Tutorial: Menyelidiki dan mendeteksi ancaman untuk perangkat IoT

Integrasi antara Pertahanan Microsoft untuk IoT dan Microsoft Sentinel memungkinkan tim SOC mendeteksi dan merespons ancaman keamanan di seluruh jaringan Anda secara efisien dan efektif. Tingkatkan kemampuan keamanan Anda dengan solusi Pertahanan Microsoft untuk IoT, serangkaian konten yang dibundel yang dikonfigurasi khusus untuk data Defender for IoT yang mencakup aturan analitik, buku kerja, dan playbook.

Di tutorial ini, Anda akan:

• Menginstal solusi Pertahanan Microsoft untuk IoT di ruang kerja Microsoft Azure Sentinel Anda
• Pelajari cara menyelidiki pemberitahuan Defender for IoT dalam insiden Microsoft Azure Sentinel
• Pelajari tentang aturan analitik, buku kerja, dan playbook yang disebarkan ke ruang kerja Microsoft Azure Sentinel Anda dengan solusi Pertahanan Microsoft untuk IoT

Penting

Pengalaman hub konten Microsoft Sentinel saat ini dalam PRATINJAU, seperti solusi Pertahanan Microsoft untuk IoT . Lihat Ketentuan Penggunaan Tambahan untuk Pratinjau Microsoft Azure untuk ketentuan hukum tambahan yang berlaku untuk fitur Azure dalam versi beta, pratinjau, atau belum dirilis ke ketersediaan umum.

Prasyarat

Sebelum memulai, pastikan Anda memiliki:

• Izin Baca dan Tulis di ruang kerja Microsoft Azure Sentinel Anda. Untuk informasi selengkapnya, lihat Izin di Microsoft Azure Sentinel.

• Tutorial Selesai: Koneksi Pertahanan Microsoft untuk IoT dengan Microsoft Sentinel.

Memasang solusi Defender untuk IoT

Solusi Microsoft Sentinel dapat melakukan onboard konten keamanan Microsoft Sentinel untuk konektor data tertentu dengan menggunakan satu proses.

Solusi Pertahanan Microsoft untuk IoT mengintegrasikan data Defender for IoT dengan kemampuan orkestrasi, otomatisasi, dan respons keamanan Microsoft Azure Sentinel (SOAR) dengan menyediakan playbook yang siap pakai dan dioptimalkan untuk kemampuan respons dan pencegahan otomatis.

Untuk menginstal solusi:

1. Di Microsoft Azure Sentinel, di bawah Manajemen konten, pilih Hub konten lalu temukan solusi Pertahanan Microsoft untuk IoT.

2. Di kanan bawah, pilih Tampilkan detail, lalu Buat. Pilih langganan, grup sumber daya, dan ruang kerja tempat Anda ingin memasang solusi, lalu tinjau konten keamanan terkait yang akan disebarkan.

3. Setelah selesai, pilih Tinjau + Buat untuk memasang solusi.

Untuk informasi selengkapnya, lihat Tentang konten dan solusi Microsoft Sentinel dan Temukan dan terapkan konten dan solusi di luar kotak secara terpusat.

Mendeteksi ancaman di luar kotak dengan data Defender untuk IoT

Konektor data Pertahanan Microsoft untuk IoT menyertakan aturan Keamanan Microsoft default bernama Buat insiden berdasarkan pemberitahuan Azure Defender untuk IOT, yang secara otomatis membuat insiden baru untuk pemberitahuan Defender for IoT baru yang terdeteksi.

Solusi Pertahanan Microsoft untuk IoT mencakup serangkaian aturan analitik siap pakai yang lebih rinci, yang dibuat khusus untuk data Defender for IoT dan menyempurnakan insiden yang dibuat di Microsoft Sentinel untuk pemberitahuan yang relevan.

