Netwerk- en sensoractiviteit bijhouden met de tijdlijn van de gebeurtenis

  • Artikel

Activiteit die door uw Microsoft Defender voor IoT-sensoren is gedetecteerd, wordt vastgelegd in de gebeurtenistijdlijn. Activiteit omvat waarschuwingen en acties voor waarschuwingsbeheer, netwerkgebeurtenissen en gebruikersbewerkingen, zoals gebruikersaanmelding of het verwijderen van gebruikers.

De gebeurtenistijdlijn van de OT-sensor biedt een chronologische weergave en context van alle netwerkactiviteiten om de oorzaak en het gevolg van incidenten te bepalen. Met de tijdlijnweergave kunt u eenvoudig informatie extraheren uit netwerkevenementen en waarschuwingen en gebeurtenissen die op het netwerk zijn waargenomen efficiƫnter analyseren. Met de mogelijkheid om grote hoeveelheden gegevens op te slaan, kan de tijdlijnweergave voor gebeurtenissen een waardevolle resource zijn voor beveiligingsteams om onderzoeken uit te voeren en een dieper inzicht te krijgen in netwerkactiviteit.

Gebruik de tijdlijn van de gebeurtenis tijdens onderzoeken om de keten van gebeurtenissen te begrijpen en te analyseren die voorafgingen aan en volgde op een aanval of incident. De gecentraliseerde weergave van meerdere beveiligingsgerelateerde gebeurtenissen op dezelfde tijdlijn helpt bij het identificeren van patronen en correlaties, en stelt beveiligingsteams in staat om snel de impact van incidenten te beoordelen en dienovereenkomstig te reageren.

Zie voor meer informatie:

Machtigingen

Voordat u de procedures uitvoert die in dit artikel worden beschreven, moet u ervoor zorgen dat u toegang hebt tot een OT-sensor als een Beheer- of beveiligingsanalistrol. Zie On-premises gebruikers en rollen voor OT-bewaking met Defender for IoT voor meer informatie.

De gebeurtenistijdlijn weergeven

  1. Meld u aan bij de sensorconsole en selecteer Tijdlijn van gebeurtenis in het menu links.

  2. Controleer en filter de gebeurtenissen indien nodig.

  3. Selecteer een gebeurtenisrij om de gebeurtenisdetails weer te geven in een deelvenster aan de rechterkant, waar u ook kunt filteren om gebeurtenissen van gerelateerde apparaten weer te geven. Het filter Gebruikersbewerkingen is standaard ingeschakeld. U kunt ervoor kiezen om gebruikersevenementen te verbergen of weer te geven als dat nodig is.

    Bijvoorbeeld:

    Schermopname van gebeurtenissen op de tijdlijn van de gebeurtenis.

U kunt ook de gebeurtenistijdlijn van een specifiek apparaat bekijken vanuit de Apparaatinventarisatie.

De gebeurtenistijdlijn van een specifiek apparaat weergeven:

  1. Ga in de sensorconsole naar Apparaatinventaris.

  2. Selecteer het specifieke apparaat om het detailvenster van het apparaat te openen en selecteer vervolgens Volledige details weergeven om de pagina met apparaateigenschappen te openen.

  3. Selecteer het tabblad Tijdlijn van gebeurtenis om alle gebeurtenissen weer te geven die aan dit apparaat zijn gekoppeld en filter de gebeurtenissen indien nodig.

    Bijvoorbeeld:

    Schermopname van het tabblad Gebeurtenistijdlijn op de pagina Apparaateigenschappen.

Gebeurtenissen filteren op de tijdlijn

  1. Selecteer op de pagina gebeurtenistijdlijn de optie Filter toevoegen om de weergegeven gebeurtenissen op te geven.

  2. Selecteer het filtertype. Gebruik een van de volgende opties om de weergegeven apparaten te filteren:

    Type Beschrijving
    Gebruikersbewerkingen Dit filter is standaard ingeschakeld. Kies ervoor om bewerkingsevenementen van gebruikers weer te geven of te verbergen.
    Datum Zoek naar gebeurtenissen in een specifiek datumbereik.
    Apparaatgroep Specifieke apparaten filteren op groep zoals gedefinieerd in de apparaattoewijzing.
    Ernst van gebeurtenis Alleen waarschuwingen, waarschuwingen en kennisgevingen of alle gebeurtenissen weergeven.
    Apparaten uitsluiten Zoek en filter apparaten die u wilt uitsluiten.
    Apparaten opnemen Zoek en filter apparaten die u wilt opnemen.
    Gebeurtenistypen uitsluiten Zoek en filter specifieke gebeurtenistypen die u wilt uitsluiten.
    Gebeurtenistypen opnemen Zoek en filter specifieke gebeurtenistypen die u wilt opnemen.
    Trefwoorden Gebeurtenissen filteren op specifieke trefwoorden.

  3. Selecteer Toepassen om het filter in te stellen.

De gebeurtenistijdlijn exporteren naar CSV

U kunt de tijdlijn van de gebeurtenis exporteren naar een CSV-bestand. De geƫxporteerde gegevens zijn afhankelijk van de filters die zijn toegepast bij het exporteren.

De gebeurtenistijdlijn exporteren:

Selecteer op de pagina Gebeurtenistijdlijnde optie Exporteren in het bovenste menu om de tijdlijn van de gebeurtenis te exporteren naar een CSV-bestand.

Een gebeurtenis maken

Naast het weergeven van de gebeurtenissen die de sensor heeft gedetecteerd, kunt u ook handmatig gebeurtenissen toevoegen aan de tijdlijn. Dit proces is handig als een externe systeemgebeurtenis van invloed is op uw netwerk en u deze wilt opnemen op de tijdlijn.

  1. Selecteer op de pagina Gebeurtenistijdlijnde optie Gebeurtenis maken.

  2. Voeg in het dialoogvenster Gebeurtenis maken de volgende gebeurtenisdetails toe:

    • Typ. Geef het gebeurtenistype op (Info, Kennisgeving of Waarschuwing).

    • Tijdstempel. De datum en tijd van de gebeurtenis instellen.

    • Apparaat. Selecteer het apparaat waarmee de gebeurtenis moet worden verbonden.

    • Beschrijving. Geef een beschrijving van de gebeurtenis op.

  3. Selecteer Opslaan om de gebeurtenis toe te voegen aan de tijdlijn.

Bijvoorbeeld:

Schermopname van het maken van een nieuwe gebeurtenis in de tijdlijn.

Capaciteit van gebeurtenistijdlijn

De hoeveelheid gegevens die kan worden opgeslagen in de gebeurtenistijdlijn, is afhankelijk van verschillende factoren, zoals de grootte van het netwerk, de frequentie van gebeurtenissen en de opslagcapaciteit van uw sensor. De gegevens die zijn opgeslagen in de gebeurtenistijdlijn kunnen informatie bevatten over netwerkverkeer, beveiligingsevenementen en andere relevante gegevenspunten.

Het maximum aantal gebeurtenissen dat wordt weergegeven in de gebeurtenistijdlijn, is afhankelijk van het hardwareprofiel dat is geselecteerd tijdens de installatie van de sensor. Elk hardwareprofiel heeft een maximale capaciteit van gebeurtenissen. Zie Ot-gebeurtenistijdlijn bewaren voor meer informatie over de maximale gebeurteniscapaciteit voor elk hardwareprofiel.

Volgende stappen

Zie voor meer informatie: