Analizzare gli eventi imprevisti e gli avvisi
Microsoft Defender per IoT nel portale di Microsoft Defender visualizza eventi imprevisti e avvisi, che migliorano la sicurezza e le operazioni di rete con dettagli in tempo reale sugli eventi registrati nella rete OT (Operational Technology).
Gli avvisi sono alla base di tutti gli incidenti e indicano il verificarsi di eventi dannosi o sospetti nell'ambiente. All'interno di un evento imprevisto, si analizzano gli avvisi che influiscono sulla rete, si comprende il significato e si confrontano le prove in modo da poter elaborare un piano di correzione efficace.
Altre informazioni sugli avvisi e gli eventi imprevisti nel portale di Defender.
Questo articolo illustra come analizzare un evento imprevisto di Microsoft Defender per IoT e gli avvisi associati e come correggere i problemi di sicurezza generati dall'avviso.
Gli avvisi nella pagina Eventi imprevisti combinano in modo univoco i segnali dell'ambiente IT e OT per rilevare potenziali minacce e perdite di dati. Viene visualizzata la pagina Eventi imprevisti :
- Cronologia degli avvisi connessi all'evento imprevisto e un grafico degli eventi imprevisti. Il grafico mostra altri dispositivi connessi al dispositivo OT interessato che potrebbero anche essere compromessi.
- Descrizioni degli avvisi, che illustrano il tipo di problema di sicurezza rilevato.
- Opzioni di correzione per risolvere il problema di sicurezza.
Nota
I dati degli eventi imprevisti e degli avvisi per Defender per IoT vengono visualizzati solo dopo aver configurato un sito e i dispositivi inviano dati al portale di Defender. Informazioni su come configurare un sito.
Importante
Questo articolo illustra Microsoft Defender per IoT nel portale di Defender (anteprima).
Se si è un cliente esistente che lavora al portale di Defender per IoT classico (portale di Azure), vedere la documentazione di Defender per IoT in Azure.
Altre informazioni sui portali di gestione di Defender per IoT.
Alcune informazioni in questo articolo fanno riferimento alle caratteristiche di un prodotto prima del rilascio, che possono essere modificate sostanzialmente prima della distribuzione al pubblico. Microsoft non fornisce alcuna garanzia, esplicita o implicita, in relazione alle informazioni contenute in questo documento.
Indagare sugli avvisi
Per analizzare un avviso:
Nel menu del portale di Microsoft Defender selezionare Eventi imprevisti & avvisi eventi imprevisti>.
Per visualizzare gli eventi imprevisti correlati a OT:
- Selezionare Aggiungi filtro.
- Selezionare Nome prodotto e quindi Aggiungi.
- Selezionare la scheda Nomi prodotto visualizzata e digitare Defender per IoT.
- Selezionare Applica.
Individuare e selezionare un evento imprevisto.
La pagina specifica dell'evento imprevisto mostra la storia dell'attacco costituita dalla sequenza temporale dell'avviso, da un grafico degli eventi imprevisti e dai dettagli dell'evento imprevisto.
Selezionare un avviso dall'elenco degli avvisi.
Il grafico degli eventi imprevisti e i dettagli degli eventi imprevisti visualizzano dati specifici per questo avviso.
Nel pannello Eventi imprevisti esaminare le informazioni, leggere la descrizione dell'avviso, l'evidenza e gli asset interessati e seguire le azioni consigliate per l'avviso per risolvere il problema.
Avviso di Defender per IoT
Defender per IoT genera un proprio avviso univoco.
| Nome | Descrizione |
|---|---|
| Possibile impatto operativo a causa di un dispositivo compromesso | Un dispositivo compromesso comunicato con un asset ot (operational technology). Un utente malintenzionato potrebbe tentare di controllare o interrompere le operazioni fisiche. |
Rilevazione avanzata
Utilizzare la proprietà Site elencata nella tabella DeviceInfo per scrivere query per la ricerca avanzata. In questo modo è possibile filtrare i dispositivi in base a un sito specifico, ad esempio tutti i dispositivi che hanno comunicato con dispositivi dannosi in un sito specifico.
La query seguente elenca tutti i dispositivi endpoint con l'indirizzo IP specifico nel sito di San Francisco.
DeviceInfo
|where Site == "SanFrancisco" and PublicIP == "192.168.1.1" and DeviceCategory == "Endpoint"
Ciò è rilevante sia per l'inventario dei dispositivi che per la sicurezza del sito. Per altre informazioni, vedere Ricerca avanzata e schema DeviceInfo di ricerca avanzata.