Waarschuwingen weergeven en beheren vanuit Azure Portal

Microsoft Defender voor IoT-waarschuwingen verbeteren uw netwerkbeveiliging en -bewerkingen met realtime details over gebeurtenissen die zijn vastgelegd in uw netwerk. In dit artikel wordt beschreven hoe u Microsoft Defender for IoT-waarschuwingen beheert in Azure Portal, inclusief waarschuwingen die worden gegenereerd door OT- en Enterprise IoT-netwerksensoren.

• OT-waarschuwingen zijn ook beschikbaar op elke OT-netwerksensorconsole of een verbonden on-premises beheerconsole

• Integreer met Microsoft Sentinel om Defender for IoT-waarschuwingen in Microsoft Sentinel weer te geven en deze samen met beveiligingsincidenten te beheren.

• Als Enterprise IoT-beveiligingis ingeschakeld in Microsoft Defender XDR, zijn waarschuwingen voor Enterprise IoT-apparaten die door Microsoft Defender voor Eindpunt zijn gedetecteerd, alleen beschikbaar in Defender voor Eindpunt.

  Zie IoT-apparaten beveiligen in de onderneming en de wachtrij Waarschuwingen in Microsoft Defender XDR voor meer informatie.

Vereisten

• Als u waarschuwingen in Defender for IoT wilt hebben, moet er een OT zijn toegevoegd en moet er netwerkgegevens worden gestreamd naar Defender for IoT.

• Als u waarschuwingen wilt weergeven in Azure Portal, moet u toegang hebben als beveiligingslezer, beveiliging Beheer, inzender of eigenaar

• Als u waarschuwingen in Azure Portal wilt beheren, moet u toegang hebben als beveiligings-Beheer, inzender of eigenaar. Activiteiten voor waarschuwingsbeheer omvatten het wijzigen van hun statussen of ernst, het leren van een waarschuwing, het openen van PCAP-gegevens of het gebruik van regels voor waarschuwingsonderdrukking.

Zie Azure-gebruikersrollen en -machtigingen voor Defender for IoT voor meer informatie.

Waarschuwingen weergeven in Azure Portal

1. Selecteer in Defender for IoT in Azure Portal de pagina Waarschuwingen aan de linkerkant. Standaard worden de volgende details weergegeven in het raster:

   Kolom	Beschrijving
   Ernst	Een vooraf gedefinieerde ernst van de waarschuwing die is toegewezen door de sensor die u indien nodig kunt wijzigen.
   Naam	De titel van de waarschuwing.
   Locatie	De site die is gekoppeld aan de sensor die de waarschuwing heeft gedetecteerd, zoals vermeld op de pagina Sites en sensoren .
   Engine	De Defender for IoT-detectie-engine die de activiteit heeft gedetecteerd en de waarschuwing heeft geactiveerd. Opmerking: Een waarde van Micro-agent geeft aan dat de gebeurtenis is geactiveerd door het Defender for IoT Device Builder-platform .
   Laatste detectie	De laatste keer dat de waarschuwing is gedetecteerd. - Als de status van een waarschuwing Nieuw is en hetzelfde verkeer opnieuw wordt weergegeven, wordt de laatste detectietijd bijgewerkt voor dezelfde waarschuwing. - Als de status van de waarschuwing gesloten is en verkeer opnieuw wordt weergegeven, wordt de laatste detectietijd niet bijgewerkt en wordt er een nieuwe waarschuwing geactiveerd.
   -Status	De waarschuwingsstatus: Nieuw, Actief, Gesloten Zie Voor meer informatie waarschuwingsstatussen en triatlopties.
   Bronapparaat	Het IP-adres, het MAC-adres of de naam van het apparaat waar het verkeer dat de waarschuwing heeft geactiveerd, afkomstig is.
   Tactiek	De MITRE ATT&CK-fase.

   1. Als u meer details wilt bekijken, selecteert u de knop Kolommen bewerken.

      Selecteer Kolom toevoegen en een van de volgende extra kolommen in het deelvenster Kolommen bewerken aan de rechterkant:

      Kolom	Beschrijving
      Adres van bronapparaat	Het IP-adres van het bronapparaat.
      Adres van doelapparaat	Het IP-adres van het doelapparaat.
      Doelapparaat	Het DOEL-IP- of MAC-adres of de naam van het doelapparaat.
      Eerste detectie	De eerste keer dat de waarschuwing is gedetecteerd in het netwerk.
      Id	De unieke waarschuwings-id, afgestemd op de id op de sensorconsole. Opmerking: Als de waarschuwing is samengevoegd met andere waarschuwingen van sensoren die dezelfde waarschuwing hebben gedetecteerd, geeft Azure Portal de waarschuwings-id weer van de eerste sensor die de waarschuwingen heeft gegenereerd.
      Laatste activiteit	De laatste keer dat de waarschuwing is gewijzigd, inclusief handmatige updates voor ernst of status, of automatische wijzigingen voor apparaatupdates of apparaat-/waarschuwingsontdubbeling
      Protocol	Het protocol dat is gedetecteerd in het netwerkverkeer voor de waarschuwing.
      Sensor	De sensor die de waarschuwing heeft gedetecteerd.
      Zone	De zone die is toegewezen aan de sensor die de waarschuwing heeft gedetecteerd.
      Categorie	De categorie die is gekoppeld aan de waarschuwing, zoals operationele problemen, aangepaste waarschuwingen of illegale opdrachten.
      Type	De interne naam van de waarschuwing.

