Share via

Accelerare i flussi di lavoro degli avvisi OT

  • Articolo

Nota

Le funzionalità annotate sono disponibili in ANTEPRIMA. Le condizioni supplementari per l'anteprima di Azure includono altri termini legali applicabili alle funzionalità di Azure in versione beta, in anteprima o non ancora rilasciate nella disponibilità generale.

Gli avvisi di Microsoft Defender per IoT migliorano la sicurezza e le operazioni di rete con dettagli in tempo reale sugli eventi registrati nella rete. Gli avvisi OT vengono attivati quando i sensori di rete OT rilevano modifiche o attività sospette nel traffico di rete che richiede attenzione.

Questo articolo descrive i metodi seguenti per ridurre l'affaticamento degli avvisi di rete OT nel team:

  • Creare regole di eliminazione dal portale di Azure per ridurre gli avvisi attivati dai sensori. Se si lavora in un ambiente air-gapped, eseguire questa operazione creando regole di esclusione degli avvisi nella console di gestione locale.

  • Creare commenti di avviso per i team da aggiungere a singoli avvisi, semplificando la comunicazione e mantenendo i record tra gli avvisi.

  • Creare regole di avviso personalizzate per identificare traffico specifico nella rete

Prerequisiti

Prima di usare le procedure in questa pagina, prendere nota dei prerequisiti seguenti:

Per Devi avere ...
Creare regole di eliminazione degli avvisi nel portale di Azure Una sottoscrizione di Defender per IoT con almeno un sensore OT connesso al cloud e l'accesso come Amministrazione di sicurezza, collaboratore o proprietario.
Creare un elenco di elementi consentiti DNS in un sensore OT Un sensore di rete OT installato e l'accesso al sensore come utente Amministrazione predefinito.
Creare commenti di avviso su un sensore OT Un sensore di rete OT installato e l'accesso al sensore come qualsiasi utente con un ruolo di Amministrazione.
Creare regole di avviso personalizzate in un sensore OT Un sensore di rete OT installato e l'accesso al sensore come qualsiasi utente con un ruolo di Amministrazione.
Creare regole di esclusione degli avvisi in una console di gestione locale Una console di gestione locale installata e l'accesso alla console di gestione locale come qualsiasi utente con un ruolo di Amministrazione.

Per altre informazioni, vedi:

Eliminare gli avvisi irrilevanti

Configurare i sensori OT per eliminare gli avvisi per traffico specifico nella rete che altrimenti attiverebbe un avviso. Ad esempio, se tutti i dispositivi OT monitorati da un sensore specifico eseguono procedure di manutenzione per due giorni, è possibile definire una regola per eliminare tutti gli avvisi generati da tale sensore durante il periodo di manutenzione.

  • Per i sensori OT connessi al cloud, creare regole di eliminazione degli avvisi nel portale di Azure per ignorare il traffico specificato nella rete che altrimenti attiverebbe un avviso.

  • Per i sensori gestiti in locale, creare regole di esclusione degli avvisi nella console di gestione locale usando l'interfaccia utente o l'API.

Importante

Le regole configurate nel portale di Azure sostituiscono tutte le regole configurate per lo stesso sensore nella console di gestione locale. Se attualmente si usano regole di esclusione degli avvisi nella console di gestione locale, è consigliabile eseguirne la migrazione al portale di Azure come regole di eliminazione prima di iniziare.

Creare regole di eliminazione degli avvisi nella portale di Azure (anteprima pubblica)

Questa sezione descrive come creare una regola di eliminazione degli avvisi nella portale di Azure ed è supportata solo per i sensori connessi al cloud.

Per creare una regola di eliminazione degli avvisi:

  1. In Defender per IoT nel portale di Azure selezionare Regole di eliminazione degli avvisi>.

  2. Nella pagina Regole di eliminazione (anteprima) selezionare + Crea.

  3. Nella scheda Dettagli del riquadro Crea regola di eliminazione immettere i dettagli seguenti:

    1. Selezionare la sottoscrizione di Azure dall'elenco a discesa.

    2. Immettere un nome significativo per la regola e una descrizione facoltativa.

    3. Attiva/disattiva Abilitato per fare in modo che la regola venga avviata come configurata. È anche possibile lasciare disattivata questa opzione per iniziare a usare la regola solo in un secondo momento.

    4. Nell'area Elimina per intervallo di tempo attivare o disattivare la data di scadenza per definire una data e un'ora di inizio e di fine specifici per la regola. Selezionare Aggiungi intervallo per aggiungere più intervalli di tempo.

