Microsoft Defender voor IoT-waarschuwingen
Microsoft Defender voor IoT-waarschuwingen verbeteren uw netwerkbeveiliging en -bewerkingen met realtime details over gebeurtenissen die zijn vastgelegd in uw netwerk. Waarschuwingen worden geactiveerd wanneer OT-netwerksensoren wijzigingen of verdachte activiteiten detecteren in netwerkverkeer waarvoor uw aandacht nodig is.
Voorbeeld:
Gebruik de details die worden weergegeven op de pagina Waarschuwingen of op een pagina met waarschuwingsgegevens, om te onderzoeken en actie te ondernemen om risico's voor uw netwerk op te lossen, van gerelateerde apparaten of het netwerkproces dat de waarschuwing heeft geactiveerd.
Tip
Gebruik stappen voor het oplossen van waarschuwingen om uw SOC-teams te helpen bij het begrijpen van mogelijke problemen en oplossingen. We raden u aan aanbevolen herstelstappen te bekijken voordat u een waarschuwingsstatus bijwerkt of actie onderneemt op het apparaat of netwerk.
Opties voor waarschuwingsbeheer
Defender for IoT-waarschuwingen zijn beschikbaar in Azure Portal, OT-netwerksensorconsoles en de on-premises beheerconsole. Met Enterprise IoT-beveiliging zijn waarschuwingen ook beschikbaar voor Enterprise IoT-apparaten die zijn gedetecteerd door Defender voor Eindpunt, in Microsoft 365 Defender.
Hoewel u waarschuwingsdetails kunt bekijken, de context van de waarschuwing kunt onderzoeken en de statussen van waarschuwingen vanaf een van deze locaties kunt ordenen en beheren, biedt elke locatie ook extra waarschuwingsacties. In de volgende tabel worden de waarschuwingen beschreven die worden ondersteund voor elke locatie en de extra acties die alleen op die locatie beschikbaar zijn:
| Locatie | Beschrijving | Extra waarschuwingsacties |
|---|---|---|
| Azure-portal | Waarschuwingen van alle met de cloud verbonden OT-sensoren | - Gerelateerde MITRE ATT&CK-tactieken en -technieken weergeven - Gebruik out-of-the-box-werkmappen om inzicht te krijgen in waarschuwingen met hoge prioriteit - Bekijk waarschuwingen van Microsoft Sentinel en voer dieper onderzoek uit met Microsoft Sentinel-playbooks en -werkmappen. |
| OT-netwerksensorconsoles | Waarschuwingen gegenereerd door die OT-sensor | - De bron en bestemming van de waarschuwing weergeven in de apparaattoewijzing - Gerelateerde gebeurtenissen weergeven op de tijdlijn van de gebeurtenis - Waarschuwingen rechtstreeks doorsturen naar partnerleveranciers - Waarschuwingsopmerkingen maken - Aangepaste waarschuwingsregels maken - Waarschuwingen ongedaan maken |
| Een on-premises beheerconsole | Waarschuwingen gegenereerd door verbonden OT-sensoren | - Waarschuwingen rechtstreeks doorsturen naar partnerleveranciers - Uitsluitingsregels voor waarschuwingen maken |
| Microsoft 365 Defender | Waarschuwingen die zijn gegenereerd voor Enterprise IoT-apparaten die zijn gedetecteerd door Microsoft Defender voor Eindpunt | - Waarschuwingengegevens beheren samen met andere Microsoft 365 Defender-gegevens, waaronder geavanceerde opsporing |
Tip
Waarschuwingen die worden gegenereerd op basis van verschillende sensoren in dezelfde zone binnen een tijdsbestek van 10 minuten, met hetzelfde type, status, waarschuwingsprotocol en gekoppelde apparaten, worden vermeld als één geïntegreerde waarschuwing.
- De periode van 10 minuten is gebaseerd op de eerste detectietijd van de waarschuwing.
- De enkele, geïntegreerde waarschuwing bevat alle sensoren die de waarschuwing hebben gedetecteerd.
- Waarschuwingen worden gecombineerd op basis van het waarschuwingsprotocol en niet het apparaatprotocol.
Zie voor meer informatie:
- Retentie van waarschuwingsgegevens
- Werkstromen voor OT-waarschuwingen versnellen
- Waarschuwingsstatussen en triatopties
- OT-sites en -zones plannen
Waarschuwingsopties verschillen ook, afhankelijk van uw locatie en gebruikersrol. Zie Azure-gebruikersrollen en -machtigingen en on-premises gebruikers en -rollen voor meer informatie.