Untuk menggunakan Defender out-of-the-box untuk pemberitahuan IoT:

1. Pada halaman Microsoft Sentinel Analytics , cari dan nonaktifkan aturan Buat insiden berdasarkan pemberitahuan Azure Defender untuk IOT. Langkah ini mencegah insiden duplikat dibuat di Microsoft Azure Sentinel untuk pemberitahuan yang sama.

2. Cari dan aktifkan salah satu aturan analitik out-of-the-box berikut, yang diinstal dengan solusi Pertahanan Microsoft untuk IoT :

   Nama Aturan	Deskripsi
   Kode fungsi ilegal untuk lalu lintas ICS /SCADA	Kode fungsi ilegal dalam kontrol pengawasan dan peralatan akuisisi data (SCADA) dapat menunjukkan salah satu hal berikut: - Konfigurasi aplikasi yang tidak tepat, seperti karena pembaruan firmware atau penginstalan ulang. - Aktivitas berbahaya. Misalnya, ancaman cyber yang mencoba menggunakan nilai ilegal dalam protokol untuk mengeksploitasi kerentanan dalam pengontrol logika yang dapat diprogram (PLC), seperti luapan buffer.
   Pembaruan firmware	Pembaruan firmware yang tidak sah dapat mengindikasikan aktivitas berbahaya di jaringan, seperti ancaman cyber yang mencoba memanipulasi firmware PLC untuk mengompromikan fungsi PLC.
   Perubahan PLC yang tidak sah	Perubahan tidak sah pada kode logika tangga PLC mungkin salah satu hal berikut: - Indikasi fungsionalitas baru di PLC. - Konfigurasi aplikasi yang tidak tepat, seperti karena pembaruan firmware atau penginstalan ulang. Aktivitas berbahaya di jaringan, seperti ancaman cyber yang mencoba memanipulasi pemrograman PLC untuk mengganggu fungsi PLC.
   Keadaan kunci tidak aman PLC	Mode baru mungkin menunjukkan bahwa PLC tidak aman. Meninggalkan PLC dalam mode operasi yang tidak aman memungkinkan musuh untuk melakukan aktivitas berbahaya di atasnya, seperti unduhan program. Jika PLC terganggu, perangkat dan proses yang berinteraksi dengannya mungkin akan terpengaruh. yang dapat mempengaruhi keamanan dan keselamatan sistem secara keseluruhan.
   Penghentian PLC	Perintah berhenti PLC dapat menunjukkan konfigurasi aplikasi yang tidak tepat yang telah menyebabkan PLC berhenti berfungsi, atau aktivitas berbahaya di jaringan. Misalnya, ancaman cyber yang mencoba memanipulasi pemrograman PLC untuk mempengaruhi fungsionalitas jaringan.
   Malware mencurigakan ditemukan di jaringan	Malware mencurigakan yang ditemukan di jaringan menunjukkan bahwa malware yang mencurigakan mencoba untuk mengganggu produksi.
   Beberapa pemindaian dalam jaringan	Beberapa pemindaian pada jaringan dapat menjadi indikasi salah satu hal berikut: - Perangkat baru di jaringan - Fungsionalitas baru perangkat yang ada - Kesalahan konfigurasi aplikasi, seperti karena pembaruan firmware atau penginstalan ulang - Aktivitas berbahaya di jaringan untuk pengintaian
   Konektivitas internet	Perangkat OT yang berkomunikasi dengan alamat internet dapat menunjukkan konfigurasi aplikasi yang tidak tepat, seperti perangkat lunak anti-virus yang mencoba mengunduh pembaruan dari server eksternal, atau aktivitas berbahaya di jaringan.
   Perangkat yang tidak sah di jaringan SCADA	Perangkat yang tidak sah di jaringan mungkin merupakan perangkat baru yang sah yang baru-baru ini dipasang di jaringan, atau indikasi aktivitas yang tidak sah atau bahkan berbahaya di jaringan, seperti ancaman cyber yang mencoba memanipulasi jaringan SCADA.
   Konfigurasi DHCP yang tidak sah di jaringan SCADA	Konfigurasi DHCP yang tidak sah pada jaringan dapat menunjukkan perangkat baru yang tidak sah yang beroperasi di jaringan. Ini mungkin merupakan perangkat baru yang sah dan baru-baru ini disebarkan di jaringan, atau indikasi aktivitas yang tidak sah atau bahkan berbahaya di jaringan, seperti ancaman cyber yang mencoba memanipulasi jaringan SCADA.
   Upaya login berlebihan	Upaya login yang berlebihan dapat menandakan konfigurasi layanan yang tidak tepat, kesalahan manusia, atau aktivitas berbahaya di jaringan, seperti ancaman cyber yang mencoba memanipulasi jaringan SCADA.
   Bandwidth tinggi dalam jaringan	Bandwidth yang luar biasa tinggi mungkin merupakan indikasi dari layanan / proses baru di jaringan, seperti cadangan, atau indikasi aktivitas berbahaya di jaringan, seperti ancaman cyber yang mencoba memanipulasi jaringan SCADA.
   Penolakan Layanan	Peringatan ini mendeteksi serangan yang akan mencegah penggunaan atau pengoperasian sistem DCS yang tepat.
   Akses jarak jauh yang tidak sah ke jaringan	Akses jarak jauh yang tidak sah ke jaringan dapat membahayakan perangkat target. Ini berarti bahwa jika perangkat lain di jaringan terganggu, perangkat target dapat diakses dari jarak jauh, meningkatkan permukaan serangan.
   Tidak ada lalu lintas pada Sensor Yang Terdeteksi	Sensor yang tidak lagi mendeteksi lalu lintas jaringan menunjukkan bahwa sistem mungkin tidak aman.

