Avvisi di Microsoft Defender per IoT
Gli avvisi di Microsoft Defender per IoT migliorano la sicurezza e le operazioni di rete con dettagli in tempo reale sugli eventi registrati nella rete. Gli avvisi vengono attivati quando i sensori di rete OT rilevano modifiche o attività sospette nel traffico di rete che richiede attenzione.
Ad esempio:
Usare i dettagli visualizzati nella pagina Avvisi o in una pagina dei dettagli dell'avviso per analizzare e intervenire per correggere eventuali rischi per la rete, dai dispositivi correlati o dal processo di rete che ha attivato l'avviso.
Suggerimento
Usare i passaggi di correzione degli avvisi per aiutare i team SOC a comprendere possibili problemi e soluzioni. È consigliabile esaminare i passaggi di correzione consigliati prima di aggiornare lo stato di un avviso o intervenire sul dispositivo o sulla rete.
Opzioni di gestione degli avvisi
Gli avvisi di Defender per IoT sono disponibili nelle console di portale di Azure, sensori di rete OT e nella console di gestione locale. Con la sicurezza IoT aziendale, gli avvisi sono disponibili anche per i dispositivi IoT aziendali rilevati da Defender per endpoint in Microsoft 365 Defender.
Anche se è possibile visualizzare i dettagli degli avvisi, analizzare il contesto degli avvisi e valutare e gestire gli stati degli avvisi da una di queste posizioni, ogni località offre anche azioni di avviso aggiuntive. La tabella seguente descrive gli avvisi supportati per ogni posizione e le azioni aggiuntive disponibili solo da tale posizione:
| Titolo | Descrizione | Azioni di avviso aggiuntive |
|---|---|---|
| Azure portal | Avvisi da tutti i sensori OT connessi al cloud | - Visualizzare tecniche e tattiche MITRE ATT&CK correlate - Usare cartelle di lavoro predefinite per la visibilità degli avvisi con priorità elevata - Visualizzare gli avvisi da Microsoft Sentinel ed eseguire indagini più approfondite con playbook e cartelle di lavoro di Microsoft Sentinel. |
| Console del sensore di rete OT | Avvisi generati dal sensore OT | - Visualizzare l'origine e la destinazione dell'avviso nella mappa del dispositivo - Visualizzare gli eventi correlati nella sequenza temporale degli eventi - Inoltrare gli avvisi direttamente ai fornitori di partner - Creare commenti per gli avvisi - Creare regole di avviso personalizzate - Avvisi di annullamento della notifica |
| Console di gestione locale | Avvisi generati dai sensori OT connessi | - Inoltrare gli avvisi direttamente ai fornitori di partner - Creare regole di esclusione degli avvisi |
| Microsoft 365 Defender | Avvisi generati per i dispositivi IoT aziendali rilevati da Microsoft Defender per endpoint | - Gestire i dati degli avvisi insieme ad altri dati di Microsoft 365 Defender, inclusa la ricerca avanzata |
Suggerimento
Tutti gli avvisi generati da sensori diversi nella stessa zona entro un intervallo di tempo di 10 minuti, con lo stesso tipo, stato, protocollo di avviso e dispositivi associati, vengono elencati come un singolo avviso unificato.
- L'intervallo di tempo di 10 minuti si basa sulla prima volta del rilevamento dell'avviso.
- Il singolo avviso unificato elenca tutti i sensori che hanno rilevato l'avviso.
- Gli avvisi vengono combinati in base al protocollo di avviso e non al protocollo del dispositivo.
Per altre informazioni, vedi:
- Conservazione dei dati degli avvisi
- Accelerazione dei flussi di lavoro degli avvisi OT
- Opzioni di valutazione e stato degli avvisi
- Pianificare siti e zone OT
Le opzioni di avviso variano anche a seconda della posizione e del ruolo utente. Per altre informazioni, vedere Ruoli utente e autorizzazioni di Azure e utenti e ruoli locali.