Tip

Als u meer waarschuwingen ziet dan verwacht, kunt u onderdrukkingsregels maken om te voorkomen dat waarschuwingen worden geactiveerd voor legitieme netwerkactiviteit. Zie Irrelevante waarschuwingen onderdrukken voor meer informatie.

Weergegeven filterwaarschuwingen

Gebruik het zoekvak, hettijdsbereik en filteropties toevoegen om de waarschuwingen te filteren die worden weergegeven op specifieke parameters of om een specifieke waarschuwing te vinden.

Filter bijvoorbeeld waarschuwingen op categorie:

Groepswaarschuwingen weergegeven

Gebruik het menu Groeperen op rechtsboven om het raster samen te vouwen in subsecties op basis van specifieke parameters.

Wanneer het totale aantal waarschuwingen bijvoorbeeld boven het raster wordt weergegeven, wilt u mogelijk specifiekere informatie over uitsplitsing van het aantal waarschuwingen, zoals het aantal waarschuwingen met een specifieke ernst, protocol of site.

Ondersteunde groeperingsopties zijn Engine, Naam, Sensor, Ernst en Site.

Details weergeven en een specifieke waarschuwing herstellen

1. Selecteer op de pagina Waarschuwingen een waarschuwing in het raster om meer details weer te geven in het deelvenster aan de rechterkant. Het deelvenster met waarschuwingsgegevens bevat de beschrijving van de waarschuwing, de verkeersbron en het doel en meer.

   Selecteer Volledige details weergeven om verder in te zoomen. Voorbeeld:

   

2. De pagina met waarschuwingsgegevens bevat meer informatie over de waarschuwing en een set herstelstappen op het tabblad Actie ondernemen . Bijvoorbeeld:

   

Ernst en status van waarschuwing beheren

We raden u aan de ernst van waarschuwingen bij te werken in Defender for IoT in Azure Portal zodra u een waarschuwing hebt opgehaald, zodat u de risicovolle waarschuwingen zo snel mogelijk kunt prioriteren. Zorg ervoor dat u uw waarschuwingsstatus bijwerkt zodra u herstelstappen hebt uitgevoerd, zodat de voortgang wordt vastgelegd.

U kunt zowel de ernst als de status voor één waarschuwing of voor een selectie van waarschuwingen bulksgewijs bijwerken.

Informatie over een waarschuwing om aan te geven aan Defender for IoT dat het gedetecteerde netwerkverkeer is geautoriseerd. Geleerde waarschuwingen worden niet opnieuw geactiveerd wanneer hetzelfde verkeer de volgende keer wordt gedetecteerd in uw netwerk. Leren wordt alleen ondersteund voor geselecteerde waarschuwingen en het niet leren wordt alleen ondersteund vanuit de OT-netwerksensor.

Zie Voor meer informatie waarschuwingsstatussen en triatlopties.

• Eén waarschuwing beheren:

  1. Selecteer in Defender for IoT in Azure Portal de pagina Waarschuwingen aan de linkerkant en selecteer vervolgens een waarschuwing in het raster.
  2. Selecteer in het detailvenster aan de rechterkant of op een pagina met waarschuwingsgegevens zelf de nieuwe status en/of ernst.

• Meerdere waarschuwingen bulksgewijs beheren:

  1. Selecteer in Defender for IoT in Azure Portal de pagina Waarschuwingen aan de linkerkant en selecteer vervolgens de waarschuwingen in het raster dat u wilt wijzigen.
  2. Gebruik de opties Wijzigingsstatus en/of Ernst wijzigen op de werkbalk om de status en/of de ernst voor alle geselecteerde waarschuwingen bij te werken.

• Voor meer informatie over een of meer waarschuwingen:

  Selecteer in Defender for IoT in Azure Portal de pagina Waarschuwingen aan de linkerkant en voer een van de volgende handelingen uit:

  • Selecteer een of meer leesbare waarschuwingen in het raster en selecteer vervolgens Learn op de werkbalk.
  • Selecteer Learn op een pagina met waarschuwingsgegevens voor een leerbare waarschuwing op het tabblad Actie ondernemen.

PcAP-gegevens openen

Mogelijk wilt u toegang krijgen tot onbewerkte verkeersbestanden, ook wel pakketopnamebestanden of PCAP-bestanden genoemd als onderdeel van uw onderzoek. Als u een SOC- of OT-beveiligingstechnicus bent, hebt u rechtstreeks vanuit Azure Portal toegang tot PCAP-bestanden om u te helpen sneller te onderzoeken.

Als u toegang wilt krijgen tot onbewerkte verkeersbestanden voor uw waarschuwing, selecteert u PCAP downloaden in de linkerbovenhoek van de pagina met waarschuwingsgegevens.

Voorbeeld:

De portal vraagt het bestand aan bij de sensor die de waarschuwing heeft gedetecteerd en downloadt het naar uw Azure-opslag.

Het downloaden van het PCAP-bestand kan enkele minuten duren, afhankelijk van de kwaliteit van uw sensorconnectiviteit.

Waarschuwingen exporteren naar een CSV-bestand

U kunt een selectie waarschuwingen exporteren naar een CSV-bestand voor offline delen en rapporteren.

1. Selecteer in Defender for IoT in Azure Portal de pagina Waarschuwingen aan de linkerkant.

2. Gebruik het zoekvak en filteropties om alleen de waarschuwingen weer te geven die u wilt exporteren.

3. Selecteer Bevestig exporteren>in de werkbalk boven het raster.

Het bestand wordt gegenereerd en u wordt gevraagd het lokaal op te slaan.

Volgende stappen

Microsoft Defender voor IoT-waarschuwingen