Menampilkan dan mengelola peringatan dari portal Azure

Pemberitahuan Pertahanan Microsoft untuk IoT meningkatkan keamanan dan operasi jaringan Anda dengan detail real time tentang peristiwa yang dicatat di jaringan Anda. Artikel ini menjelaskan cara mengelola pemberitahuan Pertahanan Microsoft untuk IoT pada portal Azure, termasuk pemberitahuan yang dihasilkan oleh sensor jaringan OT dan Enterprise IoT.

• Pemberitahuan OT juga tersedia di setiap konsol sensor jaringan OT, atau konsol manajemen lokal yang terhubung

• Integrasikan dengan Microsoft Sentinel untuk melihat pemberitahuan Defender for IoT di Microsoft Azure Sentinel dan mengelolanya bersama dengan insiden keamanan.

• Jika Anda mengaktifkan keamananIoT Enterprise di Microsoft Defender XDR, pemberitahuan untuk perangkat Enterprise IoT yang terdeteksi oleh Microsoft Defender untuk Titik Akhir hanya tersedia di Pertahanan untuk Titik Akhir.

  Untuk informasi selengkapnya, lihat Mengamankan perangkat IoT di perusahaan dan antrean Pemberitahuan di Microsoft Defender XDR.

Prasyarat

• Untuk memiliki pemberitahuan di Defender untuk IoT, Anda harus memiliki OT yang di-onboarding, dan streaming data jaringan ke Defender for IoT.

• Untuk melihat pemberitahuan di portal Azure, Anda harus memiliki akses sebagai Pembaca Keamanan, Admin Keamanan, Kontributor, atau Pemilik

• Untuk mengelola pemberitahuan pada portal Azure, Anda harus memiliki akses sebagai Admin Keamanan, Kontributor, atau Pemilik. Aktivitas manajemen pemberitahuan termasuk memodifikasi status atau tingkat keparahannya, Pembelajaran pemberitahuan, mengakses data PCAP, atau menggunakan aturan supresi pemberitahuan.

Untuk informasi selengkapnya, lihat Peran dan izin pengguna Azure untuk Defender for IoT.

Menampilkan pemberitahuan di portal Azure

1. Di Defender untuk IoT di portal Azure, pilih halaman Pemberitahuan di sebelah kiri. Secara default, detail berikut diperlihatkan dalam kisi:

   Kolom	Deskripsi
   Keparahan	Tingkat keparahan pemberitahuan yang telah ditentukan sebelumnya yang ditetapkan oleh sensor yang dapat Anda ubah sesuai kebutuhan.
   Nama	Judul pemberitahuan.
   Lokasi	Situs yang terkait dengan sensor yang mendeteksi peringatan, seperti yang tercantum di halaman Situs dan sensor.
   Mesin	Mesin deteksi Defender for IoT yang mendeteksi aktivitas dan memicu pemberitahuan. Catatan: Nilai Agen mikro menunjukkan bahwa peristiwa tersebut dipicu oleh platform Defender for IoT Device Builder .
   Deteksi terakhir	Pertama kali peringatan terdeteksi. - Jika status peringatan adalah Baru, dan lalu lintas yang sama terlihat lagi, Waktu deteksi terakhir diperbarui untuk peringatan yang sama. - Jika status peringatan Ditutup dan lalu lintas terlihat lagi, Waktu deteksi terakhirtidak diperbarui, dan peringatan baru akan dipicu.
   Keadaan	Status peringatan: Baru, Aktif, Tertutup Untuk informasi selengkapnya, lihat Status pemberitahuan dan opsi triaging.
   Perangkat sumber	Alamat IP, alamat MAC, atau nama perangkat tempat lalu lintas yang memicu pemberitahuan berasal.
   Taktik	Tahap MITRE ATT&CK.

   1. Untuk menampilkan detail selengkapnya, pilih tombol Edit kolom .

      Di panel Edit kolom di sebelah kanan, pilih Tambahkan Kolom dan salah satu kolom tambahan berikut ini:

      Kolom	Deskripsi
      Alamat perangkat sumber	Alamat IP perangkat sumber.
      Alamat perangkat tujuan	Alamat IP perangkat tujuan.
      Perangkat tujuan	IP tujuan atau alamat MAC, atau nama perangkat tujuan.
      Deteksi pertama	Pertama kali pemberitahuan terdeteksi dalam jaringan.
      Id	ID pemberitahuan unik, diselaraskan dengan ID pada konsol sensor. Catatan: Jika pemberitahuan digabungkan dengan pemberitahuan lain dari sensor yang mendeteksi pemberitahuan yang sama, portal Azure menampilkan ID pemberitahuan sensor pertama yang menghasilkan pemberitahuan.
      Aktivitas terakhir	Terakhir kali pemberitahuan diubah, termasuk pembaruan manual untuk tingkat keparahan atau status, atau perubahan otomatis untuk pembaruan perangkat atau deduplikasi perangkat/pemberitahuan
      Protokol	Protokol yang terdeteksi dalam lalu lintas jaringan untuk pemberitahuan.
      Sensor	Sensor yang mendeteksi peringatan.
      Zone	Zona yang ditetapkan ke sensor yang mendeteksi peringatan.
      Golongan	Kategori yang terkait dengan pemberitahuan, seperti masalah operasional, pemberitahuan kustom, atau perintah ilegal.
      Jenis	Nama internal peringatan.

Tip

Jika Anda melihat lebih banyak pemberitahuan dari yang diharapkan, Anda mungkin ingin membuat aturan supresi untuk mencegah pemberitahuan dipicu untuk aktivitas jaringan yang sah. Untuk informasi selengkapnya, lihat Menyembunyikan pemberitahuan yang tidak relevan.