Avvisi incentrati in ambienti OT/IT
Le organizzazioni in cui i sensori vengono distribuiti tra reti OT e IT gestiscono molti avvisi, correlati sia al traffico OT che al traffico IT. La quantità di avvisi, alcuni dei quali irrilevanti, possono causare affaticamento degli avvisi e influire sulle prestazioni complessive. Per risolvere questi problemi, i criteri di rilevamento di Defender per IoT indirizzano i diversi motori di avviso per concentrarsi sugli avvisi con impatto aziendale e pertinenza per una rete OT e ridurre gli avvisi correlati all'IT a basso valore. Ad esempio, l'avviso di connettività Internet non autorizzata è altamente rilevante in una rete OT, ma ha un valore relativamente basso in una rete IT.
Per concentrare gli avvisi attivati in questi ambienti, tutti i motori di avviso, ad eccezione del motore malware , attivano gli avvisi solo se rilevano una subnet o un protocollo OT correlato. Tuttavia, per mantenere l'attivazione degli avvisi che indicano scenari critici:
- Il motore malware attiva avvisi malware indipendentemente dal fatto che gli avvisi siano correlati ai dispositivi OT o IT.
- Gli altri motori includono eccezioni per scenari critici. Ad esempio, il motore operativo attiva avvisi relativi al traffico del sensore, indipendentemente dal fatto che l'avviso sia correlato al traffico OT o IT.
Gestione degli avvisi OT in un ambiente ibrido
Gli utenti che lavorano in ambienti ibridi potrebbero gestire gli avvisi OT in Defender per IoT nella portale di Azure, nel sensore OT e in una console di gestione locale.
Nota
Mentre la console del sensore visualizza il campo Ultimo rilevamento di un avviso in tempo reale, Defender per IoT nel portale di Azure potrebbe richiedere fino a un'ora per visualizzare l'ora aggiornata. Questo spiega uno scenario in cui l'ora dell'ultimo rilevamento nella console del sensore non corrisponde all'ora dell'ultimo rilevamento nel portale di Azure.
Gli stati degli avvisi sono altrimenti completamente sincronizzati tra il portale di Azure e il sensore OT e tra il sensore e la console di gestione locale. Ciò significa che, indipendentemente dalla posizione in cui si gestisce l'avviso in Defender per IoT, l'avviso viene aggiornato anche in altre posizioni.
Se si imposta lo stato di un avviso su Chiuso o disattivato in un sensore o in una console di gestione locale, lo stato dell'avviso viene aggiornato su Chiuso nel portale di Azure. Nella console di gestione locale, lo stato dell'avviso chiuso è denominato Confermato.
Suggerimento
Se si usa Microsoft Sentinel, è consigliabile configurare l'integrazione per sincronizzare anche lo stato degli avvisi con Microsoft Sentinel e quindi gestire gli stati degli avvisi insieme agli eventi imprevisti di Microsoft Sentinel correlati.
Per altre informazioni, vedere Esercitazione: Analizzare e rilevare le minacce per i dispositivi IoT.
Avvisi e Microsoft Defender per endpoint IoT aziendali
Se si usa la sicurezza IoT aziendale in Microsoft 365 Defender, gli avvisi per i dispositivi IoT aziendali rilevati da Microsoft Defender per endpoint sono disponibili solo in Microsoft 365 Defender. Molti rilevamenti basati sulla rete da Microsoft Defender per endpoint sono pertinenti ai dispositivi IoT aziendali, ad esempio gli avvisi attivati dalle analisi che coinvolgono endpoint gestiti.
Per altre informazioni, vedere Protezione dei dispositivi IoT nell'organizzazione e coda avvisi in Microsoft 365 Defender.
