Werkstromen voor OT-waarschuwingen versnellen

  • Artikel

Notitie

Genoteerde functies zijn beschikbaar in PREVIEW. De aanvullende voorwaarden van Azure Preview bevatten andere juridische voorwaarden die van toepassing zijn op Azure-functies die in bèta, preview of anderszins nog niet beschikbaar zijn in algemene beschikbaarheid.

Microsoft Defender voor IoT-waarschuwingen verbeteren uw netwerkbeveiliging en -bewerkingen met realtime details over gebeurtenissen die zijn vastgelegd in uw netwerk. OT-waarschuwingen worden geactiveerd wanneer OT-netwerksensoren wijzigingen of verdachte activiteiten detecteren in netwerkverkeer waarvoor uw aandacht nodig is.

In dit artikel worden de volgende methoden beschreven voor het verminderen van de vermoeidheid van OT-netwerkwaarschuwingen in uw team:

  • Maak onderdrukkingsregels vanuit Azure Portal om de waarschuwingen te verminderen die worden geactiveerd door uw sensoren. Als u in een omgeving met air-gapped werkt, doet u dit door regels voor waarschuwingsuitsluiting te maken in de on-premises beheerconsole.

  • Maak waarschuwingsopmerkingen voor uw teams om toe te voegen aan afzonderlijke waarschuwingen, het stroomlijnen van de communicatie en het vastleggen van records voor uw waarschuwingen.

  • Aangepaste waarschuwingsregels maken om specifiek verkeer in uw netwerk te identificeren

Vereisten

Voordat u de procedures op deze pagina gebruikt, moet u rekening houden met de volgende vereisten:

Aan... U moet beschikken over ...
Regels voor waarschuwingsonderdrukking maken in Azure Portal Een Defender for IoT-abonnement met ten minste één met de cloud verbonden OT-sensor en toegang als beveiligings-Beheer, inzender of eigenaar.
Een DNS-acceptatielijst maken op een OT-sensor Een OT-netwerksensor geïnstalleerd en toegang tot de sensor als de standaardgebruiker Beheer.
Waarschuwingsopmerkingen maken voor een OT-sensor Een OT-netwerksensor geïnstalleerd en toegang tot de sensor als elke gebruiker met een Beheer rol.
Aangepaste waarschuwingsregels maken op een OT-sensor Een OT-netwerksensor geïnstalleerd en toegang tot de sensor als elke gebruiker met een Beheer rol.
Waarschuwingsuitsluitingsregels maken in een on-premises beheerconsole Een on-premises beheerconsole geïnstalleerd en toegang tot de on-premises beheerconsole als elke gebruiker met een Beheer rol.

Zie voor meer informatie:

Irrelevante waarschuwingen onderdrukken

Configureer uw OT-sensoren om waarschuwingen te onderdrukken voor specifiek verkeer in uw netwerk dat anders een waarschuwing zou activeren. Als bijvoorbeeld alle OT-apparaten die door een specifieke sensor worden bewaakt gedurende twee dagen onderhoudsprocedures doorlopen, kunt u een regel definiëren om alle waarschuwingen te onderdrukken die door die sensor worden gegenereerd tijdens de onderhoudsperiode.

  • Voor met de cloud verbonden OT-sensoren maakt u regels voor waarschuwingsonderdrukking in Azure Portal om opgegeven verkeer in uw netwerk te negeren dat anders een waarschuwing zou activeren.

  • Voor lokaal beheerde sensoren maakt u regels voor waarschuwingsuitsluiting in de on-premises beheerconsole, hetzij met behulp van de gebruikersinterface of de API.

Belangrijk

Regels die zijn geconfigureerd in Azure Portal overschrijven alle regels die zijn geconfigureerd voor dezelfde sensor in de on-premises beheerconsole. Als u momenteel waarschuwingsuitsluitingsregels gebruikt in uw on-premises beheerconsole, raden we u aan deze regels als onderdrukkingsregels te migreren naar Azure Portal voordat u begint.

Regels voor waarschuwingsonderdrukking maken in Azure Portal (openbare preview)

In deze sectie wordt beschreven hoe u een regel voor waarschuwingsonderdrukking maakt in Azure Portal en alleen wordt ondersteund voor sensoren die zijn verbonden met de cloud.

