Informatie over on-premises OT-waarschuwingen doorsturen
Microsoft Defender voor IoT-waarschuwingen verbeteren uw netwerkbeveiliging en -bewerkingen met realtime details over gebeurtenissen die zijn vastgelegd in uw netwerk. OT-waarschuwingen worden geactiveerd wanneer OT-netwerksensoren wijzigingen of verdachte activiteiten detecteren in netwerkverkeer waarvoor uw aandacht nodig is.
In dit artikel wordt beschreven hoe u uw OT-sensor of on-premises beheerconsole configureert om waarschuwingen door te sturen naar partnerservices, syslog-servers, e-mailadressen en meer. Doorgestuurde waarschuwingsgegevens bevatten details zoals:
- Datum en tijd van de waarschuwing
- Engine die de gebeurtenis heeft gedetecteerd
- Titel van waarschuwing en beschrijvend bericht
- Ernst van waarschuwing
- Bron- en doelnaam en IP-adres
- Verdacht verkeer gedetecteerd
- Niet-verbonden sensoren
- Externe back-upfouten
Notitie
Waarschuwingsregels voor doorsturen worden alleen uitgevoerd op waarschuwingen die worden geactiveerd nadat de doorstuurregel is gemaakt. Waarschuwingen die al in het systeem staan voordat de doorstuurregel is gemaakt, worden niet beïnvloed door de regel.
Vereisten
Afhankelijk van waar u de waarschuwingsregels voor doorsturen wilt maken, moet er een OT-netwerksensor of on-premises beheerconsole zijn geïnstalleerd, met toegang als Beheer gebruiker.
Zie Bewakingssoftware voor OT zonder agent installeren en on-premises gebruikers en rollen voor OT-bewaking met Defender for IoT voor meer informatie.
U moet ook SMTP-instellingen definiëren op de OT-sensor of on-premises beheerconsole.
Zie Instellingen voor SMTP-e-mailserver configureren op een OT-sensor en SMTP-mailserverinstellingen configureren in de on-premises beheerconsole voor meer informatie.
Regels voor doorsturen maken op een OT-sensor
Meld u aan bij de OT-sensor en selecteer Doorsturen in het linkermenu> + Nieuwe regel maken.
Voer in het deelvenster Doorstuurregel toevoegen een beschrijvende regelnaam in en definieer vervolgens regelvoorwaarden en acties als volgt:
Name Beschrijving Minimaal waarschuwingsniveau Selecteer het minimale ernstniveau voor waarschuwingen dat u wilt doorsturen.
Als u bijvoorbeeld Secundaire, secundaire waarschuwingen en eventuele waarschuwingen boven dit ernstniveau selecteert, worden doorgestuurd.Elk protocol gedetecteerd Schakel de schakelaar in om waarschuwingen van al het protocolverkeer door te sturen of schakel deze uit en selecteer de specifieke protocollen die u wilt opnemen. Verkeer gedetecteerd door een engine Schakel de schakelaar in om waarschuwingen van alle analyse-engines door te sturen of schakel deze uit en selecteer de specifieke engines die u wilt opnemen. Acties Selecteer het type server waarnaar u waarschuwingen wilt doorsturen en definieer vervolgens alle andere vereiste informatie voor dat servertype.
Als u meerdere servers aan dezelfde regel wilt toevoegen, selecteert u + Server toevoegen en voegt u meer details toe.
Zie Acties voor het doorsturen van waarschuwingen configureren voor meer informatie.Wanneer u klaar bent met het configureren van de regel, selecteert u Opslaan. De regel wordt weergegeven op de pagina Doorsturen .
Test de regel die u hebt gemaakt:
- Selecteer het menu Opties (...) voor de regel >Testbericht verzenden.
- Ga naar de doelservice om te controleren of de informatie die door de sensor is verzonden, is ontvangen.
Doorstuurregels op een OT-sensor bewerken of verwijderen
Een bestaande regel bewerken of verwijderen:
Meld u aan bij uw OT-sensor en selecteer Doorsturen in het menu aan de linkerkant.
Selecteer het menu Opties (...) voor uw regel en voer een van de volgende handelingen uit:
Selecteer Indien nodig de velden bewerken en bijwerken. Selecteer Opslaan als u klaar bent.