    5. Nell'area Applica su , selezionare se si vuole applicare la regola a tutti i sensori nella sottoscrizione o solo in siti o sensori specifici. Se si seleziona Applica alla selezione personalizzata, selezionare i siti e/o i sensori in cui si vuole eseguire la regola.

      Quando si seleziona un sito specifico, la regola si applica a tutti i sensori esistenti e futuri associati al sito.

    6. Selezionare Avanti e confermare il messaggio di override.

  4. Nella scheda Condizioni del riquadro Crea regola di eliminazione:

    1. Nell'elenco a discesa Nome avviso selezionare uno o più avvisi per la regola. Se si seleziona il nome di un motore di avviso anziché un nome di regola specifico, la regola viene applicata a tutti gli avvisi esistenti e futuri associati al motore.

    2. Facoltativamente, filtrare ulteriormente la regola definendo condizioni aggiuntive, ad esempio per il traffico proveniente da origini specifiche, a destinazioni specifiche o in subnet specifiche. Quando si specificano subnet come condizioni, si noti che le subnet fanno riferimento sia ai dispositivi di origine che a quello di destinazione.

    3. Al termine della configurazione delle condizioni della regola, selezionare Avanti.

  5. Nel riquadro Crea regola di eliminazione Esaminare e creare scheda esaminare i dettagli della regola che si sta creando e quindi selezionare Crea.

La regola viene aggiunta all'elenco delle regole di eliminazione nella pagina Regole di eliminazione (anteprima). Selezionare una regola per modificarla o eliminarla in base alle esigenze.

Suggerimento

Se è necessario esportare le regole di eliminazione, selezionare il pulsante Esporta sulla barra degli strumenti. Tutte le regole configurate vengono esportate in un singolo oggetto . File CSV, che è possibile salvare in locale.

Eseguire la migrazione delle regole di eliminazione da una console di gestione locale (anteprima pubblica)

Se attualmente si usa una console di gestione locale con sensori connessi al cloud, è consigliabile eseguire la migrazione di eventuali regole di esclusione al portale di Azure come regole di eliminazione prima di iniziare a creare nuove regole di eliminazione. Tutte le regole di eliminazione configurate nella portale di Azure sostituiscono le regole di esclusione degli avvisi esistenti per gli stessi sensori nella console di gestione locale.

Per esportare le regole di esclusione degli avvisi e importarle nel portale di Azure:

  1. Accedere alla console di gestione locale e selezionare Esclusione avvisi.

  2. Nella pagina Esclusione avvisi selezionare Esporta per esportare le regole in un oggetto . File CSV.

  3. In Defender per IoT nella portale di Azure selezionare Regole di eliminazione avvisi>.

  4. Nella pagina Regole di eliminazione (anteprima) selezionare Migrate local manager rules (Esegui migrazione regole di gestione locale) e quindi passare a e selezionare . File CSV scaricato dalla console di gestione locale.

  5. Nel riquadro Eseguire la migrazione delle regole di eliminazione esaminare l'elenco caricato delle regole di eliminazione di cui si sta per eseguire la migrazione e quindi selezionare Approva migrazione.

  6. Confermare il messaggio di override.

Le regole vengono aggiunte all'elenco delle regole di eliminazione nella pagina Regole di eliminazione (anteprima). Selezionare una regola per modificarla o eliminarla in base alle esigenze.

Creare regole di esclusione degli avvisi in una console di gestione locale

È consigliabile creare regole di esclusione degli avvisi in una console di gestione locale solo per sensori gestiti in locale. Per i sensori connessi al cloud, tutte le regole di eliminazione create nel portale di Azure sostituiranno le regole di esclusione create nella console di gestione locale per tale sensore.

Per creare una regola di esclusione degli avvisi:

  1. Accedere alla console di gestione locale e selezionare Esclusione avvisi nel menu a sinistra.

  2. Nella pagina Esclusione avvisi selezionare il + pulsante in alto a destra per aggiungere una nuova regola.

  3. Nella finestra di dialogo Crea regola di esclusione immettere i dettagli seguenti:

    Nome Descrizione
    Nome Immettere un nome significativo per la regola. Il nome non può contenere virgolette (").
    Per periodo di tempo Selezionare un fuso orario e il periodo di tempo specifico per cui si vuole che la regola di esclusione sia attiva e quindi selezionare AGGIUNGI.