Waarschuwingen met prioriteit in OT-/IT-omgevingen
Organisaties waar sensoren worden geïmplementeerd tussen OT- en IT-netwerken, hebben te maken met veel waarschuwingen, met betrekking tot zowel OT- als IT-verkeer. De hoeveelheid waarschuwingen, waarvan sommige niet relevant zijn, kan vermoeidheid van waarschuwingen veroorzaken en de algehele prestaties beïnvloeden. Om deze uitdagingen aan te pakken, stuurt het detectiebeleid van Defender for IoT de verschillende waarschuwingsengines om zich te richten op waarschuwingen met bedrijfsimpact en relevantie voor een OT-netwerk en om IT-gerelateerde waarschuwingen met een lage waarde te verminderen. De waarschuwing voor niet-geautoriseerde internetverbinding is bijvoorbeeld zeer relevant in een OT-netwerk, maar heeft relatief weinig waarde in een IT-netwerk.
Om de waarschuwingen die in deze omgevingen worden geactiveerd, te richten, activeren alle waarschuwingsengines, met uitzondering van de malware-engine , alleen waarschuwingen als ze een gerelateerd OT-subnet of protocol detecteren. Voor het onderhouden van triggering van waarschuwingen die kritieke scenario's aangeven:
- De malware-engine activeert malwarewaarschuwingen, ongeacht of de waarschuwingen zijn gerelateerd aan OT- of IT-apparaten.
- De andere engines bevatten uitzonderingen voor kritieke scenario's. De operationele engine activeert bijvoorbeeld waarschuwingen met betrekking tot sensorverkeer, ongeacht of de waarschuwing is gerelateerd aan OT- of IT-verkeer.
OT-waarschuwingen beheren in een hybride omgeving
Gebruikers die in hybride omgevingen werken, beheren mogelijk OT-waarschuwingen in Defender for IoT in Azure Portal, de OT-sensor en een on-premises beheerconsole.
Notitie
Terwijl in de sensorconsole het laatste detectieveld van een waarschuwing in realtime wordt weergegeven, kan het maximaal één uur duren voordat Defender for IoT in Azure Portal de bijgewerkte tijd weergeeft. Dit verklaart een scenario waarin de laatste detectietijd in de sensorconsole niet hetzelfde is als de laatste detectietijd in Azure Portal.
Waarschuwingsstatussen worden anders volledig gesynchroniseerd tussen Azure Portal en de OT-sensor, en tussen de sensor en de on-premises beheerconsole. Dit betekent dat de waarschuwing ook op andere locaties wordt bijgewerkt, ongeacht waar u de waarschuwing beheert in Defender for IoT.
Als u een waarschuwingsstatus instelt op Gesloten of Gedempt op een sensor of on-premises beheerconsole, wordt de waarschuwingsstatus bijgewerkt naar Gesloten in Azure Portal. In de on-premises beheerconsole wordt de status Gesloten waarschuwing bevestigd genoemd.
Tip
Als u met Microsoft Sentinel werkt, raden we u aan de integratie te configureren om ook de waarschuwingsstatus te synchroniseren met Microsoft Sentinel en vervolgens de status van waarschuwingen te beheren samen met de gerelateerde Microsoft Sentinel-incidenten.
Zie Zelfstudie: Bedreigingen voor IoT-apparaten onderzoeken en detecteren voor meer informatie.
Bedrijfs-IoT-waarschuwingen en -Microsoft Defender voor Eindpunt
Als u Enterprise IoT-beveiliging gebruikt in Microsoft 365 Defender, zijn waarschuwingen voor Enterprise IoT-apparaten die door Microsoft Defender voor Eindpunt zijn gedetecteerd, alleen beschikbaar in Microsoft 365 Defender. Veel netwerkdetecties van Microsoft Defender voor Eindpunt zijn relevant voor Enterprise IoT-apparaten, zoals waarschuwingen die worden geactiveerd door scans met beheerde eindpunten.
Zie IoT-apparaten beveiligen in het bedrijf en de wachtrij Waarschuwingen in Microsoft 365 Defender voor meer informatie.
Werkstromen voor OT-waarschuwingen versnellen
Nieuwe waarschuwingen worden automatisch gesloten als er 90 dagen na de eerste detectie geen identiek verkeer wordt gedetecteerd. Als er binnen die eerste 90 dagen identiek verkeer wordt gedetecteerd, wordt het aantal dagen opnieuw ingesteld.