Een regel voor waarschuwingsonderdrukking maken:

  1. Selecteer in Defender for IoT in Azure Portal regels voor waarschuwingenonderdrukking>.

  2. Selecteer + Maken op de pagina Onderdrukkingsregels (preview).

  3. Voer op het tabblad Details van onderdrukkingsregelmaken de volgende details in:

    1. Selecteer uw Azure-abonnement in de vervolgkeuzelijst.

    2. Voer een beschrijvende naam in voor uw regel en een optionele beschrijving.

    3. Schakel ingeschakeld in of de regel wordt uitgevoerd zoals geconfigureerd. U kunt deze optie ook uitgeschakeld laten om de regel alleen later te gebruiken.

    4. Schakel in het gebied Onderdrukken op tijdsbereik de optie Vervaldatum in om een specifieke begin- en einddatum en -tijd voor uw regel te definiëren. Selecteer Bereik toevoegen om meerdere tijdsbereiken toe te voegen.

    5. Selecteer in het gebied Toepassen op of u de regel wilt toepassen op alle sensoren in uw abonnement of alleen op specifieke sites of sensoren. Als u Toepassen op aangepaste selectie selecteert, selecteert u de sites en/of sensoren waarop u de regel wilt uitvoeren.

      Wanneer u een specifieke site selecteert, is de regel van toepassing op alle bestaande en toekomstige sensoren die aan de site zijn gekoppeld.

    6. Selecteer Volgende en bevestig het onderdrukkingsbericht.

  4. Ga als volgende te werk op het tabblad Voorwaarden in het deelvenster Onderdrukkingsregel maken:

    1. Selecteer in de vervolgkeuzelijst Waarschuwingsnaam een of meer waarschuwingen voor uw regel. Als u de naam van een waarschuwingsengine selecteert in plaats van een specifieke regelnaam, wordt de regel toegepast op alle bestaande en toekomstige waarschuwingen die aan die engine zijn gekoppeld.

    2. U kunt uw regel desgewenst verder filteren door aanvullende voorwaarden te definiëren, zoals voor verkeer dat afkomstig is van specifieke bronnen, naar specifieke bestemmingen of op specifieke subnetten. Wanneer u subnetten opgeeft als voorwaarden, moet u er rekening mee houden dat de subnetten verwijzen naar zowel de bron- als doelapparaten.

    3. Wanneer u klaar bent met het configureren van de regelvoorwaarden, selecteert u Volgende.

  5. Controleer in het deelvenster Onderdrukkingsregel maken Het tabblad Controleren en maken de details van de regel die u maakt en selecteer vervolgens Maken.

Uw regel wordt toegevoegd aan de lijst met onderdrukkingsregels op de pagina Onderdrukkingsregels (preview). Selecteer een regel om deze naar behoefte te bewerken of te verwijderen.

Tip

Als u onderdrukkingsregels wilt exporteren, selecteert u de knop Exporteren op de werkbalk. Alle geconfigureerde regels worden geëxporteerd naar één. CSV-bestand, dat u lokaal kunt opslaan.

Onderdrukkingsregels migreren vanuit een on-premises beheerconsole (openbare preview)

Als u momenteel een on-premises beheerconsole gebruikt met sensoren die zijn verbonden met de cloud, raden we u aan om uitsluitingsregels naar Azure Portal te migreren als onderdrukkingsregels voordat u nieuwe onderdrukkingsregels gaat maken. Onderdrukkingsregels die zijn geconfigureerd in Azure Portal overschrijven uitsluitingsregels voor waarschuwingen die bestaan voor dezelfde sensoren in de on-premises beheerconsole.

Uitsluitingsregels voor waarschuwingen exporteren en importeren in Azure Portal:

  1. Meld u aan bij uw on-premises beheerconsole en selecteer Waarschuwingsuitsluiting.

  2. Selecteer exporteren op de pagina Waarschuwingsuitsluiting om uw regels naar een te exporteren. CSV-bestand.

  3. Selecteer in Defender for IoT in Azure Portal regels voor waarschuwingenonderdrukking>.

  4. Selecteer op de pagina Onderdrukkingsregels (preview) de optie Local Manager-regels migreren en blader naar en selecteer de . CSV-bestand dat u hebt gedownload vanuit de on-premises beheerconsole.