    Usare questa opzione per creare regole separate per fusi orari diversi. Ad esempio, potrebbe essere necessario applicare una regola di esclusione tra le 8:00 e le 10:00 in tre fusi orari diversi. In questo caso, creare tre regole di esclusione separate che usano lo stesso periodo di tempo e il fuso orario pertinente.
    In base all'indirizzo del dispositivo Selezionare e immettere i valori seguenti e quindi selezionare AGGIUNGI:

    - Selezionare se il dispositivo designato è un'origine, una destinazione o un dispositivo di origine e di destinazione.
    - Selezionare se l'indirizzo è un indirizzo IP, un indirizzo MAC o una subnet
    - Immettere il valore dell'indirizzo IP, dell'indirizzo MAC o della subnet.
    Per titolo avviso Selezionare uno o più avvisi da aggiungere alla regola di esclusione e quindi selezionare AGGIUNGI. Per trovare i titoli degli avvisi, immettere tutto o parte di un titolo di avviso e selezionarne uno dall'elenco a discesa.
    In base al nome del sensore Selezionare uno o più sensori da aggiungere alla regola di esclusione e quindi selezionare AGGIUNGI. Per trovare i nomi dei sensori, immettere tutto o parte del nome del sensore e selezionare quello desiderato dall'elenco a discesa.

    Importante

    Le regole di esclusione degli avvisi sono AND basate, il che significa che gli avvisi vengono esclusi solo quando vengono soddisfatte tutte le condizioni delle regole. Se una condizione della regola non è definita, vengono incluse tutte le opzioni. Ad esempio, se non si include il nome di un sensore nella regola, la regola viene applicata a tutti i sensori.

    Nella parte inferiore della finestra di dialogo viene visualizzato un riepilogo dei parametri della regola.

  4. Controllare il riepilogo delle regole visualizzato nella parte inferiore della finestra di dialogo Crea regola di esclusione e quindi selezionare SALVA

Per creare regole di esclusione degli avvisi tramite API:

Usare l'API Defender per IoT per creare regole di esclusione degli avvisi della console di gestione locale da un sistema di ticketing esterno o da un altro sistema che gestisce i processi di manutenzione della rete.

Usare l'API maintenanceWindow (Crea esclusioni di avvisi) per definire i sensori, i motori di analisi, l'ora di inizio e l'ora di fine per applicare la regola. Le regole di esclusione create tramite API vengono visualizzate nella console di gestione locale come di sola lettura.

Per altre informazioni, vedere Le informazioni di riferimento sulle API di Defender per IoT.

Consenti connessioni Internet in una rete OT

Ridurre il numero di avvisi Internet non autorizzati creando un elenco di nomi di dominio consentiti nel sensore OT. Quando viene configurato un elenco di elementi consentiti DNS, il sensore controlla ogni tentativo di connettività Internet non autorizzato nell'elenco prima di attivare un avviso. Se l'FQDN del dominio è incluso nell'elenco consenti, il sensore non attiva l'avviso e consente il traffico automaticamente.

Tutti gli utenti del sensore OT possono visualizzare un elenco di domini attualmente configurato in un report di data mining, inclusi i nomi di dominio completi, gli indirizzi IP risolti e l'ora dell'ultima risoluzione.

Per definire un elenco di elementi consentiti DNS:

  1. Accedere al sensore OT come utente amministratore e selezionare la pagina Supporto .

  2. Nella casella di ricerca cercare DNS e quindi individuare il motore con la descrizione consenti dominio Internet.

  3. Selezionare Modifica per la riga Consenti dominio Internet. Ad esempio:

    Screenshot di come modificare le configurazioni per DNS nella console del sensore.

  4. Nel campo Fqdn allowlist del riquadro >Modifica configurazione immettere uno o più nomi di dominio. Separare più nomi di dominio con virgole. Il sensore non genererà avvisi per i tentativi di connettività Internet non autorizzati nei domini configurati.

  5. Selezionare Invia per salvare le modifiche.

Per visualizzare l'elenco di elementi consentiti corrente in un report di data mining:

Quando si seleziona una categoria nel report di data mining personalizzato, assicurarsi di selezionare Internet Domain Allowlist nella categoria DNS .

Ad esempio:

Screenshot di come generare un report di data mining personalizzato per l'elenco elementi consentiti nella console del sensore.