Naast het standaardgedrag wilt u mogelijk helpen uw SOC- en OT-beheerteams sneller waarschuwingen te sorteren en op te halen. Meld u als Beheer gebruiker aan bij een OT-sensor of een on-premises beheerconsole om de volgende opties te gebruiken:
Aangepaste waarschuwingsregels maken. Alleen OT-sensoren.
Voeg aangepaste waarschuwingsregels toe om waarschuwingen te activeren voor specifieke activiteiten in uw netwerk die niet worden gedekt door out-of-the-box-functionaliteit.
Voor een omgeving met MODBUS kunt u bijvoorbeeld een regel toevoegen om geschreven opdrachten te detecteren in een geheugenregister op een specifiek IP-adres en ethernet-doel.
Zie Aangepaste waarschuwingsregels voor een OT-sensor maken voor meer informatie.
Waarschuwingsopmerkingen maken. Alleen OT-sensoren.
Maak een set waarschuwingsopmerkingen die andere OT-sensorgebruikers kunnen toevoegen aan afzonderlijke waarschuwingen, met details zoals aangepaste beperkingsstappen, communicatie met andere teamleden of andere inzichten of waarschuwingen over de gebeurtenis.
Teamleden kunnen deze aangepaste opmerkingen opnieuw gebruiken tijdens het ordenen en beheren van waarschuwingsstatussen. Waarschuwingsopmerkingen worden weergegeven in een opmerkingengebied op een pagina met waarschuwingsgegevens. Voorbeeld:
Zie Waarschuwingsopmerkingen maken voor een OT-sensor voor meer informatie.
Regels voor het uitsluiten van waarschuwingen maken: alleen on-premises beheerconsoles.
Als u met een on-premises beheerconsole werkt, definieert u regels voor waarschuwingsuitsluiting om gebeurtenissen over meerdere sensoren te negeren die voldoen aan specifieke criteria. U kunt bijvoorbeeld een uitsluitingsregel voor waarschuwingen maken om alle gebeurtenissen te negeren die irrelevante waarschuwingen activeren tijdens een specifiek onderhoudsvenster.
Waarschuwingen die worden genegeerd door uitsluitingsregels, worden niet weergegeven in de Azure-portal, sensor of on-premises beheerconsole of in de gebeurtenislogboeken.
Zie Uitsluitingsregels voor waarschuwingen maken in een on-premises beheerconsole voor meer informatie.
Stuur waarschuwingsgegevens door naar partnersystemen naar partner-SIEM's, syslog-servers, opgegeven e-mailadressen en meer.
Ondersteund vanuit zowel OT-sensoren als on-premises beheerconsoles. Zie Waarschuwingsgegevens doorsturen voor meer informatie.
Waarschuwingsstatussen en triatopties
Gebruik de volgende waarschuwingsstatussen en triatrische opties voor het beheren van waarschuwingen in Defender for IoT.
Houd er bij het sorteren van een waarschuwing rekening mee dat sommige waarschuwingen mogelijk geldige netwerkwijzigingen weerspiegelen, zoals een geautoriseerd apparaat dat probeert toegang te krijgen tot een nieuwe resource op een ander apparaat.
Hoewel opties voor het triteren van de OT-sensor en de on-premises beheerconsole alleen beschikbaar zijn voor OT-waarschuwingen, zijn opties die beschikbaar zijn in Azure Portal beschikbaar voor zowel OT- als Enterprise IoT-waarschuwingen.
Gebruik de volgende tabel voor meer informatie over elke waarschuwingsstatus en sorteeroptie.
