuk melihat pemberitahuan di portal Azure, Anda harus memiliki akses sebagai Pembaca Keamanan, Admin Keamanan, Kontributor, atau Pemilik
Untuk mengelola pemberitahuan pada portal Azure, Anda harus memiliki akses sebagai Admin Keamanan, Kontributor, atau Pemilik. Aktivitas manajemen pemberitahuan termasuk memodifikasi status atau tingkat keparahannya, Pembelajaran pemberitahuan, mengakses data PCAP, atau menggunakan aturan supresi pemberitahuan.
Untuk informasi selengkapnya, lihat Peran dan izin pengguna Azure untuk Defender for IoT.
Menampilkan pemberitahuan di portal Azure
Di Defender untuk IoT di portal Azure, pilih halaman Pemberitahuan di sebelah kiri. Secara default, detail berikut diperlihatkan dalam kisi:
Kolom Deskripsi Keparahan Tingkat keparahan pemberitahuan yang telah ditentukan sebelumnya yang ditetapkan oleh sensor yang dapat Anda ubah sesuai kebutuhan. Nama Judul pemberitahuan. Lokasi Situs yang terkait dengan sensor yang mendeteksi peringatan, seperti yang tercantum di halaman Situs dan sensor. Mesin Mesin deteksi Defender for IoT yang mendeteksi aktivitas dan memicu pemberitahuan.
Catatan: Nilai Agen mikro menunjukkan bahwa peristiwa tersebut dipicu oleh platform Defender for IoT Device Builder .Deteksi terakhir Pertama kali peringatan terdeteksi.
- Jika status peringatan adalah Baru, dan lalu lintas yang sama terlihat lagi, Waktu deteksi terakhir diperbarui untuk peringatan yang sama.
- Jika status peringatan Ditutup dan lalu lintas terlihat lagi, Waktu deteksi terakhirtidak diperbarui, dan peringatan baru akan dipicu.Keadaan Status peringatan: Baru, Aktif, Tertutup
Untuk informasi selengkapnya, lihat Status pemberitahuan dan opsi triaging.Perangkat sumber Alamat IP, alamat MAC, atau nama perangkat tempat lalu lintas yang memicu pemberitahuan berasal. Taktik Tahap MITRE ATT&CK. Untuk menampilkan detail selengkapnya, pilih tombol Edit kolom .
Di panel Edit kolom di sebelah kanan, pilih Tambahkan Kolom dan salah satu kolom tambahan berikut ini:
Kolom Deskripsi Alamat perangkat sumber Alamat IP perangkat sumber. Alamat perangkat tujuan Alamat IP perangkat tujuan. Perangkat tujuan IP tujuan atau alamat MAC, atau nama perangkat tujuan. Deteksi pertama Pertama kali pemberitahuan terdeteksi dalam jaringan. Id ID pemberitahuan unik, diselaraskan dengan ID pada konsol sensor.
Catatan: Jika pemberitahuan digabungkan dengan pemberitahuan lain dari sensor yang mendeteksi pemberitahuan yang sama, portal Azure menampilkan ID pemberitahuan sensor pertama yang menghasilkan pemberitahuan.Aktivitas terakhir Terakhir kali pemberitahuan diubah, termasuk pembaruan manual untuk tingkat keparahan atau status, atau perubahan otomatis untuk pembaruan perangkat atau deduplikasi perangkat/pemberitahuan Protokol Protokol yang terdeteksi dalam lalu lintas jaringan untuk pemberitahuan. Sensor Sensor yang mendeteksi peringatan. Zone Zona yang ditetapkan ke sensor yang mendeteksi peringatan. Golongan Kategori yang terkait dengan pemberitahuan, seperti masalah operasional, pemberitahuan kustom, atau perintah ilegal. Jenis Nama internal peringatan.
Tip
Jika Anda melihat lebih banyak pemberitahuan dari yang diharapkan, Anda mungkin ingin membuat aturan supresi untuk mencegah pemberitahuan dipicu untuk aktivitas jaringan yang sah. Untuk informasi selengkapnya, lihat Menyembunyikan pemberitahuan yang tidak relevan.
Memfilter peringatan yang ditampilkan
Gunakan kotak Pencarian, Rentang waktu, dan Tambahkan opsi filter untuk memfilter pemberitahuan yang ditampilkan oleh parameter tertentu atau untuk membantu menemukan pemberitahuan tertentu.
Misalnya, memfilter peringatan berdasarkan Kategori:
Peringatan grup ditampilkan
Gunakan menu Kelompokkan menurut di kanan atas untuk menciutkan kisi ke dalam sub-bagian sesuai dengan parameter tertentu.