Il report di data mining generato mostra un elenco dei domini consentiti e di ogni indirizzo IP risolto per tali domini. Il report include anche il TTL, in secondi, durante il quale tali indirizzi IP non attiveranno un avviso di connettività Internet. Ad esempio:

Screenshot del report di data mining dell'elenco elementi consentiti nella console del sensore.

Creare commenti di avviso su un sensore OT

  1. Accedere al sensore OT e selezionare System Impostazioni Network Monitoring Alert Comments (Sistema Impostazioni> I commenti degli avvisi di monitoraggio>di rete).

  2. Nel riquadro Commenti avviso immettere il nuovo commento nel campo Descrizione e selezionare Aggiungi. Il nuovo commento viene visualizzato nell'elenco Descrizione sotto il campo .

    Ad esempio:

    Screenshot del riquadro Commenti avviso nel sensore OT.

  3. Selezionare Invia per aggiungere il commento all'elenco dei commenti disponibili in ogni avviso nel sensore.

I commenti personalizzati sono disponibili in ogni avviso nel sensore per consentire ai membri del team di aggiungere. Per altre informazioni, vedere Aggiungere commenti di avviso.

Creare regole di avviso personalizzate in un sensore OT

Aggiungere regole di avviso personalizzate per attivare avvisi per attività specifiche nella rete non coperte dalla funzionalità predefinita.

Ad esempio, per un ambiente che esegue MODBUS, è possibile aggiungere una regola per rilevare tutti i comandi scritti in un registro di memoria in un indirizzo IP e una destinazione Ethernet specifici.

Per creare una regola di avviso personalizzata:

  1. Accedere al sensore OT e selezionare Regole di avviso> personalizzate+ Crea regola.

  2. Nel riquadro Crea regola di avviso personalizzata definire i campi seguenti:

    Nome Descrizione
    Nome avviso Immettere un nome significativo per l'avviso.
    Protocollo di avviso Selezionare il protocollo da rilevare.
    In casi specifici, selezionare uno dei protocolli seguenti:

    - Per un evento di manipolazione dei dati o della struttura del database, selezionare TNS o TDS.
    - Per un evento di file, selezionare HTTP, DELTAV, SMB o FTP, a seconda del tipo di file.
    - Per un evento di download del pacchetto, selezionare HTTP.
    - Per un evento open ports (dropped), selezionare TCP o UDP, a seconda del tipo di porta.

    Per creare regole che tengono traccia di modifiche specifiche in uno dei protocolli OT, ad esempio S7 o CIP, usare qualsiasi parametro trovato su tale protocollo, ad esempio tag o sub-function.
    Messaggio Definire un messaggio da visualizzare quando viene attivato l'avviso. I messaggi di avviso supportano caratteri alfanumerici ed eventuali variabili di traffico rilevate.

    Ad esempio, è possibile includere gli indirizzi di origine e di destinazione rilevati. Usare parentesi graffe ({}) per aggiungere variabili al messaggio di avviso.
    Direzione Immettere un indirizzo IP di origine e/o di destinazione in cui si vuole rilevare il traffico.
    Condizioni Definire una o più condizioni che devono essere soddisfatte per attivare l'avviso.

    - Selezionare il + segno per creare un set di condizioni con più condizioni che usano l'operatore AND . Il + segno è abilitato solo dopo aver selezionato un valore di protocollo di avviso.
    - Se si seleziona un indirizzo MAC o un indirizzo IP come variabile, è necessario convertire il valore da un indirizzo decimale punteggiato in formato decimale.

    È necessario aggiungere almeno una condizione per creare una regola di avviso personalizzata.
    Rilevato Definire un intervallo di data e/o ora per il traffico che si vuole rilevare. Personalizzare i giorni e l'intervallo di tempo per adattarsi alle ore di manutenzione o impostare le ore lavorative.
    Azione Definire un'azione che si vuole eseguire automaticamente da Defender per IoT quando viene attivato l'avviso.
    Chiedere a Defender per IoT di creare un avviso o un evento con la gravità specificata.
    PCAP incluso Se si è scelto di creare un evento, deselezionare l'opzione PCAP inclusa in base alle esigenze. Se si è scelto di creare un avviso, il PCAP è sempre incluso e non può essere rimosso.

    Ad esempio:

    Screenshot del riquadro Crea regola di avviso personalizzata per la creazione di regole di avviso personalizzate.

  3. Selezionare Salva al termine per salvare la regola.

Modificare una regola di avviso personalizzata

Per modificare una regola di avviso personalizzata, selezionare la regola e quindi selezionare il menu >Opzioni (...) Modifica. Modificare la regola di avviso in base alle esigenze e salvare le modifiche.

