Waarschuwingen op uw OT-sensor weergeven en beheren
Microsoft Defender voor IoT-waarschuwingen verbeteren uw netwerkbeveiliging en -bewerkingen met realtime details over gebeurtenissen die zijn vastgelegd in uw netwerk. OT-waarschuwingen worden geactiveerd wanneer OT-netwerksensoren wijzigingen of verdachte activiteiten detecteren in netwerkverkeer waarvoor uw aandacht nodig is.
In dit artikel wordt beschreven hoe u Defender for IoT-waarschuwingen rechtstreeks op een OT-netwerksensor kunt weergeven. U kunt OT-waarschuwingen ook bekijken in Azure Portal of een on-premises beheerconsole.
Zie Microsoft Defender for IoT-waarschuwingen voor meer informatie.
Vereisten
Als u waarschuwingen wilt hebben voor uw OT-sensor, moet er een SPAN-poort zijn geconfigureerd voor uw sensor en Defender for IoT-bewakingssoftware is geïnstalleerd. Zie Controlesoftware voor OT-agentloos installeren voor meer informatie.
Als u waarschuwingen op de OT-sensor wilt bekijken, meldt u zich als gebruiker van Beheer, beveiligingsanalist of viewer aan bij uw sensor.
Als u waarschuwingen voor een OT-sensor wilt beheren, meldt u zich als Beheer- of beveiligingsanalistgebruiker aan bij uw sensor. Activiteiten voor waarschuwingsbeheer omvatten het wijzigen van hun statussen of ernst, het leren of dempen van een waarschuwing, het openen van PCAP-gegevens of het toevoegen van vooraf gedefinieerde opmerkingen aan een waarschuwing.
Zie On-premises gebruikers en rollen voor OT-bewaking met Defender for IoT voor meer informatie.
Waarschuwingen weergeven op een OT-sensor
Meld u aan bij de OT-sensorconsole en selecteer de pagina Waarschuwingen aan de linkerkant.
Standaard worden de volgende details weergegeven in het raster:
Name Beschrijving Ernst Een vooraf gedefinieerde ernst van de waarschuwing die is toegewezen door de sensor die u indien nodig kunt wijzigen, waaronder: Kritiek, Primair, Secundair, Waarschuwing. Naam De titel van de waarschuwing Engine De Defender for IoT-detectie-engine die de activiteit heeft gedetecteerd en de waarschuwing heeft geactiveerd. Laatste detectie De laatste keer dat de waarschuwing is gedetecteerd.
- Als de status van een waarschuwing Nieuw is en hetzelfde verkeer opnieuw wordt weergegeven, wordt de laatste detectietijd bijgewerkt voor dezelfde waarschuwing.
- Als de status van de waarschuwing gesloten is en verkeer opnieuw wordt weergegeven, wordt de laatste detectietijd niet bijgewerkt en wordt er een nieuwe waarschuwing geactiveerd.-Status De waarschuwingsstatus: Nieuw, Actief, Gesloten
Zie Voor meer informatie waarschuwingsstatussen en triatlopties.Bronapparaat Het IP-adres van het bronapparaat, de MAC of de apparaatnaam. Als u meer details wilt weergeven, selecteert u de
knop Kolommen bewerken.Selecteer Kolom toevoegen en een van de volgende extra kolommen in het deelvenster Kolommen bewerken aan de rechterkant:
Name Beschrijving Doelapparaat Het IP-adres van het doelapparaat. Eerste detectie De eerste keer dat de waarschuwingsactiviteit is gedetecteerd. Id De waarschuwings-id. Laatste activiteit De laatste keer dat de waarschuwing is gewijzigd, inclusief handmatige updates voor ernst of status, of automatische wijzigingen voor apparaatupdates of apparaat-/waarschuwingsontdubbeling
Weergegeven filterwaarschuwingen
Gebruik het zoekvak, het tijdsbereik en filteropties toevoegen om de waarschuwingen te filteren die worden weergegeven door specifieke parameters of om een specifieke waarschuwing te vinden.
Voorbeeld:
Als u waarschuwingen filtert op groepen, worden aangepaste groepen gebruikt die u mogelijk hebt gemaakt in de apparaatinventaris of op de pagina's voor apparaattoewijzing.
Groepswaarschuwingen weergegeven
Gebruik het menu Groeperen op rechtsboven om het raster samen te vouwen in subsecties op basis van ernst, naam, engine of status.
Wanneer het totale aantal waarschuwingen bijvoorbeeld boven het raster wordt weergegeven, wilt u mogelijk specifiekere informatie over uitsplitsing van het aantal waarschuwingen, zoals het aantal waarschuwingen met een specifieke ernst of status.
Details weergeven en een specifieke waarschuwing herstellen
Meld u aan bij de OT-sensor en selecteer Waarschuwingen in het menu aan de linkerkant.
Selecteer een waarschuwing in het raster om meer details weer te geven in het deelvenster aan de rechterkant. Het deelvenster met waarschuwingsgegevens bevat de beschrijving van de waarschuwing, de verkeersbron en het doel en meer. Selecteer Volledige details weergeven om verder in te zoomen. Voorbeeld:
De pagina met waarschuwingsgegevens bevat meer informatie over de waarschuwing en een set herstelstappen op het tabblad Actie ondernemen .
Gebruik de volgende tabbladen om meer contextueel inzicht te krijgen:
Kaartweergave. Bekijk de bron- en doelapparaten in een kaartweergave met andere apparaten die zijn verbonden met uw sensor. Voorbeeld:
Tijdlijn van gebeurtenis. Bekijk de gebeurtenis samen met andere recente activiteiten op de gerelateerde apparaten. Filteropties om de weergegeven gegevens aan te passen. Voorbeeld:
Waarschuwingsstatus en triagewaarschuwingen beheren
Zorg ervoor dat u uw waarschuwingsstatus bijwerkt zodra u herstelstappen hebt uitgevoerd, zodat de voortgang wordt vastgelegd. U kunt de status voor één waarschuwing of voor een selectie van waarschuwingen bulksgewijs bijwerken.