Menyelidiki Defender untuk insiden IoT

Setelah mengonfigurasi data Defender for IoT untuk memicu insiden baru di Microsoft Azure Sentinel, mulai selidiki insiden tersebut di Microsoft Azure Sentinel seperti yang Anda lakukan pada insiden lainnya.

Untuk menyelidiki insiden Pertahanan Microsoft untuk IoT:

1. Di Microsoft Azure Sentinel, buka halaman Insiden .

2. Di atas kisi insiden, pilih filter Nama produk dan kosongkan opsi Pilih semua . Kemudian, pilih Pertahanan Microsoft untuk IoT untuk melihat hanya insiden yang dipicu oleh pemberitahuan Defender for IoT. Misalnya:

   

3. Pilih insiden tertentu untuk memulai penyelidikan Anda.

   Di panel detail insiden di sebelah kanan, lihat detail seperti tingkat keparahan insiden, ringkasan entitas yang terlibat, taktik atau teknik MITRE ATT&CK yang dipetakan, dan banyak lagi. Misalnya:

   

4. Pilih Tampilkan detail lengkap untuk membuka halaman detail insiden, tempat Anda dapat menelusuri lebih detail. Misalnya:

   • Pahami dampak bisnis insiden dan lokasi fisik menggunakan detail, seperti situs perangkat IoT, zona, nama sensor, dan kepentingan perangkat.

   • Pelajari tentang langkah-langkah remediasi yang direkomendasikan dengan memilih pemberitahuan di garis waktu insiden dan melihat area langkah-langkah Remediasi.

   • Pilih entitas perangkat IoT dari daftar Entitas untuk membuka halaman entitas perangkatnya. Untuk informasi selengkapnya, lihat Menyelidiki lebih lanjut dengan entitas perangkat IoT.

Untuk informasi selengkapnya, lihat Menyelidiki insiden dengan Microsoft Azure Sentinel.

Tip

Untuk menyelidiki insiden di Defender for IoT, pilih tautan Selidiki di Pertahanan Microsoft untuk IoT di bagian atas panel detail insiden di halaman Insiden .