Accelerazione dei flussi di lavoro degli avvisi OT
I nuovi avvisi vengono chiusi automaticamente se non viene rilevato alcun traffico identico 90 giorni dopo il rilevamento iniziale. Se il traffico identico viene rilevato entro i primi 90 giorni, viene reimpostato il conteggio di 90 giorni.
Oltre al comportamento predefinito, è possibile aiutare i team di gestione SOC e OT a valutare e correggere gli avvisi più velocemente. Accedere a un sensore OT o a una console di gestione locale come utente Amministrazione per usare le opzioni seguenti:
Creare regole di avviso personalizzate. Solo sensori OT.
Aggiungere regole di avviso personalizzate per attivare avvisi per attività specifiche nella rete non coperte dalla funzionalità predefinita.
Ad esempio, per un ambiente che esegue MODBUS, è possibile aggiungere una regola per rilevare tutti i comandi scritti in un registro di memoria in un indirizzo IP e una destinazione Ethernet specifici.
Per altre informazioni, vedere Creare regole di avviso personalizzate in un sensore OT.
Creare commenti di avviso. Solo sensori OT.
Creare un set di commenti di avviso che altri utenti del sensore OT possono aggiungere ai singoli avvisi, con dettagli come passaggi di mitigazione personalizzati, comunicazioni con altri membri del team o altri dati analitici o avvisi sull'evento.
I membri del team possono riutilizzare questi commenti personalizzati durante la valutazione e la gestione degli stati degli avvisi. I commenti degli avvisi vengono visualizzati in un'area commenti in una pagina dei dettagli dell'avviso. Ad esempio:
Per altre informazioni, vedere Creare commenti di avviso su un sensore OT.
Creare regole di esclusione degli avvisi: solo console di gestione locali.
Se si usa una console di gestione locale, definire regole di esclusione degli avvisi per ignorare gli eventi in più sensori che soddisfano criteri specifici. Ad esempio, è possibile creare una regola di esclusione degli avvisi per ignorare tutti gli eventi che attivano avvisi irrilevanti durante una finestra di manutenzione specifica.
Gli avvisi ignorati dalle regole di esclusione non vengono visualizzati nella portale di Azure, nel sensore o nella console di gestione locale o nei registri eventi.
Per altre informazioni, vedere Creare regole di esclusione degli avvisi in una console di gestione locale.
Inoltrare i dati degli avvisi ai sistemi partner a SIEM partner, server syslog, indirizzi di posta elettronica specificati e altro ancora.
Supportato sia dai sensori OT che dalle console di gestione locali. Per altre informazioni, vedere Inoltrare le informazioni sugli avvisi.
Opzioni di valutazione e stato degli avvisi
Usare le opzioni di valutazione e stato degli avvisi seguenti per gestire gli avvisi in Defender per IoT.
Quando si valuta un avviso, tenere presente che alcuni avvisi potrebbero riflettere modifiche di rete valide, ad esempio un dispositivo autorizzato che tenta di accedere a una nuova risorsa in un altro dispositivo.
Mentre le opzioni di valutazione del sensore OT e della console di gestione locale sono disponibili solo per gli avvisi OT, le opzioni disponibili nel portale di Azure sono disponibili per gli avvisi OT e Enterprise IoT.
Usare la tabella seguente per altre informazioni su ogni opzione di valutazione e stato dell'avviso.