Informatie over een waarschuwing om aan te geven aan Defender for IoT dat het gedetecteerde netwerkverkeer is geautoriseerd. Geleerde waarschuwingen worden niet opnieuw geactiveerd wanneer hetzelfde verkeer de volgende keer wordt gedetecteerd in uw netwerk. Demp een waarschuwing wanneer leren niet beschikbaar is en u een specifiek scenario in uw netwerk wilt negeren.
Zie Voor meer informatie waarschuwingsstatussen en triatlopties.
Waarschuwingsstatus beheren:
Meld u aan bij de OT-sensorconsole en selecteer de pagina Waarschuwingen aan de linkerkant.
Selecteer een of meer waarschuwingen in het raster waarvan u de status wilt bijwerken.
Gebruik de werkbalk
Status wijzigen of de optie Status in het detailvenster aan de rechterkant om de waarschuwingsstatus bij te werken.De
optie Status is ook beschikbaar op de pagina met waarschuwingsgegevens.
Voor meer informatie over een of meer waarschuwingen:
Meld u aan bij de OT-sensorconsole en selecteer de pagina Waarschuwingen aan de linkerkant en voer een van de volgende handelingen uit:
- Selecteer een of meer leesbare waarschuwingen in het raster en selecteer
vervolgens Learn op de werkbalk. - Selecteer Learn op een pagina met waarschuwingsgegevens op het tabblad Actie ondernemen.
- Selecteer een of meer leesbare waarschuwingen in het raster en selecteer
Een waarschuwing dempen:
- Meld u aan bij de OT-sensorconsole en selecteer de pagina Waarschuwingen aan de linkerkant.
- Zoek de waarschuwing die u wilt dempen en open de pagina met waarschuwingsgegevens.
- Schakel op het tabblad Actie ondernemen de optie Waarschuwing dempen in.
Een waarschuwing ongedaan maken of dempen opheffen:
- Meld u aan bij de OT-sensorconsole en selecteer de pagina Waarschuwingen aan de linkerkant.
- Zoek de waarschuwing die u hebt geleerd of gedempt en open de bijbehorende pagina met waarschuwingsgegevens.
- Schakel op het tabblad Actie ondernemen de optie Waarschuwing leren of Dempen van waarschuwingen uit.
Nadat u een waarschuwing hebt afgetekend of gedempt, worden waarschuwingen opnieuw geactiveerd wanneer de sensor de geselecteerde verkeerscombinatie aanroept.
PcAP-gegevens openen
Mogelijk wilt u toegang krijgen tot onbewerkte verkeersbestanden, ook wel pakketopnamebestanden of PCAP-bestanden genoemd als onderdeel van uw onderzoek.
Als u toegang wilt krijgen tot onbewerkte verkeersbestanden voor uw waarschuwing, selecteert u PCAP downloaden in de linkerbovenhoek van de pagina met waarschuwingsgegevens:
Voorbeeld:
Het PCAP-bestand wordt gedownload en uw browser vraagt u om het lokaal te openen of op te slaan.
Waarschuwingen exporteren naar CSV of PDF
U kunt een selectie waarschuwingen exporteren naar een CSV- of PDF-bestand voor offline delen en rapportage.
- Exporteer waarschuwingen naar een CSV-bestand vanaf de hoofdpagina Waarschuwingen . Waarschuwingen één voor één exporteren of bulksgewijs.
- Exporteer waarschuwingen één voor één naar een PDF-bestand, hetzij vanaf de hoofdpagina Waarschuwingen of een pagina met waarschuwingsgegevens.
Waarschuwingen exporteren naar een CSV-bestand:
Meld u aan bij de OT-sensorconsole en selecteer de pagina Waarschuwingen aan de linkerkant.
Gebruik het zoekvak en filteropties om alleen de waarschuwingen weer te geven die u wilt exporteren.
Selecteer Exporteren naar CSV in de werkbalk boven het raster.
Het bestand wordt gegenereerd en u wordt gevraagd het lokaal te openen of op te slaan.
Een waarschuwing exporteren naar een PDF-bestand:
Meld u aan bij de OT-sensorconsole en selecteer de pagina Waarschuwingen aan de linkerkant en voer een van de volgende handelingen uit:
- Selecteer op de pagina Waarschuwingen een waarschuwing en selecteer vervolgens Exporteren naar PDF op de werkbalk boven het raster.
- Selecteer Exporteren naar PDF op een pagina met details van waarschuwingen.
Het bestand wordt gegenereerd en u wordt gevraagd het lokaal op te slaan.
Waarschuwingsopmerkingen toevoegen
Met waarschuwingsopmerkingen kunt u uw onderzoek en herstelproces versnellen door communicatie tussen teamleden en het registreren van gegevens efficiënter te maken.
Als uw beheerder aangepaste opmerkingen heeft gemaakt die uw team kan toevoegen aan waarschuwingen, voegt u deze toe vanuit de sectie Opmerkingen op een pagina met waarschuwingsgegevens.
Meld u aan bij de OT-sensorconsole en selecteer de pagina Waarschuwingen aan de linkerkant.
Zoek de waarschuwing waaraan u een opmerking wilt toevoegen en open de pagina met waarschuwingsgegevens.
Selecteer in de lijst Opmerkingen kiezen de opmerking die u wilt toevoegen en selecteer vervolgens Toevoegen. Voorbeeld:
Zie Werkstromen voor OT-waarschuwingen versnellen voor meer informatie.