Selidiki lebih lanjut dengan entitas perangkat IoT

Saat Anda menyelidiki insiden di Microsoft Azure Sentinel dan membuka panel detail insiden di sebelah kanan, pilih entitas perangkat IoT dari daftar Entitas untuk melihat detail selengkapnya tentang entitas yang dipilih. Identifikasi perangkat IoT dengan ikon perangkat IoT:

Jika Anda tidak segera melihat entitas perangkat IoT Anda, pilih Tampilkan detail lengkap untuk membuka halaman insiden lengkap, lalu periksa tab Entitas . Pilih entitas perangkat IoT untuk melihat lebih banyak data entitas, seperti detail perangkat dasar, informasi kontak pemilik, dan garis waktu peristiwa yang terjadi di perangkat.

Untuk menelusuri lebih jauh, pilih tautan entitas perangkat IoT dan buka halaman detail entitas perangkat, atau cari perangkat yang rentan di halaman perilaku Entitas Microsoft Azure Sentinel. Misalnya, lihat lima perangkat IoT teratas dengan jumlah pemberitahuan tertinggi, atau cari perangkat berdasarkan alamat IP atau nama perangkat:

Untuk informasi selengkapnya, lihat Menyelidiki entitas dengan halaman entitas di Microsoft Azure Sentinel dan Menyelidiki insiden dengan Microsoft Sentinel.

Menyelidiki pemberitahuan di Defender untuk IoT

Untuk membuka pemberitahuan di Defender for IoT untuk penyelidikan lebih lanjut, termasuk kemampuan untuk mengakses data PCAP pemberitahuan, buka halaman detail insiden Anda dan pilih Selidiki di Pertahanan Microsoft untuk IoT. Misalnya:

Halaman detail pemberitahuan Defender untuk IoT terbuka untuk pemberitahuan terkait. Untuk informasi selengkapnya, lihat Menyelidiki dan merespons pemberitahuan jaringan OT.

Memvisualisasikan dan memantau data Defender for IoT

Untuk memvisualisasikan dan memantau data Defender for IoT Anda, gunakan buku kerja yang disebarkan ke ruang kerja Microsoft Azure Sentinel Anda sebagai bagian dari solusi Pertahanan Microsoft untuk IoT .

Buku kerja Defenders for IoT menyediakan investigasi terpandu untuk entitas OT berdasarkan insiden terbuka, pemberitahuan pemberitahuan, dan aktivitas untuk aset OT. Mereka juga memberikan pengalaman berburu di seluruh kerangka kerja MITRE ATT&CK® untuk ICS, dan dirancang untuk memungkinkan analis, insinyur keamanan, dan MSP untuk mendapatkan kesadaran situasional tentang postur keamanan OT.

Menampilkan buku kerja di Microsoft Sentinel pada tab Buku Kerja > manajemen ancaman > Buku kerja saya. Untuk informasi selengkapnya, lihat Memvisualisasikan data yang dikumpulkan.

Tabel berikut ini menjelaskan buku kerja yang disertakan dalam solusi Pertahanan Microsoft untuk IoT :

Workbook	Deskripsi	Log
Ringkasan	Dasbor menampilkan ringkasan metrik utama untuk inventaris perangkat, deteksi ancaman, dan kerentanan.	Menggunakan data dari Azure Resource Graph (ARG)
Inventaris Perangkat	Menampilkan data seperti: Nama perangkat OT, jenis, alamat IP, alamat Mac, Model, OS, Nomor Seri, Vendor, Protokol, Pemberitahuan terbuka, dan CVE dan rekomendasi per perangkat. Dapat difilter menurut situs, zona, dan sensor.	Menggunakan data dari Azure Resource Graph (ARG)
Insiden	Menampilkan data seperti: - Metrik Insiden, Insiden Paling Atas, Insiden dari waktu ke waktu, Insiden menurut Protokol, Insiden berdasarkan Jenis Perangkat, Insiden oleh Vendor, dan Insiden berdasarkan alamat IP. - Insiden berdasarkan Tingkat Keparahan, Insiden Berarti waktu untuk merespons, Insiden Berarti waktu untuk menyelesaikan dan Insiden alasan dekat.	Menggunakan data dari log berikut: SecurityAlert
Pemberitahuan	Menampilkan data seperti: Metrik Pemberitahuan, Pemberitahuan Teratas, Pemberitahuan dari waktu ke waktu, Pemberitahuan berdasarkan Tingkat Keparahan, Pemberitahuan berdasarkan Mesin, Pemberitahuan berdasarkan Jenis Perangkat, Pemberitahuan oleh Vendor dan Pemberitahuan berdasarkan alamat IP.	Menggunakan data dari Azure Resource Graph (ARG)
MITRE ATT&CK® untuk ICS	Menampilkan data seperti: Jumlah Taktik, Detail Taktik, Taktik dari waktu ke waktu, Hitungan Teknik.	Menggunakan data dari log berikut: SecurityAlert
Kerentanan	Menampilkan kerentanan dan CVE untuk perangkat yang rentan. Dapat difilter berdasarkan situs perangkat dan tingkat keparahan CVE.	Menggunakan data dari Azure Resource Graph (ARG)

