Melihat dan mengelola pemberitahuan pada sensor OT Anda

  • Artikel

Pemberitahuan Pertahanan Microsoft untuk IoT meningkatkan keamanan dan operasi jaringan Anda dengan detail real time tentang peristiwa yang dicatat di jaringan Anda. Pemberitahuan OT dipicu ketika sensor jaringan OT mendeteksi perubahan atau aktivitas mencurigakan dalam lalu lintas jaringan yang membutuhkan perhatian Anda.

Artikel ini menjelaskan cara melihat pemberitahuan Defender for IoT langsung pada sensor jaringan OT. Anda juga dapat melihat pemberitahuan OT di portal Azure atau konsol manajemen lokal.

Untuk informasi selengkapnya, lihat Pemberitahuan Pertahanan Microsoft untuk IoT.

Prasyarat

  • Untuk memiliki pemberitahuan pada sensor OT Anda, Anda harus memiliki port SPAN yang dikonfigurasi untuk sensor dan perangkat lunak pemantauan Defender for IoT Yang terinstal. Untuk informasi selengkapnya, lihat Menginstal perangkat lunak pemantauan tanpa agen OT.

  • Untuk melihat pemberitahuan pada sensor OT, masuk ke sensor Anda sebagai pengguna Admin, Analis Keamanan, atau Penampil .

  • Untuk mengelola pemberitahuan pada sensor OT, masuk ke sensor Anda sebagai pengguna Admin atau Analis Keamanan. Aktivitas manajemen pemberitahuan termasuk memodifikasi status atau tingkat keparahannya, mempelajari atau membisukan pemberitahuan, mengakses data PCAP, atau menambahkan komentar yang telah ditentukan sebelumnya ke pemberitahuan.

Untuk informasi selengkapnya, lihat Pengguna dan peran lokal untuk pemantauan OT dengan Defender for IoT.

Melihat pemberitahuan pada sensor OT

  1. Masuk ke konsol sensor OT Anda dan pilih halaman Pemberitahuan di sebelah kiri.

    Secara default, detail berikut diperlihatkan dalam kisi:

    Nama Deskripsi
    Keparahan Tingkat keparahan pemberitahuan yang telah ditentukan sebelumnya yang ditetapkan oleh sensor yang dapat Anda ubah sesuai kebutuhan, termasuk: Kritis, Mayor, Minor, Peringatan.
    Nama Judul pemberitahuan
    Mesin Mesin deteksi Defender for IoT yang mendeteksi aktivitas dan memicu pemberitahuan.
    Deteksi terakhir Pertama kali peringatan terdeteksi.

    - Jika status peringatan adalah Baru, dan lalu lintas yang sama terlihat lagi, Waktu deteksi terakhir diperbarui untuk peringatan yang sama.
    - Jika status peringatan Ditutup dan lalu lintas terlihat lagi, Waktu deteksi terakhirtidak diperbarui, dan peringatan baru akan dipicu.
    Keadaan Status peringatan: Baru, Aktif, Tertutup

    Untuk informasi selengkapnya, lihat Status pemberitahuan dan opsi triaging.
    Perangkat Sumber Alamat IP perangkat sumber, MAC, atau nama perangkat.

    1. Untuk melihat detail selengkapnya, pilih tombol Edit Kolom .

      Di panel Edit Kolom di sebelah kanan, pilih Tambahkan Kolom dan salah satu kolom tambahan berikut ini:

      Nama Deskripsi
      Perangkat Tujuan Alamat IP perangkat tujuan.
      Deteksi pertama Pertama kali aktivitas peringatan terdeteksi.
      ID ID peringatan.
      Aktivitas terakhir Terakhir kali pemberitahuan diubah, termasuk pembaruan manual untuk tingkat keparahan atau status, atau perubahan otomatis untuk pembaruan perangkat atau perangkat/de-duplikasi pemberitahuan

Memfilter peringatan yang ditampilkan

Gunakan Kotak pencarian, Rentang waktu, dan Tambahkan opsi filter untuk memfilter peringatan yang ditampilkan menurut parameter tertentu atau membantu menemukan peringatan tertentu.