Selecteer Ja verwijderen>om de verwijdering te bevestigen.
Regels voor doorsturen maken op een on-premises beheerconsole
Een doorstuurregel maken in de beheerconsole:
Meld u aan bij de on-premises beheerconsole en selecteer Doorsturen in het menu aan de linkerkant.
Selecteer de + knop rechtsboven om een nieuwe regel te maken.
Voer in het venster Doorstuurregel maken een beschrijvende naam voor de regel in en definieer vervolgens regelvoorwaarden en acties als volgt:
Name Beschrijving Minimaal waarschuwingsniveau In de rechterbovenhoek van het dialoogvenster gebruikt u de vervolgkeuzelijst om het minimale ernstniveau voor waarschuwingen te selecteren dat u wilt doorsturen.
Als u bijvoorbeeld Secundaire, secundaire waarschuwingen en eventuele waarschuwingen boven dit ernstniveau selecteert, worden doorgestuurd.Protocollen Selecteer Alles om waarschuwingen van al het protocolverkeer door te sturen of selecteer Specifiek om alleen specifieke protocollen toe te voegen. Engines Selecteer Alles om waarschuwingen door te sturen die worden geactiveerd door alle sensoranalyse-engines of selecteer Specifiek om alleen specifieke engines toe te voegen. Systeemmeldingen Selecteer de optie Systeemmeldingen rapporteren om te informeren over niet-verbonden sensoren of externe back-upfouten. Waarschuwingsmeldingen Selecteer de optie Waarschuwingsmeldingen rapporteren om te informeren over de datum en tijd van een waarschuwing, titel, ernst, bron- en doelnaam en IP-adres, verdacht verkeer en de engine die de gebeurtenis heeft gedetecteerd. Acties Selecteer Toevoegen om een actie toe te voegen die moet worden toegepast en voer parameters in die nodig zijn voor de geselecteerde actie. Herhaal dit zo nodig om meerdere acties toe te voegen.
Zie Acties voor het doorsturen van waarschuwingen configureren voor meer informatie.Wanneer u klaar bent met het configureren van de regel, selecteert u OPSLAAN. De regel wordt weergegeven op de pagina Doorsturen .
Test de regel die u hebt gemaakt:
- Selecteer in de rij voor uw regel de
knop Deze doorstuurregel testen. Er wordt een melding weergegeven als het bericht is verzonden. - Ga naar uw partnersysteem om te controleren of de informatie die door de sensor is verzonden, is ontvangen.
- Selecteer in de rij voor uw regel de
Doorstuurregels bewerken of verwijderen in een on-premises beheerconsole
Een bestaande regel bewerken of verwijderen:
Meld u aan bij uw on-premises beheerconsole en selecteer Doorsturen in het menu aan de linkerkant.
Zoek de rij voor de regel en selecteer vervolgens de
knop Bewerken of 
Verwijderen .Als u de regel bewerkt, werkt u de velden indien nodig bij en selecteert u OPSLAAN.
Als u de regel verwijdert, selecteert u BEVESTIGEN om de verwijdering te bevestigen.
Acties voor het doorsturen van waarschuwingen configureren
In deze sectie wordt beschreven hoe u instellingen configureert voor ondersteunde doorstuurregelacties op een OT-sensor of de on-premises beheerconsole.
Actie e-mailadres
Configureer een e-mailactie om waarschuwingsgegevens door te sturen naar het geconfigureerde e-mailadres.
Voer in het gebied Acties de volgende details in:
| Name | Beschrijving |
|---|---|
| Server | Selecteer E-mail. |
| E-mailen | Voer het e-mailadres in waarnaar u de waarschuwingen wilt doorsturen. Elke regel ondersteunt één e-mailadres. |
| Tijdzone | Selecteer de tijdzone die u wilt gebruiken voor de detectie van waarschuwingen in het doelsysteem. |
Syslog-serveracties
Configureer een Syslog-serveractie om waarschuwingsgegevens door te sturen naar het geselecteerde type Syslog-server.