Otomatiskan respons ke peringatan Defender for IoT

Playbook adalah kumpulan tindakan remediasi otomatis yang dapat dijalankan dari Microsoft Sentinel sebagai rutinitas. Playbook dapat membantu mengotomatiskan dan mengatur respons ancaman Anda; ini dapat dijalankan secara manual atau diatur untuk berjalan secara otomatis sebagai respons terhadap peringatan atau insiden tertentu, saat dipicu oleh aturan analitik atau aturan otomatisasi masing-masing.

Solusi Pertahanan Microsoft untuk IoT mencakup playbook siap pakai yang menyediakan fungsionalitas berikut:

• Menutup insiden secara otomatis
• Mengirim pemberitahuan email menurut jalur produksi
• Membuat tiket ServiceNow baru
• Memperbarui status pemberitahuan di Defender untuk IoT
• Mengotomatiskan alur kerja untuk insiden dengan CVE aktif
• Mengirim email ke pemilik perangkat IoT/OT
• Insiden triase yang melibatkan perangkat yang sangat penting

Sebelum menggunakan playbook di luar kotak, pastikan untuk melakukan langkah-langkah prasyarat seperti yang tercantum di bawah ini.

Untuk informasi selengkapnya, lihat:

• Tutorial: Menggunakan playbook dengan aturan otomatisasi di Microsoft Azure Sentinel
• Mengotomatiskan respons ancaman dengan playbook di Microsoft Sentinel

Prasyarat playbook

Sebelum menggunakan playbook di luar kotak, pastikan Anda melakukan prasyarat berikut, sesuai kebutuhan untuk setiap playbook:

• Memastikan koneksi playbook yang valid
• Menambahkan peran yang diperlukan ke langganan Anda
• Koneksi insiden Anda, aturan analitik yang relevan, dan playbook

Memastikan koneksi playbook yang valid

Prosedur ini membantu memastikan bahwa setiap langkah koneksi di playbook Anda memiliki koneksi yang valid, dan diperlukan untuk semua playbook solusi.

Untuk memastikan koneksi Anda yang valid:

1. Di Microsoft Azure Sentinel, buka playbook dari playbook Automation>Active.

2. Pilih playbook untuk membukanya sebagai aplikasi Logika.

3. Dengan playbook dibuka sebagai Aplikasi logika, pilih Perancang aplikasi logika. Perluas setiap langkah di aplikasi logika untuk memeriksa koneksi yang tidak valid, yang ditunjukkan oleh segitiga peringatan oranye. Contohnya:

   

   Penting

   Pastikan untuk memperluas setiap langkah di aplikasi logika. Koneksi yang tidak valid mungkin bersembunyi di dalam langkah lain.

4. Pilih Simpan.

Menambahkan peran yang diperlukan ke langganan Anda

Prosedur ini menjelaskan cara menambahkan peran yang diperlukan ke langganan Azure tempat playbook diinstal, dan hanya diperlukan untuk playbook berikut:

• AD4IoT-AutoAlertStatusSync
• AD4IoT-CVEAutoWorkflow
• AD4Iot-SendemailtoIotOwner
• AD4IoT-AutoTriageIncident

Peran yang diperlukan berbeda per playbook, tetapi langkah-langkahnya tetap sama.