Misalnya, saat jumlah total pemberitahuan muncul di atas kisi, Anda mungkin menginginkan informasi yang lebih spesifik tentang perincian jumlah pemberitahuan, seperti jumlah pemberitahuan dengan tingkat keparahan, protokol, atau situs tertentu.
Opsi pengelompokan yang didukung termasuk Mesin, Nama, Sensor, Tingkat Keparahan, dan Situs.
Melihat detail dan memulihkan pemberitahuan tertentu
Pada halaman Pemberitahuan , pilih pemberitahuan di kisi untuk menampilkan detail selengkapnya di panel di sebelah kanan. Panel detail pemberitahuan menyertakan deskripsi pemberitahuan, sumber lalu lintas, dan tujuan, dan lainnya.
Pilih Tampilkan detail lengkap untuk menelusuri lebih lanjut. Misalnya:
Halaman detail pemberitahuan menyediakan detail selengkapnya tentang pemberitahuan, dan serangkaian langkah-langkah remediasi pada tab Ambil tindakan . Misalnya:
Mengelola tingkat keparahan dan status pemberitahuan
Kami menyarankan agar Anda memperbarui tingkat keparahan pemberitahuan Di Defender untuk IoT di portal Azure segera setelah Anda melakukan triase pemberitahuan sehingga Anda dapat memprioritaskan pemberitahuan paling berisiko sesegera mungkin. Pastikan untuk memperbarui status pemberitahuan setelah Anda mengambil langkah-langkah remediasi sehingga kemajuan direkam.
Anda dapat memperbarui tingkat keparahan dan status untuk satu pemberitahuan atau untuk pilihan pemberitahuan secara massal.
Pelajari peringatan untuk menunjukkan kepada Defender untuk IoT bahwa lalu lintas jaringan yang terdeteksi diotorisasi. Pemberitahuan yang dipelajari tidak dipicu lagi saat berikutnya lalu lintas yang sama terdeteksi di jaringan Anda. Pembelajaran hanya didukung untuk pemberitahuan yang dipilih, dan unlearning hanya didukung dari sensor jaringan OT.
Untuk informasi selengkapnya, lihat Status pemberitahuan dan opsi triaging.
Untuk mengelola peringatan tunggal:
- Di Defender untuk IoT di portal Azure, pilih halaman Pemberitahuan di sebelah kiri, lalu pilih pemberitahuan di kisi.
- Baik di panel detail di sebelah kanan, atau di halaman detail peringatan itu sendiri, pilih status baru dan/atau tingkat keparahan.
Untuk mengelola beberapa peringatan secara massal:
- Di Defender untuk IoT di portal Azure, pilih halaman Pemberitahuan di sebelah kiri, lalu pilih pemberitahuan di kisi yang ingin Anda ubah.
- Gunakan opsi Ubah status dan/atau Ubah tingkat keparahan di toolbar untuk memperbarui status dan/atau tingkat keparahan untuk semua peringatan yang dipilih.
Untuk mempelajari satu atau beberapa pemberitahuan:
Di Defender untuk IoT di portal Azure, pilih halaman Pemberitahuan di sebelah kiri, lalu lakukan salah satu hal berikut ini:
- Pilih satu atau beberapa pemberitahuan yang dapat dipelajari di kisi lalu pilih Pelajari di toolbar.
- Pada halaman detail pemberitahuan untuk pemberitahuan yang dapat dipelajari, di tab Ambil Tindakan , pilih Pelajari.
Mengakses data PCAP pemberitahuan
Anda mungkin ingin mengakses file lalu lintas mentah, juga dikenal sebagai file pengambilan paket atau file PCAP sebagai bagian dari penyelidikan Anda. Jika Anda seorang teknisi keamanan SOC atau OT, akses file PCAP langsung dari portal Azure untuk membantu Anda menyelidiki lebih cepat.
Untuk mengakses file lalu lintas mentah untuk pemberitahuan Anda, pilih Unduh PCAP di sudut kiri atas halaman detail pemberitahuan Anda.
Misalnya:
Portal meminta file dari sensor yang mendeteksi peringatan dan mengunduhnya ke penyimpanan Azure Anda.
Mengunduh file PCAP dapat memakan waktu beberapa menit, tergantung pada kualitas konektivitas sensor Anda.
Mengekspor pemberitahuan ke file CSV
Anda mungkin ingin mengekspor pilihan pemberitahuan ke file CSV untuk berbagi dan pelaporan offline.
Di Defender untuk IoT di portal Azure, pilih halaman Pemberitahuan di sebelah kiri.
Gunakan kotak pencarian dan opsi filter untuk memperlihatkan hanya pemberitahuan yang ingin Anda ekspor.
Di toolbar di atas kisi, pilih Ekspor>Konfirmasi.
File dibuat, dan Anda diminta untuk menyimpannya secara lokal.