Undersøke hendelser og varsler
Microsoft Defender for IoT i Microsoft Defender-portalen viser hendelser og varsler, noe som forbedrer nettverkssikkerhet og -operasjoner med sanntidsdetaljer om hendelser som er logget på ditt operative teknologinettverk (OT).
Varsler er grunnlaget for alle hendelser og angir forekomsten av ondsinnede eller mistenkelige hendelser i miljøet ditt. I en hendelse analyserer du varslene som påvirker nettverket, forstår hva de betyr, og samler bevisene slik at du kan utarbeide en effektiv utbedringsplan.
Finn ut mer om varsler og hendelser i Defender-portalen.
I denne artikkelen lærer du hvordan du undersøker en Microsoft Defender for IoT-hendelse og tilknyttede varsler, og hvordan du kan utbedre sikkerhetsproblemene som utløses av varselet.
Varsler på Hendelser-siden kombinerer unikt IT- og OT-miljøsignaler for å oppdage potensielle trusler og datalekkasjer. Hendelser-siden viser:
- En historie med varslene knyttet til hendelsen og en hendelsesgraf. Grafen viser andre enheter som er koblet til den berørte OT-enheten, som også kan bli kompromittert.
- Varselbeskrivelser, som forklarer typen oppdaget sikkerhetsproblem.
- Utbedringsalternativer for å løse sikkerhetsproblemet.
Obs!
Hendelses- og varseldata for Defender for IoT vises bare når du har konfigurert et område, og enhetene dine sender data til Defender-portalen. Lær hvordan du konfigurerer et område.
Viktig
Denne artikkelen beskriver Microsoft Defender for IoT i Defender-portalen (forhåndsvisning).
Hvis du er en eksisterende kunde som arbeider på den klassiske Defender for IoT-portalen (Azure Portal), kan du se Dokumentasjon for Defender for IoT på Azure.
Finn ut mer om administrasjonsportalene for Defender for IoT.
Noe informasjon i denne artikkelen er knyttet til et forhåndsutgitt produkt, som kan endres vesentlig før det utgis kommersielt. Microsoft gir ingen garantier, uttrykt eller underforstått, med hensyn til informasjonen som er oppgitt her.
Undersøke varsler
Slik undersøker du et varsel:
Velg Hendelser & varsler hendelser >på portalmenyen i Microsoft Defender.
Slik viser du OT-relaterte hendelser:
- Velg Legg til filter.
- Velg Produktnavn , og velg Legg til.
- Velg Produktnavn-fanen som vises, og skriv inn: Defender for IoT.
- Velg Bruk.
Finn og velg en hendelse.
Den spesifikke hendelsessiden viser angrepshistorien som består av varseltidslinjen, en hendelsesgraf og hendelsesdetaljene.
Velg et varsel fra listen over varsler.
Hendelsesgrafen og hendelsesdetaljene viser spesifikke data for dette varselet.
Se gjennom informasjonen i hendelsespanelet , les varselbeskrivelsen, bevis og berørte e-postsett, og følg de anbefalte handlingene for varselet for å løse problemet.
Defender for IoT-varsel
Defender for IoT genererer sitt eget unike varsel.
| Navn | Beskrivelse |
|---|---|
| Mulig operasjonell innvirkning på grunn av en kompromittert enhet | En kompromittert enhet kommunisert med en operativ teknologi (OT) ressurs. En angriper prøver kanskje å kontrollere eller forstyrre fysiske operasjoner. |
Avansert jakt
Bruk områdeegenskapen som er oppført i DeviceInfo-tabellen , til å skrive spørringer for avansert jakt. Dette gjør at du kan filtrere enheter i henhold til et bestemt nettsted, for eksempel alle enheter som kommuniserte med ondsinnede enheter på et bestemt nettsted.
Følgende spørring viser alle endepunktenheter med den spesifikke IP-adressen på San Francisco-nettstedet.
DeviceInfo
|where Site == "SanFrancisco" and PublicIP == "192.168.1.1" and DeviceCategory == "Endpoint"
Dette er relevant for både enhetsbeholdningen og områdesikkerheten. Hvis du vil ha mer informasjon, kan du se Avansert jakt og Avansert jakt DeviceInfo-skjemaet.