Untuk menambahkan peran yang diperlukan ke langganan Anda:

1. Di Microsoft Azure Sentinel, buka playbook dari playbook Automation>Active.

2. Pilih playbook untuk membukanya sebagai aplikasi Logika.

3. Dengan playbook dibuka sebagai Aplikasi logika, pilih Sistem > Identitas yang ditetapkan, kemudian di area Izin, pilih tombol Penetapan peran Azure.

4. Di halaman Penetapan peran Azure, pilih Tambahkan penetapan peran.

5. Di panel Tambahkan penetapan peran:

   1. Tentukan Cakupan sebagai Langganan.

   2. Dari menu dropdown, pilih Langganan tempat playbook Anda diinstal.

   3. Dari menu dropdown Peran , pilih salah satu peran berikut, tergantung pada playbook yang sedang Anda kerjakan:

      Nama playbook	Role
      AD4IoT-AutoAlertStatusSync	Admin Keamanan
      AD4IoT-CVEAutoWorkflow	Pembaca
      AD4Iot-SendemailtoIotOwner	Pembaca
      AD4IoT-AutoTriageIncident	Pembaca

6. Jika sudah selesai, pilih Simpan.

Koneksi insiden Anda, aturan analitik yang relevan, dan playbook

Prosedur ini menjelaskan cara mengonfigurasi aturan analitik Microsoft Sentinel untuk menjalankan playbook Anda secara otomatis berdasarkan pemicu insiden, dan diperlukan untuk semua playbook solusi.

Untuk menambahkan aturan analitik Anda:

1. Di Microsoft Azure Sentinel, buka aturan Automation>Automation.

2. Untuk membuat aturan otomatisasi baru, pilih Buat>aturan Automation.

3. Di bidang Pemicu, pilih salah satu pemicu berikut, bergantung pada playbook yang sedang Anda kerjakan:

   • Playbook AD4IoT-AutoAlertStatusSync: Pilih pemicu Saat insiden diperbarui
   • Semua playbook solusi lainnya: Pilih pemicu Saat insiden dibuat

4. Di area Kondisi, pilih Jika > Nama aturan analitik > Berisi, kemudian pilih aturan analitik tertentu yang relevan untuk Defender untuk IoT di organisasi Anda.

   Misalnya:

   

   Anda mungkin menggunakan aturan analitik yang tidak biasa, atau Anda mungkin telah memodifikasi konten yang tidak biasa, atau membuat konten Anda sendiri. Untuk informasi selengkapnya, lihat Mendeteksi ancaman yang tidak biasa dengan data Defender untuk IoT.

5. Di area Tindakan, pilih Jalankan nama playbook playbook>.

6. Pilih Jalankan.

Tip

Anda juga dapat menjalankan playbook sesuai permintaan secara manual. Ini dapat berguna dalam situasi di mana Anda ingin lebih mengontrol proses orkestrasi dan respons. Untuk informasi selengkapnya, lihat Menjalankan playbook sesuai permintaan.

Menutup insiden secara otomatis

Nama playbook: AD4IoT-AutoCloseIncidents

Dalam beberapa kasus, aktivitas pemeliharaan menghasilkan peringatan di Microsoft Sentinel yang dapat mengalihkan perhatian tim SOC dari menangani masalah sebenarnya. Playbook ini secara otomatis menutup insiden yang dibuat dari peringatan tersebut selama periode pemeliharaan tertentu, secara eksplisit menguraikan bidang entitas perangkat IoT.

Untuk menggunakan playbook ini:

• Masukkan periode waktu yang relevan ketika pemeliharaan diharapkan terjadi, dan alamat IP dari setiap aset yang relevan, seperti yang tercantum dalam file Excel.
• Buat daftar pengawasan yang meliputi semua alamat IP aset tempat peringatan harus ditangani secara otomatis.

