Visualizzare e gestire gli avvisi nel sensore OT
Gli avvisi di Microsoft Defender per IoT migliorano la sicurezza e le operazioni di rete con dettagli in tempo reale sugli eventi registrati nella rete. Gli avvisi OT vengono attivati quando i sensori di rete OT rilevano modifiche o attività sospette nel traffico di rete che richiede attenzione.
Questo articolo descrive come visualizzare gli avvisi di Defender per IoT direttamente in un sensore di rete OT. È anche possibile visualizzare gli avvisi OT nella portale di Azure o in una console di gestione locale.
Per altre informazioni, vedere Avvisi di Microsoft Defender per IoT.
Prerequisiti
Per ricevere avvisi sul sensore OT, è necessario avere una porta SPAN configurata per il sensore e il software di monitoraggio di Defender per IoT installato. Per altre informazioni, vedere Installare il software di monitoraggio senza agente OT.
Per visualizzare gli avvisi sul sensore OT, accedere al sensore come amministratore, analista della sicurezza o utente visualizzatore .
Per gestire gli avvisi in un sensore OT, accedere al sensore come utente amministratore o analista della sicurezza. Le attività di gestione degli avvisi includono la modifica dei relativi stati o gravità, l'apprendimento o la disattivazione di un avviso, l'accesso ai dati PCAP o l'aggiunta di commenti predefiniti a un avviso.
Per altre informazioni, vedere Utenti e ruoli locali per il monitoraggio OT con Defender per IoT.
Visualizzare gli avvisi in un sensore OT
Accedere alla console del sensore OT e selezionare la pagina Avvisi a sinistra.
Per impostazione predefinita, nella griglia vengono visualizzati i dettagli seguenti:
Nome Descrizione Gravità Gravità dell'avviso predefinita assegnata dal sensore che è possibile modificare in base alle esigenze, tra cui: Critico, Principale, Secondario, Avviso. Nome Titolo dell'avviso Motore Motore di rilevamento di Defender per IoT che ha rilevato l'attività e ha attivato l'avviso. Ultimo rilevamento Ultima volta che è stato rilevato l'avviso.
- Se lo stato di un avviso è Nuovo e lo stesso traffico viene visualizzato di nuovo, l'ora dell'ultimo rilevamento viene aggiornata per lo stesso avviso.
- Se lo stato dell'avviso è Chiuso e il traffico viene visualizzato di nuovo, l'ora dell'ultimo rilevamento non viene aggiornata e viene attivato un nuovo avviso.
Nota: mentre la console del sensore visualizza il campo Ultimo rilevamento di un avviso in tempo reale, Defender per IoT nel portale di Azure potrebbe richiedere fino a un'ora per visualizzare l'ora aggiornata. Questo spiega uno scenario in cui l'ora dell'ultimo rilevamento nella console del sensore non corrisponde all'ora dell'ultimo rilevamento nel portale di Azure.Stato Stato dell'avviso: Nuovo, Attivo, Chiuso
Per altre informazioni, vedere Stato degli avvisi e opzioni di valutazione.Dispositivo di origine Indirizzo IP del dispositivo di origine, MAC o nome del dispositivo. Id ID avviso univoco, allineato all'ID nel portale di Azure.
Nota: se l'avviso è stato unito ad altri avvisi provenienti da sensori che hanno rilevato lo stesso avviso, il portale di Azure visualizza l'ID avviso del primo sensore che ha generato gli avvisi.Per visualizzare altri dettagli, selezionare il pulsante Modifica colonne.
Nel riquadro Modifica colonne a destra selezionare Aggiungi colonna e una delle colonne aggiuntive seguenti:
Nome Descrizione Dispositivo di destinazione Indirizzo IP del dispositivo di destinazione. Primo rilevamento La prima volta che è stata rilevata l'attività di avviso. ID ID avviso. Ultima attività L'ultima volta che l'avviso è stato modificato, inclusi gli aggiornamenti manuali per gravità o stato, o modifiche automatiche per gli aggiornamenti del dispositivo o la deduplicazione degli avvisi/dispositivi
Filtrare gli avvisi visualizzati
Usare le opzioni Cerca , Intervallo di tempo e Aggiungi filtro per filtrare gli avvisi visualizzati in base a parametri specifici o individuare un avviso specifico.
Ad esempio:
Il filtro degli avvisi in base ai gruppi usa tutti i gruppi personalizzati creati nelle pagine Inventario dispositivi o Mappa del dispositivo .
Avvisi di gruppo visualizzati
Usare il menu Raggruppa per in alto a destra per comprimere la griglia in sottosezioni in base a gravità, nome, motore o stato.
Ad esempio, mentre il numero totale di avvisi viene visualizzato sopra la griglia, è possibile che si desiderino informazioni più specifiche sulla scomposizione del numero di avvisi, ad esempio il numero di avvisi con una gravità o uno stato specifici.
Visualizzare i dettagli e correggere un avviso specifico
Accedere al sensore OT e selezionare Avvisi nel menu a sinistra.
Selezionare un avviso nella griglia per visualizzare altri dettagli nel riquadro a destra. Il riquadro dei dettagli dell'avviso include la descrizione dell'avviso, l'origine del traffico e la destinazione e altro ancora. Selezionare Visualizza dettagli completi per eseguire il drill-down. Ad esempio:
La pagina dei dettagli dell'avviso fornisce altri dettagli sull'avviso e un set di passaggi di correzione nella scheda Esegui azione .