Voer in het gebied Acties de volgende details in:
| Name | Beschrijving |
|---|---|
| Server | Selecteer een van de volgende typen syslog-indelingen: - SYSLOG-server (CEF-indeling) - SYSLOG Server (LEEF-indeling) - SYSLOG-server (object) - SYSLOG-server (tekstbericht) |
| Hostpoort / | Voer de hostnaam en poort van de syslog-server in |
| Tijdzone | Selecteer de tijdzone die u wilt gebruiken voor de detectie van waarschuwingen in het doelsysteem. |
| Protocol | Alleen ondersteund voor sms-berichten. Selecteer TCP of UDP. |
| Versleuteling inschakelen | Alleen ondersteund voor CEF-indeling. Schakel de wisselknop in om een TLS-versleutelingscertificaatbestand, sleutelbestand en wachtwoordzin te configureren. |
In de volgende secties worden de syslog-uitvoersyntaxis voor elke indeling beschreven.
Uitvoervelden voor Syslog-tekstberichten
| Name | Beschrijving |
|---|---|
| Prioriteit | Gebruiker. Waarschuwing |
| Bericht | CyberX-platformnaam: de sensornaam. Microsoft Defender for IoT-waarschuwing: de titel van de waarschuwing. Type: Het type waarschuwing. Kan protocolschending, beleidsschending, malware, anomalie of operationeel zijn. Ernst: de ernst van de waarschuwing. Kan waarschuwing, secundair, primair of kritiek zijn. Bron: de naam van het bronapparaat. Bron-IP: het IP-adres van het bronapparaat. Protocol (optioneel): het gedetecteerde bronprotocol. Adres (optioneel): bronprotocoladres. Bestemming: de naam van het doelapparaat. Doel-IP: het IP-adres van het doelapparaat. Protocol (optioneel): het gedetecteerde doelprotocol. Adres (optioneel): het adres van het doelprotocol. Bericht: Het bericht van de waarschuwing. Waarschuwingsgroep: de waarschuwingsgroep die is gekoppeld aan de waarschuwing. UUID (optioneel): de UUID van de waarschuwing. |
Uitvoervelden van Syslog-objecten
| Name | Beschrijving |
|---|---|
| Prioriteit | User.Alert |
| Datum en tijd | De datum en tijd waarop de syslog-servercomputer de informatie heeft ontvangen. |
| Hostnaam | IP-adres van sensor |
| Bericht | Sensornaam: de naam van het apparaat. Waarschuwingstijd: de tijd waarop de waarschuwing is gedetecteerd: kan variëren van de tijd van de syslog-servercomputer en is afhankelijk van de tijdzoneconfiguratie van de doorstuurregel. Titel van waarschuwing: de titel van de waarschuwing. Waarschuwingsbericht: het bericht van de waarschuwing. Ernst van waarschuwing: de ernst van de waarschuwing: Waarschuwing, Secundair, Primair of Kritiek. Waarschuwingstype: Protocolschending, Beleidsschending, Malware, Anomalie of Operationeel. Protocol: het protocol van de waarschuwing. Source_MAC: IP-adres, naam, leverancier of besturingssysteem van het bronapparaat. Destination_MAC: IP-adres, naam, leverancier of besturingssysteem van de bestemming. Als er gegevens ontbreken, is de waarde N/B. alert_group: de waarschuwingsgroep die aan de waarschuwing is gekoppeld. |
Syslog CEF-uitvoervelden
| Name | Beschrijving |
|---|---|
| Prioriteit | User.Alert |
| Datum en tijd | Datum en tijd waarop de sensor de informatie heeft verzonden, in UTC-indeling |
| Hostnaam | Hostnaam van sensor |