Mengirim pemberitahuan email menurut jalur produksi

Nama playbook: AD4IoT-MailByProductionLine

Buku pedoman ini mengirimkan surat untuk memberi tahu pemangku kepentingan tertentu tentang peringatan dan peristiwa yang terjadi di lingkungan Anda.

Misalnya, ketika Anda memiliki tim keamanan tertentu yang ditugaskan ke lini produk atau lokasi geografis tertentu, Anda akan ingin tim tersebut diberi tahu tentang peringatan yang relevan dengan tanggung jawab mereka.

Untuk menggunakan playbook ini, buat daftar pantauan yang memetakan antara nama sensor dan alamat surat masing-masing pemangku kepentingan yang ingin Anda peringatkan.

Buat tiket baru di ServiceNow

Nama playbook: AD4IoT-NewAssetServiceNowTicket

Biasanya, entitas yang berwenang untuk memprogram PLC adalah Stasiun Kerja Teknik. Oleh karena itu, penyerang mungkin membuat Stasiun Kerja Teknik baru untuk membuat pemrograman PLC berbahaya.

Playbook ini membuka tiket di SerivceNow setiap kali Stasiun kerja Teknik baru terdeteksi, secara eksplisit menguraikan bidang entitas perangkat IoT.

Memperbarui status peringatan di Defender untuk IoT

Nama playbook: AD4IoT-AutoAlertStatusSync

Playbook ini memperbarui status peringatan di Defender untuk IoT setiap kali peringatan terkait di Microsoft Sentinel memiliki pembaruan Status.

Sinkronisasi ini mengambil alih status apa pun yang ditentukan di Defender untuk IoT, di portal Azure atau konsol sensor, sehingga status peringatan cocok dengan insiden terkait.

Mengotomatiskan alur kerja untuk insiden dengan CVE aktif

Nama playbook: AD4IoT-CVEAutoWorkflow

Playbook ini menambahkan CVE aktif ke dalam komentar insiden perangkat yang terpengaruh. Triase otomatis dilakukan jika CVE sangat penting, dan pemberitahuan email dikirim ke pemilik perangkat, seperti yang didefinisikan pada tingkat situs di Defender untuk IoT.

Untuk menambahkan pemilik perangkat, edit pemilik situs di halaman Situs dan sensor di Defender untuk IoT. Untuk informasi selengkapnya, lihat Opsi manajemen situs dari portal Azure.

Mengirim email ke pemilik perangkat IoT/OT

Nama playbook: AD4IoT-SendEmailtoIoTOwner

Playbook ini mengirimkan email dengan detail insiden kepada pemilik perangkat seperti yang didefinisikan pada tingkat situs di Defender for IoT, sehingga mereka dapat mulai menyelidiki, bahkan merespons langsung dari email otomatis. Opsi respons meliputi:

• Ya, ini diharapkan. Pilih opsi ini untuk menutup insiden.

• Tidak, ini TIDAK diharapkan. Pilih opsi ini untuk menjaga insiden tetap aktif, meningkatkan tingkat keparahan, dan menambahkan tag konfirmasi ke insiden.

Insiden diperbarui secara otomatis berdasarkan respons yang dipilih oleh pemilik perangkat.

Untuk menambahkan pemilik perangkat, edit pemilik situs di halaman Situs dan sensor di Defender untuk IoT. Untuk informasi selengkapnya, lihat Opsi manajemen situs dari portal Azure.

Insiden triase yang melibatkan perangkat yang sangat penting

Nama playbook: AD4IoT-AutoTriageIncident

Playbook ini memperbarui tingkat keparahan insiden sesuai dengan tingkat kepentingan perangkat yang terlibat.

Langkah berikutnya

Visualkan data

Membuat aturan analitik kustom

Menyelidiki insiden

Menyelidiki entitas

Menggunakan playbook dengan aturan otomatisasi

Untuk informasi selengkapnya, lihat blog kami: Mempertahankan Infrastruktur Penting dengan Microsoft Sentinel: Solusi Pemantauan Ancaman IT/OT