| Status/sorteeractie | Beschikbaar op | Beschrijving |
|---|---|---|
| New | - Azure Portal - OT-netwerksensoren - On-premises beheerconsole |
Nieuwe waarschuwingen zijn waarschuwingen die nog niet zijn gesorteerd of onderzocht door het team. Nieuw verkeer dat voor dezelfde apparaten is gedetecteerd, genereert geen nieuwe waarschuwing, maar wordt toegevoegd aan de bestaande waarschuwing. In de on-premises beheerconsole worden nieuwe waarschuwingen Unackledged genoemd. Opmerking: mogelijk ziet u meerdere, nieuwe of niet-bekende waarschuwingen met dezelfde naam. In dergelijke gevallen wordt elke afzonderlijke waarschuwing geactiveerd door afzonderlijk verkeer, op verschillende sets apparaten. |
| Actief | - Alleen Azure Portal | Stel een waarschuwing in op Actief om aan te geven dat er een onderzoek wordt uitgevoerd, maar dat de waarschuwing nog niet kan worden gesloten of anderszins kan worden ingedeeld. Deze status heeft geen effect elders in Defender for IoT. |
| Gesloten | - Azure Portal - OT-netwerksensoren - On-premises beheerconsole |
Sluit een waarschuwing om aan te geven dat deze volledig is onderzocht en dat u opnieuw wilt worden gewaarschuwd wanneer hetzelfde verkeer de volgende keer wordt gedetecteerd. Als u een waarschuwing sluit, wordt deze toegevoegd aan de tijdlijn van de sensor gebeurtenis. In de on-premises beheerconsole worden nieuwe waarschuwingen bevestigd genoemd. |
| Informatie | - Azure Portal - OT-netwerksensoren - On-premises beheerconsole U kunt een waarschuwing alleen opheffen op de OT-sensor. |
Leer een waarschuwing wanneer u deze wilt sluiten en als toegestaan verkeer wilt toevoegen, zodat u niet opnieuw wordt gewaarschuwd wanneer hetzelfde verkeer de volgende keer wordt gedetecteerd. Wanneer de sensor bijvoorbeeld firmwareversies detecteert na standaardonderhoudsprocedures of wanneer een nieuw, verwacht apparaat wordt toegevoegd aan het netwerk. Als u een waarschuwing leert, wordt de waarschuwing gesloten en wordt een item toegevoegd aan de tijdlijn van de sensor gebeurtenis. Gedetecteerd verkeer wordt opgenomen in rapporten voor gegevensanalyse, maar niet bij het berekenen van andere OT-sensorrapporten. Leerwaarschuwingen zijn alleen beschikbaar voor geselecteerde waarschuwingen, met name waarschuwingen van beleids - en anomalie-engine . |
| Mute | - OT-netwerksensoren - On-premises beheerconsole Het dempen van een waarschuwing opheffen is alleen beschikbaar op de OT-sensor. |
Demp een waarschuwing wanneer u deze wilt sluiten en niet opnieuw wilt zien voor hetzelfde verkeer, maar zonder dat de waarschuwing is toegestaan. Wanneer de operationele engine bijvoorbeeld een waarschuwing activeert die aangeeft dat de PLC-modus op een apparaat is gewijzigd. De nieuwe modus kan erop wijzen dat de PLC niet veilig is, maar na onderzoek wordt vastgesteld dat de nieuwe modus acceptabel is. Als u een waarschuwing dempt, wordt deze gesloten, maar wordt er geen item toegevoegd aan de tijdlijn voor sensorevenementen. Gedetecteerd verkeer wordt opgenomen in rapporten voor gegevensanalyse, maar niet bij het berekenen van gegevens voor andere sensorrapporten. Het dempen van een waarschuwing is alleen beschikbaar voor geselecteerde waarschuwingen, met name waarschuwingen die worden geactiveerd door de anomalie, protocolschending of operationele engines. |
Tip
Als u van tevoren weet welke gebeurtenissen niet relevant voor u zijn, zoals tijdens een onderhoudsvenster, of als u de gebeurtenis niet wilt bijhouden in de gebeurtenistijdlijn, maakt u in plaats daarvan een regel voor waarschuwingsuitsluiting op een on-premises beheerconsole.
Zie Uitsluitingsregels voor waarschuwingen maken in een on-premises beheerconsole voor meer informatie.
OT-waarschuwingen classificeren tijdens de leermodus
De leermodus verwijst naar de eerste periode nadat een OT-sensor is geïmplementeerd, wanneer uw OT-sensor de basislijnactiviteit van uw netwerk leert, inclusief de apparaten en protocollen in uw netwerk, en de reguliere bestandsoverdrachten die plaatsvinden tussen specifieke apparaten.
Gebruik de leermodus om een eerste triage uit te voeren op de waarschuwingen in uw netwerk, waarbij u leert wat u wilt markeren als geautoriseerde, verwachte activiteit. Geleerd verkeer genereert geen nieuwe waarschuwingen wanneer hetzelfde verkeer de volgende keer wordt gedetecteerd.
Zie Een geleerde basislijn voor OT-waarschuwingen maken voor meer informatie.
Volgende stappen
Bekijk waarschuwingstypen en berichten om u te helpen herstelacties en playbookintegraties te begrijpen en te plannen. Zie OT-bewakingswaarschuwingstypen en -beschrijvingen voor meer informatie.