Misalnya:

Screenshot of an OT sensor Alerts page being filtered by Groups.

Memfilter pemberitahuan menurut Grup menggunakan grup kustom apa pun yang mungkin telah Anda buat di inventarisasi Perangkat atau halaman Peta perangkat.

Peringatan grup ditampilkan

Gunakan menu Kelompokkan menurut di kanan atas untuk menciutkan kisi ke dalam sub-bagian berdasarkan Tingkat Keparahan, Nama, Mesin, atau Status.

Misalnya, saat jumlah total pemberitahuan muncul di atas kisi, Anda mungkin menginginkan informasi yang lebih spesifik tentang perincian jumlah pemberitahuan, seperti jumlah pemberitahuan dengan tingkat keparahan atau status tertentu.

Melihat detail dan memulihkan pemberitahuan tertentu

  1. Masuk ke sensor OT dan pilih Pemberitahuan di menu sebelah kiri.

  2. Pilih pemberitahuan di kisi untuk menampilkan detail selengkapnya di panel di sebelah kanan. Panel detail pemberitahuan menyertakan deskripsi pemberitahuan, sumber lalu lintas, dan tujuan, dan lainnya. Pilih Tampilkan detail lengkap untuk menelusuri lebih lanjut. Misalnya:

    Screenshot of an alert selected from the Alerts page on an OT sensor.

  3. Halaman detail pemberitahuan menyediakan detail selengkapnya tentang pemberitahuan, dan serangkaian langkah-langkah remediasi pada tab Ambil tindakan .

    Gunakan tab berikut untuk mendapatkan wawasan kontekstual lainnya:

    • Tampilan Peta. Lihat perangkat sumber dan tujuan dalam tampilan peta dengan perangkat lain yang tersambung ke sensor Anda. Misalnya:

      Screenshot of the Map View tab on an alert details page.

    • Garis Waktu Peristiwa. Lihat peristiwa bersama dengan aktivitas terbaru lainnya di perangkat terkait. Opsi filter untuk mengkustomisasi data yang ditampilkan. Misalnya:

      Screenshot of an event timeline on an alert details page.

Mengelola status pemberitahuan dan pemberitahuan triase

Pastikan untuk memperbarui status pemberitahuan setelah Anda mengambil langkah-langkah remediasi sehingga kemajuan direkam. Anda dapat memperbarui status untuk satu pemberitahuan atau untuk pilihan pemberitahuan secara massal.

Pelajari peringatan untuk menunjukkan kepada Defender untuk IoT bahwa lalu lintas jaringan yang terdeteksi diotorisasi. Peringatan yang dipelajari tidak akan dipicu lagi ketika lalu lintas yang sama terdeteksi di jaringan Anda. Matikan suara pemberitahuan saat pembelajaran tidak tersedia dan Anda ingin mengabaikan skenario tertentu di jaringan Anda.

Untuk informasi selengkapnya, lihat Status pemberitahuan dan opsi triaging.

  • Untuk mengelola status pemberitahuan:

    1. Masuk ke konsol sensor OT Anda dan pilih halaman Pemberitahuan di sebelah kiri.

    2. Pilih satu atau beberapa pemberitahuan di kisi yang statusnya ingin Anda perbarui.

    3. Gunakan tombol Ubah Status toolbar atau opsi Status di panel detail di sebelah kanan untuk memperbarui status pemberitahuan.

      Opsi Status juga tersedia di halaman detail pemberitahuan.

  • Untuk mempelajari satu atau beberapa pemberitahuan:

    Masuk ke konsol sensor OT Anda dan pilih halaman Pemberitahuan di sebelah kiri, lalu lakukan salah satu hal berikut ini:

    • Pilih satu atau beberapa pemberitahuan yang dapat dipelajari di kisi lalu pilih Pelajari di toolbar.
    • Pada halaman detail peringatan, di tab Ambil Tindakan, pilih Pelajari.