Memfilter peringatan yang ditampilkan

Gunakan kotak Pencarian, Rentang waktu, dan Tambahkan opsi filter untuk memfilter pemberitahuan yang ditampilkan oleh parameter tertentu atau untuk membantu menemukan pemberitahuan tertentu.

Misalnya, memfilter peringatan berdasarkan Kategori:

Peringatan grup ditampilkan

Gunakan menu Kelompokkan menurut di kanan atas untuk menciutkan kisi ke dalam sub-bagian sesuai dengan parameter tertentu.

Misalnya, saat jumlah total pemberitahuan muncul di atas kisi, Anda mungkin menginginkan informasi yang lebih spesifik tentang perincian jumlah pemberitahuan, seperti jumlah pemberitahuan dengan tingkat keparahan, protokol, atau situs tertentu.

Opsi pengelompokan yang didukung termasuk Mesin, Nama, Sensor, Tingkat Keparahan, dan Situs.

Melihat detail dan memulihkan pemberitahuan tertentu

1. Pada halaman Pemberitahuan , pilih pemberitahuan di kisi untuk menampilkan detail selengkapnya di panel di sebelah kanan. Panel detail pemberitahuan menyertakan deskripsi pemberitahuan, sumber lalu lintas, dan tujuan, dan lainnya.

   Pilih Tampilkan detail lengkap untuk menelusuri lebih lanjut. Misalnya:

   

2. Halaman detail pemberitahuan menyediakan detail selengkapnya tentang pemberitahuan, dan serangkaian langkah-langkah remediasi pada tab Ambil tindakan . Misalnya:

   

Mengelola tingkat keparahan dan status pemberitahuan

Kami menyarankan agar Anda memperbarui tingkat keparahan pemberitahuan Di Defender untuk IoT di portal Azure segera setelah Anda melakukan triase pemberitahuan sehingga Anda dapat memprioritaskan pemberitahuan paling berisiko sesegera mungkin. Pastikan untuk memperbarui status pemberitahuan setelah Anda mengambil langkah-langkah remediasi sehingga kemajuan direkam.

Anda dapat memperbarui tingkat keparahan dan status untuk satu pemberitahuan atau untuk pilihan pemberitahuan secara massal.

Pelajari peringatan untuk menunjukkan kepada Defender untuk IoT bahwa lalu lintas jaringan yang terdeteksi diotorisasi. Pemberitahuan yang dipelajari tidak dipicu lagi saat berikutnya lalu lintas yang sama terdeteksi di jaringan Anda. Pembelajaran hanya didukung untuk pemberitahuan yang dipilih, dan unlearning hanya didukung dari sensor jaringan OT.

Untuk informasi selengkapnya, lihat Status pemberitahuan dan opsi triaging.

• Untuk mengelola peringatan tunggal:

  1. Di Defender untuk IoT di portal Azure, pilih halaman Pemberitahuan di sebelah kiri, lalu pilih pemberitahuan di kisi.
  2. Baik di panel detail di sebelah kanan, atau di halaman detail peringatan itu sendiri, pilih status baru dan/atau tingkat keparahan.

• Untuk mengelola beberapa peringatan secara massal:

  1. Di Defender untuk IoT di portal Azure, pilih halaman Pemberitahuan di sebelah kiri, lalu pilih pemberitahuan di kisi yang ingin Anda ubah.
  2. Gunakan opsi Ubah status dan/atau Ubah tingkat keparahan di toolbar untuk memperbarui status dan/atau tingkat keparahan untuk semua peringatan yang dipilih.

• Untuk mempelajari satu atau beberapa pemberitahuan:

  Di Defender untuk IoT di portal Azure, pilih halaman Pemberitahuan di sebelah kiri, lalu lakukan salah satu hal berikut ini:

  • Pilih satu atau beberapa pemberitahuan yang dapat dipelajari di kisi lalu pilih Pelajari di toolbar.
  • Pada halaman detail pemberitahuan untuk pemberitahuan yang dapat dipelajari, di tab Ambil Tindakan , pilih Pelajari.

Mengakses data PCAP pemberitahuan

Anda mungkin ingin mengakses file lalu lintas mentah, juga dikenal sebagai file pengambilan paket atau file PCAP sebagai bagian dari penyelidikan Anda. Jika Anda seorang teknisi keamanan SOC atau OT, akses file PCAP langsung dari portal Azure untuk membantu Anda menyelidiki lebih cepat.

Untuk mengakses file lalu lintas mentah untuk pemberitahuan Anda, pilih Unduh PCAP di sudut kiri atas halaman detail pemberitahuan Anda.

Misalnya:

Portal meminta file dari sensor yang mendeteksi peringatan dan mengunduhnya ke penyimpanan Azure Anda.

Mengunduh file PCAP dapat memakan waktu beberapa menit, tergantung pada kualitas konektivitas sensor Anda.

Mengekspor pemberitahuan ke file CSV

Anda mungkin ingin mengekspor pilihan pemberitahuan ke file CSV untuk berbagi dan pelaporan offline.

1. Di Defender untuk IoT di portal Azure, pilih halaman Pemberitahuan di sebelah kiri.

2. Gunakan kotak pencarian dan opsi filter untuk memperlihatkan hanya pemberitahuan yang ingin Anda ekspor.

3. Di toolbar di atas kisi, pilih Ekspor>Konfirmasi.

File dibuat, dan Anda diminta untuk menyimpannya secara lokal.

Langkah berikutnya

Pemberitahuan Pertahanan Microsoft untuk IoT