  5. Controleer in het deelvenster Onderdrukkingsregels migreren de geüploade lijst met onderdrukkingsregels die u gaat migreren en selecteer vervolgens Migratie goedkeuren.

  6. Bevestig het onderdrukkingsbericht.

Uw regels worden toegevoegd aan de lijst met onderdrukkingsregels op de pagina Onderdrukkingsregels (preview). Selecteer een regel om deze naar behoefte te bewerken of te verwijderen.

Waarschuwingsuitsluitingsregels maken in een on-premises beheerconsole

Het is raadzaam om regels voor waarschuwingsuitsluiting te maken in een on-premises beheerconsole voor lokaal beheerde sensoren. Voor met de cloud verbonden sensoren overschrijft onderdrukkingsregels die zijn gemaakt in Azure Portal uitsluitingsregels die zijn gemaakt op de on-premises beheerconsole voor die sensor.

Een uitsluitingsregel voor waarschuwingen maken:

  1. Meld u aan bij uw on-premises beheerconsole en selecteer Waarschuwingsuitsluiting in het menu aan de linkerkant.

  2. Selecteer op de pagina Waarschuwingsuitsluiting de + knop rechtsboven om een nieuwe regel toe te voegen.

  3. Voer in het dialoogvenster Uitsluitingsregel maken de volgende details in:

    Name Beschrijving
    Naam Voer een betekenisvolle naam in voor uw regel. De naam mag geen aanhalingstekens (") bevatten.
    Op tijdsperiode Selecteer een tijdzone en de specifieke periode die u wilt dat de uitsluitingsregel actief is en selecteer vervolgens TOEVOEGEN.

    Gebruik deze optie om afzonderlijke regels te maken voor verschillende tijdzones. U moet bijvoorbeeld een uitsluitingsregel toepassen tussen 8:00 en 10:00 uur in drie verschillende tijdzones. In dit geval maakt u drie afzonderlijke uitsluitingsregels die dezelfde periode en de relevante tijdzone gebruiken.
    Op apparaatadres Selecteer en voer de volgende waarden in en selecteer VERVOLGENS TOEVOEGEN:

    - Selecteer of het aangewezen apparaat een bron, doel of een bron- en doelapparaat is.
    - Selecteer of het adres een IP-adres, MAC-adres of subnet is
    - Voer de waarde in van het IP-adres, MAC-adres of subnet.
    Op waarschuwingstitel Selecteer een of meer waarschuwingen om toe te voegen aan de uitsluitingsregel en selecteer vervolgens TOEVOEGEN. Als u waarschuwingstitels wilt zoeken, voert u alle of een deel van een waarschuwingstitel in en selecteert u de gewenste titel in de vervolgkeuzelijst.
    Op sensornaam Selecteer een of meer sensoren die u wilt toevoegen aan de uitsluitingsregel en selecteer vervolgens TOEVOEGEN. Als u sensornamen wilt zoeken, voert u alle of een deel van de sensornaam in en selecteert u de gewenste naam in de vervolgkeuzelijst.

    Belangrijk

    Uitsluitingsregels voor waarschuwingen zijn AND gebaseerd, wat betekent dat waarschuwingen alleen worden uitgesloten wanneer aan alle regelvoorwaarden wordt voldaan. Als er geen regelvoorwaarde is gedefinieerd, worden alle opties opgenomen. Als u bijvoorbeeld de naam van een sensor in de regel niet opneemt, wordt de regel toegepast op alle sensoren.

    Onder aan het dialoogvenster wordt een samenvatting van de regelparameters weergegeven.

  4. Controleer de regelsamenvatting onder aan het dialoogvenster Uitsluitingsregel maken en selecteer VERVOLGENS OPSLAAN

Waarschuwingsuitsluitingsregels maken via API:

Gebruik de Defender for IoT-API om regels voor het uitsluiten van waarschuwingen in de on-premises beheerconsole te maken van een extern ticketingsysteem of een ander systeem waarmee netwerkonderhoudsprocessen worden beheerd.