Le modifiche apportate alle regole di avviso personalizzate, ad esempio la modifica di un livello di gravità o un protocollo, vengono rilevate nella pagina Sequenza temporale eventi del sensore OT.

Per altre informazioni, vedere Tenere traccia dell'attività del sensore.

Disabilitare, abilitare o eliminare regole di avviso personalizzate

Disabilitare le regole di avviso personalizzate per impedire l'esecuzione senza eliminarle completamente.

Nella pagina Regole di avviso personalizzate selezionare una o più regole e quindi selezionare Disabilita, Abilita o Elimina sulla barra degli strumenti in base alle esigenze.

Creare regole di esclusione degli avvisi in una console di gestione locale

Creare regole di esclusione degli avvisi per indicare ai sensori di ignorare il traffico specifico nella rete che altrimenti attiverebbe un avviso.

Ad esempio, se si sa che tutti i dispositivi OT monitorati da un sensore specifico eseguiranno le procedure di manutenzione per due giorni, definire una regola di esclusione che indica a Defender per IoT di eliminare gli avvisi rilevati da questo sensore durante il periodo predefinito.

Per creare una regola di esclusione degli avvisi:

  1. Accedere alla console di gestione locale e selezionare Esclusione avvisi nel menu a sinistra.

  2. Nella pagina Esclusione avvisi selezionare il + pulsante in alto a destra per aggiungere una nuova regola.

  3. Nella finestra di dialogo Crea regola di esclusione immettere i dettagli seguenti:

    Nome Descrizione
    Nome Immettere un nome significativo per la regola. Il nome non può contenere virgolette (").
    Per periodo di tempo Selezionare un fuso orario e il periodo di tempo specifico per cui si vuole che la regola di esclusione sia attiva e quindi selezionare AGGIUNGI.

    Usare questa opzione per creare regole separate per fusi orari diversi. Ad esempio, potrebbe essere necessario applicare una regola di esclusione tra le 8:00 e le 10:00 in tre fusi orari diversi. In questo caso, creare tre regole di esclusione separate che usano lo stesso periodo di tempo e il fuso orario pertinente.
    In base all'indirizzo del dispositivo Selezionare e immettere i valori seguenti e quindi selezionare AGGIUNGI:

    - Selezionare se il dispositivo designato è un'origine, una destinazione o un dispositivo di origine e di destinazione.
    - Selezionare se l'indirizzo è un indirizzo IP, un indirizzo MAC o una subnet
    - Immettere il valore dell'indirizzo IP, dell'indirizzo MAC o della subnet.
    Per titolo avviso Selezionare uno o più avvisi da aggiungere alla regola di esclusione e quindi selezionare AGGIUNGI. Per trovare i titoli degli avvisi, immettere tutto o parte di un titolo di avviso e selezionarne uno dall'elenco a discesa.
    In base al nome del sensore Selezionare uno o più sensori da aggiungere alla regola di esclusione e quindi selezionare AGGIUNGI. Per trovare i nomi dei sensori, immettere tutto o parte del nome del sensore e selezionare quello desiderato dall'elenco a discesa.

    Importante

    Le regole di esclusione degli avvisi sono AND basate, il che significa che gli avvisi vengono esclusi solo quando vengono soddisfatte tutte le condizioni delle regole. Se una condizione della regola non è definita, vengono incluse tutte le opzioni. Ad esempio, se non si include il nome di un sensore nella regola, la regola viene applicata a tutti i sensori.

    Nella parte inferiore della finestra di dialogo viene visualizzato un riepilogo dei parametri della regola.

  4. Controllare il riepilogo delle regole visualizzato nella parte inferiore della finestra di dialogo Crea regola di esclusione e quindi selezionare SALVA

Creare regole di esclusione degli avvisi tramite l'API

Usare l'API Defender per IoT per creare regole di esclusione degli avvisi da un sistema di ticketing esterno o da un altro sistema che gestisce i processi di manutenzione di rete.

Usare l'API maintenanceWindow (Crea esclusioni di avvisi) per definire i sensori, i motori di analisi, l'ora di inizio e l'ora di fine per applicare la regola. Le regole di esclusione create tramite API vengono visualizzate nella console di gestione locale come di sola lettura.

Per altre informazioni, vedere Le informazioni di riferimento sulle API di Defender per IoT.

Passaggi successivi

Avvisi di Microsoft Defender per IoT