| Bericht | CEF:0 Microsoft Defender for IoT/CyberX Sensornaam Sensorversie Microsoft Defender for IoT-waarschuwing Titel van waarschuwing Integer-indicatie van ernst. 1=Waarschuwing, 4=Secundair, 8=Primair of 10=Kritiek. msg= Het bericht van de waarschuwing. protocol= Het protocol van de waarschuwing. ernst= Waarschuwing, Secundair, Primair of Kritiek. type= Protocolovertreding, Beleidsschending, Malware, Anomalie of Operationeel. UUID= UUID van de waarschuwing (optioneel) start= De tijd waarop de waarschuwing is gedetecteerd. Kan variëren van de tijd van de syslog-servercomputer en is afhankelijk van de tijdzoneconfiguratie van de doorstuurregel. src_ip= IP-adres van het bronapparaat. (Optioneel) src_mac= MAC-adres van het bronapparaat. (Optioneel) dst_ip= IP-adres van het doelapparaat. (Optioneel) dst_mac= MAC-adres van het doelapparaat. (Optioneel) cat= De waarschuwingsgroep die aan de waarschuwing is gekoppeld. |
Syslog LEEF-uitvoervelden
| Name | Beschrijving |
|---|---|
| Prioriteit | User.Alert |
| Datum en tijd | Datum en tijd waarop de sensor de informatie heeft verzonden, in UTC-indeling |
| Hostnaam | IP-adres van sensor |
| Bericht | Sensornaam: de naam van het Microsoft Defender for IoT-apparaat. LEEF:1.0 Microsoft Defender voor IoT Sensor Sensorversie Microsoft Defender for IoT-waarschuwing titel: De titel van de waarschuwing. msg: het bericht van de waarschuwing. protocol: het protocol van de waarschuwing. ernst: waarschuwing, secundair, primair of kritiek. type: Het type waarschuwing: Protocolovertreding, Beleidsschending, Malware, Anomalie of Operationeel. start: de tijd van de waarschuwing. Dit kan afwijken van de tijd van de syslog-servercomputer en is afhankelijk van de tijdzoneconfiguratie. src_ip: IP-adres van het bronapparaat. dst_ip: IP-adres van het doelapparaat. cat: De waarschuwingsgroep die is gekoppeld aan de waarschuwing. |
Webhook-serveractie
Alleen ondersteund vanuit de on-premises beheerconsole
Configureer een webhookactie om een integratie te configureren die is geabonneerd op Defender for IoT-waarschuwingsevenementen. Verzend bijvoorbeeld waarschuwingsgegevens naar een webhookserver om een extern SIEM-systeem, SOAR-systeem of incidentbeheersysteem bij te werken.
Wanneer u waarschuwingen hebt geconfigureerd die moeten worden doorgestuurd naar een webhookserver en er een waarschuwingsgebeurtenis wordt geactiveerd, verzendt de on-premises beheerconsole een HTTP POST-nettolading naar de geconfigureerde webhook-URL.
Voer in het gebied Acties de volgende details in:
| Name | Beschrijving |
|---|---|
| Server | Selecteer Webhook. |
| URL | Voer de URL van de webhookserver in. |
| Sleutel/waarde | Voer sleutel-waardeparen in om de HTTP-header zo nodig aan te passen. Ondersteunde tekens zijn onder andere: - Sleutels kunnen alleen letters, cijfers, streepjes en onderstrepingstekens bevatten. - Waarden kunnen slechts één voorloop- en/of volgruimte bevatten. |
Webhook uitgebreid
Alleen ondersteund vanuit de on-premises beheerconsole
Configureer een uitgebreide webhookactie om de volgende extra gegevens naar uw webhookserver te verzenden:
- sensorID
- sensorName
- Zone
- Zonenaam
- siteID
- sitenaam
- sourceDeviceAddress
- destinationDeviceAddress
- remediationSteps
- Behandeld
- additionalInformation
Voer in het gebied Acties de volgende details in:
| Name | Beschrijving |
|---|---|
| Server | Selecteer Webhook uitgebreid. |
| URL | Voer de URL van de eindpuntgegevens in. |
| Sleutel/waarde | Voer sleutel-waardeparen in om de HTTP-header zo nodig aan te passen. Ondersteunde tekens zijn onder andere: - Sleutels kunnen alleen letters, cijfers, streepjes en onderstrepingstekens bevatten. - Waarden kunnen slechts één voorloop- en/of volgruimte bevatten. |
NetWitness-actie
Configureer een NetWitness-actie om waarschuwingsgegevens naar een NetWitness-server te verzenden.
