Delen via

Incidenten en waarschuwingen onderzoeken

  • Artikel

Microsoft Defender voor IoT in de Microsoft Defender-portal geeft incidenten en waarschuwingen weer, die uw netwerkbeveiliging en -bewerkingen verbeteren met realtime details over gebeurtenissen die zijn geregistreerd in uw operationele technologienetwerk (OT).

Waarschuwingen vormen de basis van alle incidenten en duiden op het optreden van schadelijke of verdachte gebeurtenissen in uw omgeving. Binnen een incident analyseert u de waarschuwingen die van invloed zijn op uw netwerk, begrijpt u wat deze betekenen en verzamelt u het bewijs zodat u een effectief herstelplan kunt ontwikkelen.

Meer informatie over waarschuwingen en incidenten in de Defender-portal.

In dit artikel leert u hoe u een Microsoft Defender for IoT-incident en de bijbehorende waarschuwingen kunt onderzoeken en hoe u de beveiligingsproblemen die door de waarschuwing worden veroorzaakt, kunt oplossen.

Waarschuwingen op de pagina Incidenten combineren IT- en OT-omgevingssignalen op unieke wijze om potentiële bedreigingen en gegevenslekken te detecteren. Op de pagina Incidenten wordt het volgende weergegeven:

  • Een geschiedenis van de waarschuwingen die zijn verbonden met het incident en een incidentgrafiek. In de grafiek ziet u andere apparaten die zijn verbonden met het betrokken OT-apparaat en die mogelijk ook zijn gecompromitteerd.
  • Waarschuwingsbeschrijvingen, waarin het type gedetecteerd beveiligingsprobleem wordt uitgelegd.
  • Herstelopties om het beveiligingsprobleem op te lossen.

Opmerking

Incident- en waarschuwingsgegevens voor Defender voor IoT worden alleen weergegeven wanneer u een site hebt ingesteld en uw apparaten gegevens naar de Defender-portal verzenden. Meer informatie over het instellen van een site.

Belangrijk

In dit artikel wordt Microsoft Defender for IoT besproken in de Defender-portal (preview).

Als u een bestaande klant bent die werkt aan de klassieke Defender for IoT-portal (Azure Portal), raadpleegt u de documentatie over Defender for IoT on Azure.

Meer informatie over de Defender for IoT-beheerportals.

Sommige informatie in dit artikel heeft betrekking op een vooraf uitgebracht product dat aanzienlijk kan worden gewijzigd voordat het commercieel wordt uitgebracht. Microsoft geeft geen garanties, expliciet of impliciet, met betrekking tot de informatie die hier wordt verstrekt.

Waarschuwingen onderzoeken

Een waarschuwing onderzoeken:

  1. Selecteer in het menu van de Microsoft Defender-portalde optie Incidenten & waarschuwingen > Incidenten.

  2. Ot-gerelateerde incidenten weergeven:

    1. Selecteer Filter toevoegen.
    2. Selecteer Productnaam en selecteer Toevoegen.
    3. Selecteer het tabblad Productnamen dat wordt weergegeven en typ: Defender for IoT.
    4. Selecteer Toepassen.

  3. Zoek en selecteer een incident.

    Op de specifieke incidentpagina ziet u het aanvalsverhaal dat bestaat uit de tijdlijn voor waarschuwingen, een incidentgrafiek en de incidentdetails.

  4. Selecteer een waarschuwing in de lijst met waarschuwingen.

    In de incidentgrafiek en incidentdetails worden specifieke gegevens voor deze waarschuwing weergegeven.

  5. Bekijk in het deelvenster Incident de informatie, lees de beschrijving van de waarschuwing, bewijs en beïnvloede assetts en volg de aanbevolen acties van de waarschuwing om het probleem op te lossen.

Defender for IoT-waarschuwing

Defender voor IoT genereert een eigen unieke waarschuwing.

Naam Beschrijving
Mogelijke operationele impact vanwege een gecompromitteerd apparaat Een gecompromitteerd apparaat dat is gecommuniceerd met een ot-asset (operationele technologie). Een aanvaller probeert mogelijk fysieke bewerkingen te controleren of te verstoren.

Geavanceerd opsporen

Gebruik de eigenschap Site die wordt vermeld in de tabel DeviceInfo om query's te schrijven voor geavanceerde opsporing. Hiermee kunt u apparaten filteren op een specifieke site, bijvoorbeeld alle apparaten die communiceren met schadelijke apparaten op een specifieke site.

In de volgende query worden alle eindpuntapparaten met het specifieke IP-adres op de site in San Francisco vermeld.

DeviceInfo
|where Site == "SanFrancisco" and PublicIP == "192.168.1.1" and DeviceCategory == "Endpoint"

Dit is relevant voor zowel de apparaatinventaris als de sitebeveiliging. Zie Geavanceerde opsporing en het schema Geavanceerde opsporing DeviceInfo voor meer informatie.