Gebruik de API maintenanceWindow (waarschuwingsuitsluitingen maken) om de sensoren, analyse-engines, begintijd en eindtijd te definiëren om de regel toe te passen. Uitsluitingsregels die zijn gemaakt via API, worden weergegeven in de on-premises beheerconsole als alleen-lezen.

Zie Defender for IoT API-naslaginformatie voor meer informatie.

Internetverbindingen op een OT-netwerk toestaan

Verminder het aantal niet-geautoriseerde internetwaarschuwingen door een acceptatielijst met domeinnamen op uw OT-sensor te maken. Wanneer een DNS-acceptatielijst is geconfigureerd, controleert de sensor elke poging tot niet-geautoriseerde internetverbinding in de lijst voordat een waarschuwing wordt geactiveerd. Als de FQDN van het domein is opgenomen in de acceptatielijst, activeert de sensor de waarschuwing niet en staat het verkeer automatisch toe.

Alle OT-sensorgebruikers kunnen een momenteel geconfigureerde lijst met domeinen in een rapport voor gegevensanalyse bekijken, waaronder de FQDN's, opgeloste IP-adressen en de laatste resolutietijd.

Een DNS-acceptatielijst definiëren:

  1. Meld u als beheerder aan bij uw OT-sensor en selecteer de ondersteuningspagina.

  2. Zoek in het zoekvak naar DNS en zoek vervolgens de engine met de beschrijving Internet Domain Allowlist.

  3. Selecteer Bewerken voor de rij Allowlist voor internetdomein. Voorbeeld:

    Schermopname van het bewerken van configuraties voor DNS in de sensorconsole.

  4. Voer een of meer domeinnamen in het deelvenster Configuratielijst > bewerken in. Scheid meerdere domeinnamen met komma's. Uw sensor genereert geen waarschuwingen voor pogingen tot niet-geautoriseerde internetverbinding op de geconfigureerde domeinen.

  5. Selecteer Verzenden om uw wijzigingen op te slaan.

De huidige acceptatielijst weergeven in een rapport over gegevensanalyse:

Wanneer u een categorie selecteert in uw aangepaste rapport voor gegevensanalyse, moet u de acceptatielijst voor internetdomeinen selecteren onder de DNS-categorie.

Voorbeeld:

Schermopname van het genereren van een aangepast rapport voor gegevensanalyse voor de acceptatielijst in de sensorconsole.

Het gegenereerde rapport voor gegevensanalyse toont een lijst met de toegestane domeinen en elk IP-adres dat voor deze domeinen wordt omgezet. Het rapport bevat ook de TTL, in seconden, waarbij deze IP-adressen geen waarschuwing voor internetverbinding activeren. Voorbeeld:

Schermopname van het rapport gegevensanalyse van de acceptatielijst in de sensorconsole.

Waarschuwingsopmerkingen maken voor een OT-sensor

  1. Meld u aan bij uw OT-sensor en selecteer System Instellingen> Network Monitoring>Alert Comments.

  2. Voer in het opmerkingenvenster Waarschuwing in het veld Beschrijving de nieuwe opmerking in en selecteer Toevoegen. De nieuwe opmerking wordt weergegeven in de lijst Beschrijving onder het veld.

    Voorbeeld:

    Schermopname van het opmerkingenvenster Waarschuwing op de OT-sensor.

  3. Selecteer Verzenden om uw opmerking toe te voegen aan de lijst met beschikbare opmerkingen in elke waarschuwing op uw sensor.

Aangepaste opmerkingen zijn beschikbaar in elke waarschuwing op uw sensor om teamleden toe te voegen. Zie Waarschuwingsopmerkingen toevoegen voor meer informatie.

Aangepaste waarschuwingsregels maken op een OT-sensor

Voeg aangepaste waarschuwingsregels toe om waarschuwingen te activeren voor specifieke activiteiten in uw netwerk die niet worden gedekt door out-of-the-box-functionaliteit.

Voor een omgeving met MODBUS kunt u bijvoorbeeld een regel toevoegen om geschreven opdrachten te detecteren in een geheugenregister op een specifiek IP-adres en ethernet-doel.