Usare le schede seguenti per ottenere informazioni più contestuali:
Visualizzazione mappa. Visualizzare i dispositivi di origine e di destinazione in una visualizzazione mappa con altri dispositivi connessi al sensore.
Sequenza temporale eventi. Visualizzare l'evento insieme ad altre attività recenti nei dispositivi correlati. Opzioni di filtro per personalizzare i dati visualizzati. Ad esempio:
Gestire gli avvisi relativi allo stato e alla valutazione degli avvisi
Assicurarsi di aggiornare lo stato dell'avviso dopo aver eseguito i passaggi di correzione in modo che lo stato di avanzamento venga registrato. È possibile aggiornare lo stato per un singolo avviso o per una selezione di avvisi in blocco.
Informazioni su un avviso per indicare a Defender per IoT che il traffico di rete rilevato è autorizzato. Gli avvisi appresi non verranno attivati di nuovo al successivo rilevamento dello stesso traffico nella rete. Disattivare un avviso quando l'apprendimento non è disponibile e si vuole ignorare uno scenario specifico nella rete.
Per altre informazioni, vedere Stato degli avvisi e opzioni di valutazione.
Per gestire lo stato degli avvisi:
Accedere alla console del sensore OT e selezionare la pagina Avvisi a sinistra.
Selezionare uno o più avvisi nella griglia di cui si vuole aggiornare lo stato.
Usare il pulsante Cambia stato della barra degli strumenti o l'opzione Stato nel riquadro dei dettagli a destra per aggiornare lo stato dell'avviso.
L'opzione Stato è disponibile anche nella pagina dei dettagli dell'avviso.
Per informazioni su uno o più avvisi:
Accedere alla console del sensore OT e selezionare la pagina Avvisi a sinistra e quindi eseguire una delle operazioni seguenti:
- Selezionare uno o più avvisi learnable nella griglia e quindi selezionare Learn (Learn ) sulla barra degli strumenti.
- In una pagina dei dettagli dell'avviso selezionare Learn nella scheda Take Action (Azioni di esecuzione).
Per disattivare un avviso:
- Accedere alla console del sensore OT e selezionare la pagina Avvisi a sinistra.
- Individuare l'avviso che si vuole disattivare e aprire la relativa pagina dei dettagli dell'avviso.
- Nella scheda Take action (Attiva azione ) attivare l'opzione Disattiva avviso .
Per annullare o annullare l'invio di un avviso:
- Accedere alla console del sensore OT e selezionare la pagina Avvisi a sinistra.
- Individuare l'avviso appreso o disattivato e aprire la relativa pagina dei dettagli dell'avviso.
- Nella scheda Take action (Azioni) disattivare l'opzione Avviso learn (Avviso) o Alert mute (Disattiva avviso).
Dopo l'annullamento o l'annullamento dell'attivazione di un avviso, gli avvisi vengono riattivati ogni volta che il sensore rileva la combinazione di traffico selezionata.
Accedere ai dati PCAP degli avvisi
È possibile accedere ai file di traffico non elaborati, noti anche come file di acquisizione di pacchetti o file PCAP come parte dell'indagine.
Per accedere ai file di traffico non elaborati per l'avviso, selezionare Scarica PCAP nell'angolo superiore sinistro della pagina dei dettagli dell'avviso:
Ad esempio:
Il file PCAP viene scaricato e il browser richiede di aprirlo o salvarlo in locale.
Esportare avvisi in formato CSV o PDF
È possibile esportare una selezione di avvisi in un file CSV o PDF per la condivisione e la creazione di report offline.
- Esportare gli avvisi in un file CSV dalla pagina principale Avvisi . Esportare avvisi uno alla volta o in blocco.
- Esportare gli avvisi in un file PDF uno alla volta solo, dalla pagina principale Avvisi o da una pagina dei dettagli dell'avviso.
Per esportare gli avvisi in un file CSV:
Accedere alla console del sensore OT e selezionare la pagina Avvisi a sinistra.
Usare la casella di ricerca e le opzioni di filtro per visualizzare solo gli avvisi da esportare.
Nella barra degli strumenti sopra la griglia selezionare Esporta in CSV.
Il file viene generato e viene richiesto di aprirlo o salvarlo in locale.
Per esportare un avviso in un file PDF:
Accedere alla console del sensore OT e selezionare la pagina Avvisi a sinistra e quindi eseguire una delle operazioni seguenti:
- Nella pagina Avvisi selezionare un avviso e quindi selezionare Esporta in PDF dalla barra degli strumenti sopra la griglia.
- In una pagina dei dettagli degli avvisi selezionare Esporta in PDF.
Il file viene generato e viene richiesto di salvarlo in locale.
Aggiungere commenti di avviso
I commenti degli avvisi consentono di accelerare il processo di analisi e correzione rendendo più efficiente la comunicazione tra i membri del team e la registrazione dei dati.
Se l'amministratore ha creato commenti personalizzati per il team da aggiungere agli avvisi, aggiungerli dalla sezione Commenti in una pagina dei dettagli dell'avviso.
Accedere alla console del sensore OT e selezionare la pagina Avvisi a sinistra.
Individuare l'avviso in cui si vuole aggiungere un commento e aprire la pagina dei dettagli dell'avviso.
Nell'elenco Scegli commento selezionare il commento da aggiungere e quindi selezionare Aggiungi. Ad esempio:
Per altre informazioni, vedere Accelerazione dei flussi di lavoro degli avvisi OT.