  • Untuk membisukan peringatan:

    1. Masuk ke konsol sensor OT Anda dan pilih halaman Pemberitahuan di sebelah kiri.
    2. Temukan pemberitahuan yang ingin Anda matikan suaranya dan buka halaman detail pemberitahuannya.
    3. Pada tab Ambil tindakan , alihkan pada opsi Bisukan pemberitahuan .

  • Untuk membuka atau menyalakan suara pemberitahuan:

    1. Masuk ke konsol sensor OT Anda dan pilih halaman Pemberitahuan di sebelah kiri.
    2. Temukan pemberitahuan yang telah Anda pelajari atau matikan suaranya dan buka halaman detail pemberitahuannya.
    3. Pada tab Ambil tindakan , matikan opsi Pelajari pemberitahuan atau Bisukan pemberitahuan .

    Setelah Anda membuka atau menyalakan suara pemberitahuan, pemberitahuan dipicu kembali setiap kali sensor merasakan kombinasi lalu lintas yang dipilih.

Mengakses data PCAP pemberitahuan

Anda mungkin ingin mengakses file lalu lintas mentah, juga dikenal sebagai file pengambilan paket atau file PCAP sebagai bagian dari penyelidikan Anda.

Untuk mengakses file lalu lintas mentah untuk pemberitahuan Anda, pilih Unduh PCAP dari sudut kiri atas halaman detail pemberitahuan Anda:

Misalnya:

Screenshot of the Download PCAP options on the OT sensor.

File PCAP diunduh dan browser Anda meminta Anda untuk membuka atau menyimpannya secara lokal.

Mengekspor pemberitahuan ke CSV atau PDF

Anda mungkin ingin mengekspor pilihan pemberitahuan ke file CSV atau PDF untuk berbagi dan pelaporan offline.

  • Ekspor pemberitahuan ke file CSV dari halaman Pemberitahuan utama. Ekspor pemberitahuan satu per satu atau secara massal.
  • Ekspor pemberitahuan ke file PDF satu per satu, baik dari halaman Pemberitahuan utama atau halaman detail pemberitahuan.

Untuk mengekspor pemberitahuan ke file CSV:

  1. Masuk ke konsol sensor OT Anda dan pilih halaman Pemberitahuan di sebelah kiri.

  2. Gunakan kotak pencarian dan opsi filter untuk memperlihatkan hanya pemberitahuan yang ingin Anda ekspor.

  3. Di toolbar di atas kisi, pilih Ekspor ke CSV.

File dibuat, dan Anda diminta untuk membuka atau menyimpannya secara lokal.

Untuk mengekspor pemberitahuan ke file PDF:

Masuk ke konsol sensor OT Anda dan pilih halaman Pemberitahuan di sebelah kiri, lalu lakukan salah satu hal berikut ini:

  • Pada halaman Pemberitahuan , pilih pemberitahuan lalu pilih Ekspor ke PDF dari toolbar di atas kisi.
  • Pada halaman detail pemberitahuan, pilih Ekspor ke PDF.

File dibuat, dan Anda diminta untuk menyimpannya secara lokal.

Menambahkan komentar pemberitahuan

Komentar pemberitahuan membantu Anda mempercepat proses investigasi dan remediasi dengan membuat komunikasi antara anggota tim dan merekam data lebih efisien.

Jika admin Anda telah membuat komentar kustom untuk ditambahkan tim Anda ke pemberitahuan, tambahkan komentar dari bagian Komentar di halaman detail pemberitahuan.

  1. Masuk ke konsol sensor OT Anda dan pilih halaman Pemberitahuan di sebelah kiri.

  2. Temukan pemberitahuan tempat Anda ingin menambahkan komentar dan membuka halaman detail pemberitahuan.

  3. Dari daftar Pilih komentar, pilih komentar yang ingin Anda tambahkan, lalu pilih Tambahkan. Misalnya:

    Screenshot of the Comments section on an alert details page on the sensor.

Untuk informasi selengkapnya, lihat Mempercepat alur kerja pemberitahuan OT.

Langkah berikutnya

Retensi data di seluruh Pertahanan Microsoft untuk IoT