Een aangepaste waarschuwingsregel maken:

  1. Meld u aan bij uw OT-sensor en selecteer Aangepaste waarschuwingsregels>+ Regel maken.

  2. Definieer in het deelvenster Aangepaste waarschuwingsregel maken de volgende velden:

    Name Beschrijving
    Waarschuwingsnaam Voer een betekenisvolle naam in voor de waarschuwing.
    Waarschuwingsprotocol Selecteer het protocol dat u wilt detecteren.
    Selecteer in specifieke gevallen een van de volgende protocollen:

    - Voor een databasegegevens- of structuurbewerkingsgebeurtenis selecteert u TNS of TDS.
    - Voor een bestandsgebeurtenis selecteert u HTTP, DELTAV, SMB of FTP, afhankelijk van het bestandstype.
    - Selecteer HTTP voor een pakketdownloadgebeurtenis.
    - Selecteer TCP of UDP voor een geopende poortgebeurtenis (verwijderd), afhankelijk van het poorttype.

    Als u regels wilt maken voor het bijhouden van specifieke wijzigingen in een van uw OT-protocollen, zoals S7 of CIP, gebruikt u parameters die in dat protocol zijn gevonden, zoals tag of sub-function.
    Bericht Definieer een bericht dat moet worden weergegeven wanneer de waarschuwing wordt geactiveerd. Waarschuwingsberichten ondersteunen alfanumerieke tekens en eventuele gedetecteerde verkeersvariabelen.

    U kunt bijvoorbeeld de gedetecteerde bron- en doeladressen opnemen. Gebruik accolades ({}) om variabelen toe te voegen aan het waarschuwingsbericht.
    Richting Voer een bron- en/of doel-IP-adres in waar u verkeer wilt detecteren.
    Voorwaarden Definieer een of meer voorwaarden waaraan moet worden voldaan om de waarschuwing te activeren.

    - Selecteer het + teken om een voorwaardeset te maken met meerdere voorwaarden die gebruikmaken van de AND-operator . Het + teken is alleen ingeschakeld nadat u een waarschuwingsprotocolwaarde hebt geselecteerd.
    - Als u een MAC-adres of IP-adres als variabele selecteert, moet u de waarde van een gestippeld-decimaal adres converteren naar decimale notatie.

    U moet ten minste één voorwaarde toevoegen om een aangepaste waarschuwingsregel te maken.
    Gedetecteerd Definieer een datum- en/of tijdsbereik voor het verkeer dat u wilt detecteren. Pas de dagen en het tijdsbereik aan zodat deze passen bij onderhoudsuren of werkuren instellen.
    Actie Definieer een actie die defender voor IoT automatisch moet uitvoeren wanneer de waarschuwing wordt geactiveerd.
    Laat Defender for IoT een waarschuwing of gebeurtenis maken met de opgegeven ernst.
    PCAP inbegrepen Als u ervoor hebt gekozen om een gebeurtenis te maken, schakelt u de meegeleverde PCAP-optie indien nodig uit. Als u ervoor hebt gekozen om een waarschuwing te maken, wordt de PCAP altijd opgenomen en kan deze niet worden verwijderd.

    Voorbeeld:

    Schermopname van het deelvenster Aangepaste waarschuwingsregel maken voor het maken van aangepaste waarschuwingsregels.

  3. Selecteer Opslaan wanneer u klaar bent om de regel op te slaan.

Een aangepaste waarschuwingsregel bewerken

Als u een aangepaste waarschuwingsregel wilt bewerken, selecteert u de regel en selecteert u vervolgens het menu >Bewerken (...). Wijzig de waarschuwingsregel indien nodig en sla uw wijzigingen op.

Wijzigingen die zijn aangebracht in aangepaste waarschuwingsregels, zoals het wijzigen van een ernstniveau of protocol, worden bijgehouden op de pagina Gebeurtenistijdlijn op de OT-sensor.

Zie Sensoractiviteit bijhouden voor meer informatie.

Aangepaste waarschuwingsregels uitschakelen, inschakelen of verwijderen

Schakel aangepaste waarschuwingsregels uit om te voorkomen dat ze worden uitgevoerd zonder ze helemaal te verwijderen.

Selecteer op de pagina Aangepaste waarschuwingsregels een of meer regels en selecteer indien nodig uitschakelen, inschakelen of verwijderen op de werkbalk.