Voer in het gebied Acties de volgende details in:
| Name | Beschrijving |
|---|---|
| Server | Selecteer NetWitness. |
| Hostnaam/poort | Voer de hostnaam en poort van de NetWitness-server in. |
| Tijdzone | Voer de tijdzone in die u wilt gebruiken in het tijdstempel voor de detectie van waarschuwingen in de SIEM. |
Doorstuurregels configureren voor partnerintegraties
Mogelijk integreert u Defender for IoT met een partnerservice om waarschuwings- of apparaatinventarisgegevens te verzenden naar een ander beveiligings- of apparaatbeheersysteem of om te communiceren met firewalls aan de partnerzijde.
Partnerintegraties kunnen helpen om eerder gesilode beveiligingsoplossingen te overbruggingen, de zichtbaarheid van apparaten te verbeteren en het systeembrede antwoord te versnellen om risico's sneller te beperken.
In dergelijke gevallen gebruikt u ondersteunde acties om referenties en andere informatie in te voeren die nodig zijn om te communiceren met geïntegreerde partnerservices.
Zie voor meer informatie:
Waarschuwingsgroepen configureren in partnerservices
Wanneer u doorstuurregels configureert voor het verzenden van waarschuwingsgegevens naar Syslog-servers, QRadar en ArcSight, worden waarschuwingsgroepen automatisch toegepast en zijn deze beschikbaar op die partnerservers.
Waarschuwingsgroepen helpen SOC-teams bij het gebruik van deze partneroplossingen voor het beheren van waarschuwingen op basis van beveiligingsbeleid voor ondernemingen en zakelijke prioriteiten. Waarschuwingen over nieuwe detecties worden bijvoorbeeld ingedeeld in een detectiegroep , waaronder waarschuwingen over nieuwe apparaten, VLAN's, gebruikersaccounts, MAC-adressen en meer.
Waarschuwingsgroepen worden weergegeven in partnerservices met de volgende voorvoegsels:
| Voorvoegsel | Partnerservice |
|---|---|
cat |
QRadar, ArcSight, Syslog CEF, Syslog LEEF |
Alert Group |
Syslog-tekstberichten |
alert_group |
Syslog-objecten |
Als u waarschuwingsgroepen in uw integratie wilt gebruiken, moet u uw partnerservices configureren om de naam van de waarschuwingsgroep weer te geven.
Waarschuwingen worden standaard als volgt gegroepeerd:
- Abnormaal communicatiegedrag
- Aangepaste waarschuwingen
- Externe toegang
- Abnormaal HTTP-communicatiegedrag
- Detectie
- Opdrachten opnieuw opstarten en stoppen
- Verificatie
- Firmwarewijziging
- Scannen
- Niet-geautoriseerd communicatiegedrag
- Illegale opdrachten
- Sensorverkeer
- Afwijkingen in bandbreedte
- Internettoegang
- Vermoeden van malware
- Bufferoverloop
- Bewerkingsfouten
- Vermoeden van schadelijke activiteit
- Opdrachtfouten
- Operationele problemen
- Configuratiewijzigingen
- Programmering
Neem contact op met Microsoft Ondersteuning voor meer informatie en om aangepaste waarschuwingsgroepen te maken.
Problemen met doorstuurregels oplossen
Als uw regels voor doorstuurwaarschuwingen niet werken zoals verwacht, controleert u de volgende details:
Certificaatvalidatie. Doorstuurregels voor Syslog CEF, Microsoft Sentinel en QRadar ondersteunen versleuteling en certificaatvalidatie.
Als uw OT-sensoren of on-premises beheerconsole zijn geconfigureerd om certificaten te valideren en het certificaat niet kan worden geverifieerd, worden de waarschuwingen niet doorgestuurd.
In deze gevallen is de sensor of on-premises beheerconsole de client en initiator van de sessie. Certificaten worden doorgaans ontvangen van de server of gebruiken asymmetrische versleuteling, waarbij een specifiek certificaat wordt verstrekt om de integratie in te stellen.
Uitsluitingsregels voor waarschuwingen. Als u uitsluitingsregels hebt geconfigureerd in uw on-premises beheerconsole, worden de waarschuwingen die u wilt doorsturen mogelijk genegeerd door uw sensoren. Zie Uitsluitingsregels voor waarschuwingen maken in een on-premises beheerconsole voor meer informatie.