| Azione di valutazione/stato | Disponibile in data | Descrizione |
|---|---|---|
| New | - portale di Azure - Sensori di rete OT - Console di gestione locale |
I nuovi avvisi sono avvisi che non sono ancora stati eseguiti o esaminati dal team. Il nuovo traffico rilevato per gli stessi dispositivi non genera un nuovo avviso, ma viene aggiunto all'avviso esistente. Nella console di gestione locale, i nuovi avvisi vengono denominati Non riconosciuti. Nota: è possibile che vengano visualizzati più avvisi nuovi o non riconosciuti con lo stesso nome. In questi casi, ogni avviso separato viene attivato da traffico separato, in diversi set di dispositivi. |
| Attive | - solo portale di Azure | Impostare un avviso su Attivo per indicare che è in corso un'indagine, ma che l'avviso non può ancora essere chiuso o altrimenti triage. Questo stato non ha alcun effetto altrove in Defender per IoT. |
| Chiusi | - portale di Azure - Sensori di rete OT - Console di gestione locale |
Chiudere un avviso per indicare che è stato esaminato completamente e si vuole ricevere di nuovo un avviso al successivo rilevamento dello stesso traffico. La chiusura di un avviso lo aggiunge alla sequenza temporale degli eventi del sensore. Nella console di gestione locale vengono chiamati Nuovi avvisi riconosciuti. |
| Learn | - portale di Azure - Sensori di rete OT - Console di gestione locale Unlearning un avviso è disponibile solo sul sensore OT. |
Informazioni su un avviso quando si vuole chiuderlo e aggiungerlo come traffico consentito, in modo che non venga visualizzato di nuovo un avviso al successivo rilevamento dello stesso traffico. Ad esempio, quando il sensore rileva le modifiche della versione del firmware seguendo le procedure di manutenzione standard o quando viene aggiunto un nuovo dispositivo previsto alla rete. L'apprendimento di un avviso chiude l'avviso e aggiunge un elemento alla sequenza temporale dell'evento del sensore. Il traffico rilevato è incluso nei report di data mining, ma non quando si calcolano altri report del sensore OT. Gli avvisi di apprendimento sono disponibili solo per gli avvisi selezionati, principalmente quelli attivati dagli avvisi del motore criteri e anomalie. |
| Muto | - Sensori di rete OT - Console di gestione locale L'annullamento dell'attivazione di un avviso è disponibile solo nel sensore OT. |
Disattivare un avviso quando si vuole chiuderlo e non visualizzarlo di nuovo per lo stesso traffico, ma senza aggiungere l'avviso traffico consentito. Ad esempio, quando il motore operativo attiva un avviso che indica che la modalità PLC è stata modificata in un dispositivo. La nuova modalità potrebbe indicare che il PLC non è sicuro, ma dopo l'indagine, è determinato che la nuova modalità è accettabile. La disattivazione di un avviso lo chiude, ma non aggiunge un elemento alla sequenza temporale degli eventi del sensore. Il traffico rilevato è incluso nei report di data mining, ma non quando si calcolano i dati per altri report del sensore. La disattivazione di un avviso è disponibile solo per gli avvisi selezionati, principalmente quelli attivati dai motori anomalie, violazione del protocollo o operativo . |
Suggerimento
Se si conosce in anticipo gli eventi irrilevanti, ad esempio durante una finestra di manutenzione o se non si vuole tenere traccia dell'evento nella sequenza temporale degli eventi, creare invece una regola di esclusione degli avvisi in una console di gestione locale.
Per altre informazioni, vedere Creare regole di esclusione degli avvisi in una console di gestione locale.
Valutare gli avvisi OT durante la modalità di apprendimento
La modalità di apprendimento si riferisce al periodo iniziale dopo la distribuzione di un sensore OT, quando il sensore OT apprende l'attività di base della rete, inclusi i dispositivi e i protocolli nella rete, e i normali trasferimenti di file che si verificano tra dispositivi specifici.
Usare la modalità di apprendimento per eseguire una valutazione iniziale degli avvisi nella rete, imparando a contrassegnare come attività autorizzata e prevista. Il traffico appreso non genera nuovi avvisi la volta successiva che viene rilevato lo stesso traffico.
Per altre informazioni, vedere Creare una baseline appresa degli avvisi OT.
Passaggi successivi
Esaminare i tipi di avviso e i messaggi per comprendere e pianificare le azioni di correzione e le integrazioni dei playbook. Per altre informazioni, vedere Tipi di avviso e descrizioni di monitoraggio OT.