Waarschuwingsuitsluitingsregels maken in een on-premises beheerconsole

Maak regels voor het uitsluiten van waarschuwingen om uw sensoren te instrueren om specifiek verkeer op uw netwerk te negeren dat anders een waarschuwing zou activeren.

Als u bijvoorbeeld weet dat alle OT-apparaten die worden bewaakt door een specifieke sensor gedurende twee dagen onderhoudsprocedures doorlopen, definieert u een uitsluitingsregel waarmee Defender voor IoT waarschuwingen onderdrukt die tijdens de vooraf gedefinieerde periode door deze sensor zijn gedetecteerd.

Een uitsluitingsregel voor waarschuwingen maken:

  1. Meld u aan bij uw on-premises beheerconsole en selecteer Waarschuwingsuitsluiting in het menu aan de linkerkant.

  2. Selecteer op de pagina Waarschuwingsuitsluiting de + knop rechtsboven om een nieuwe regel toe te voegen.

  3. Voer in het dialoogvenster Uitsluitingsregel maken de volgende details in:

    Name Beschrijving
    Naam Voer een betekenisvolle naam in voor uw regel. De naam mag geen aanhalingstekens (") bevatten.
    Op tijdsperiode Selecteer een tijdzone en de specifieke periode die u wilt dat de uitsluitingsregel actief is en selecteer vervolgens TOEVOEGEN.

    Gebruik deze optie om afzonderlijke regels te maken voor verschillende tijdzones. U moet bijvoorbeeld een uitsluitingsregel toepassen tussen 8:00 en 10:00 uur in drie verschillende tijdzones. In dit geval maakt u drie afzonderlijke uitsluitingsregels die dezelfde periode en de relevante tijdzone gebruiken.
    Op apparaatadres Selecteer en voer de volgende waarden in en selecteer VERVOLGENS TOEVOEGEN:

    - Selecteer of het aangewezen apparaat een bron, doel of een bron- en doelapparaat is.
    - Selecteer of het adres een IP-adres, MAC-adres of subnet is
    - Voer de waarde in van het IP-adres, MAC-adres of subnet.
    Op waarschuwingstitel Selecteer een of meer waarschuwingen om toe te voegen aan de uitsluitingsregel en selecteer vervolgens TOEVOEGEN. Als u waarschuwingstitels wilt zoeken, voert u alle of een deel van een waarschuwingstitel in en selecteert u de gewenste titel in de vervolgkeuzelijst.
    Op sensornaam Selecteer een of meer sensoren die u wilt toevoegen aan de uitsluitingsregel en selecteer vervolgens TOEVOEGEN. Als u sensornamen wilt zoeken, voert u alle of een deel van de sensornaam in en selecteert u de gewenste naam in de vervolgkeuzelijst.

    Belangrijk

    Uitsluitingsregels voor waarschuwingen zijn AND gebaseerd, wat betekent dat waarschuwingen alleen worden uitgesloten wanneer aan alle regelvoorwaarden wordt voldaan. Als er geen regelvoorwaarde is gedefinieerd, worden alle opties opgenomen. Als u bijvoorbeeld de naam van een sensor in de regel niet opneemt, wordt de regel toegepast op alle sensoren.

    Onder aan het dialoogvenster wordt een samenvatting van de regelparameters weergegeven.

  4. Controleer de regelsamenvatting onder aan het dialoogvenster Uitsluitingsregel maken en selecteer VERVOLGENS OPSLAAN

Waarschuwingsuitsluitingsregels maken via API

Gebruik de Defender for IoT-API om regels voor waarschuwingsuitsluiting te maken op basis van een extern ticketingsysteem of een ander systeem waarmee netwerkonderhoudsprocessen worden beheerd.

Gebruik de API maintenanceWindow (waarschuwingsuitsluitingen maken) om de sensoren, analyse-engines, begintijd en eindtijd te definiëren om de regel toe te passen. Uitsluitingsregels die zijn gemaakt via API, worden weergegeven in de on-premises beheerconsole als alleen-lezen.

Zie Defender for IoT API-naslaginformatie voor meer informatie.

Volgende stappen

Microsoft Defender voor IoT-waarschuwingen