Udostępnij za pośrednictwem


Przyspieszanie przepływów pracy alertów OT

Uwaga

Zanotowane funkcje są dostępne w wersji zapoznawczej. Dodatkowe postanowienia dotyczące wersji zapoznawczej platformy Azure obejmują inne postanowienia prawne dotyczące funkcji platformy Azure, które są w wersji beta, wersji zapoznawczej lub w inny sposób nie zostały jeszcze wydane w wersji ogólnodostępnej.

Alerty usługi Microsoft Defender dla IoT zwiększają bezpieczeństwo sieci i operacje dzięki szczegółowymi informacjami o zdarzeniach zarejestrowanych w sieci w czasie rzeczywistym. Alerty OT są wyzwalane, gdy czujniki sieciowe OT wykrywają zmiany lub podejrzane działania w ruchu sieciowym, który wymaga twojej uwagi.

W tym artykule opisano następujące metody zmniejszenia zmęczenia alertów sieci OT w zespole:

  • Utwórz reguły pomijania w witrynie Azure Portal, aby zmniejszyć liczbę alertów wyzwalanych przez czujniki. Jeśli pracujesz w środowisku z przerwą w powietrzu, zrób to, tworząc reguły wykluczania alertów w lokalnej konsoli zarządzania.

  • Twórz komentarze alertów dla zespołów, aby dodawać do poszczególnych alertów, usprawniać komunikację i przechowywać rekordy w alertach.

  • Tworzenie niestandardowych reguł alertów w celu identyfikowania określonego ruchu w sieci

Wymagania wstępne

Przed rozpoczęciem korzystania z procedur na tej stronie należy pamiętać o następujących wymaganiach wstępnych:

Do... Musisz mieć ...
Tworzenie reguł pomijania alertów w witrynie Azure Portal Subskrypcja usługi Defender dla IoT z co najmniej jednym czujnikiem OT połączonym z chmurą i dostępem jako administrator zabezpieczeń, współautor lub właściciel.
Tworzenie listy dozwolonych DNS na czujniku OT Zainstalowany czujnik sieciowy OT i dostęp do czujnika jako domyślny użytkownik administracyjny .
Tworzenie komentarzy alertów w czujniku OT Zainstalowany czujnik sieciowy OT i dostęp do czujnika jako dowolny użytkownik z rolą administratora .
Tworzenie niestandardowych reguł alertów na czujniku OT Zainstalowany czujnik sieciowy OT i dostęp do czujnika jako dowolny użytkownik z rolą administratora .
Tworzenie reguł wykluczania alertów w lokalnej konsoli zarządzania Zainstalowana lokalna konsola zarządzania i dostęp do lokalnej konsoli zarządzania jako dowolny użytkownik z rolą administratora .

Aby uzyskać więcej informacji, zobacz:

Pomijanie nieistotnych alertów

Skonfiguruj czujniki OT tak, aby pomijały alerty dotyczące określonego ruchu w sieci, który w przeciwnym razie wyzwoli alert. Jeśli na przykład wszystkie urządzenia OT monitorowane przez określony czujnik przechodzą przez dwa dni, możesz zdefiniować regułę pomijającą wszystkie alerty generowane przez ten czujnik w okresie konserwacji.

  • W przypadku czujników OT połączonych z chmurą utwórz reguły pomijania alertów w witrynie Azure Portal, aby zignorować określony ruch w sieci, który w przeciwnym razie wyzwoli alert.

  • W przypadku czujników zarządzanych lokalnie utwórz reguły wykluczania alertów w lokalnej konsoli zarządzania przy użyciu interfejsu użytkownika lub interfejsu API.

Ważne

Reguły skonfigurowane w witrynie Azure Portal zastępują wszystkie reguły skonfigurowane dla tego samego czujnika w lokalnej konsoli zarządzania. Jeśli obecnie używasz reguł wykluczania alertów w lokalnej konsoli zarządzania, zalecamy przeprowadzenie migracji ich do witryny Azure Portal jako reguł pomijania przed rozpoczęciem.

Tworzenie reguł pomijania alertów w witrynie Azure Portal (publiczna wersja zapoznawcza)

W tej sekcji opisano sposób tworzenia reguły pomijania alertów w witrynie Azure Portal i jest obsługiwany tylko w przypadku czujników połączonych z chmurą.

Aby utworzyć regułę pomijania alertów:

  1. W usłudze Defender for IoT w witrynie Azure Portal wybierz pozycję Reguły pomijania alertów>.

  2. Na stronie Reguły pomijania (wersja zapoznawcza) wybierz pozycję + Utwórz.

  3. Na karcie Szczegóły okienka Tworzenie reguły pomijania wprowadź następujące szczegóły:

    1. Wybierz subskrypcję platformy Azure z listy rozwijanej.

    2. Wprowadź zrozumiałą nazwę reguły i opcjonalny opis.

    3. Włącz opcję Włączone , aby reguła została uruchomiona zgodnie z konfiguracją. Możesz również pozostawić tę opcję wyłączoną, aby rozpocząć korzystanie z reguły dopiero później.

    4. W obszarze Pomiń według zakresu czasu przełącz datę wygaśnięcia, aby zdefiniować określoną datę i godzinę rozpoczęcia i godziny dla reguły. Wybierz pozycję Dodaj zakres , aby dodać wiele zakresów czasu.

    5. W obszarze Zastosuj w obszarze wybierz, czy chcesz zastosować regułę do wszystkich czujników w ramach subskrypcji, czy tylko w określonych witrynach lub czujnikach. Jeśli wybierzesz pozycję Zastosuj przy zaznaczeniu niestandardowym, wybierz witryny i/lub czujniki, w których ma zostać uruchomiona reguła.

      Po wybraniu określonej lokacji reguła ma zastosowanie do wszystkich istniejących i przyszłych czujników skojarzonych z lokacją.

    6. Wybierz pozycję Dalej i potwierdź komunikat przesłonięcia.

  4. Na karcie Warunki w okienku Tworzenie reguły pomijania:

    1. Z listy rozwijanej Nazwa alertu wybierz co najmniej jeden alert dla reguły. Wybranie nazwy aparatu alertów zamiast określonej nazwy reguły powoduje zastosowanie reguły do wszystkich istniejących i przyszłych alertów skojarzonych z tym aparatem.

    2. Opcjonalnie filtruj regułę dalej, definiując dodatkowe warunki, takie jak dla ruchu pochodzącego z określonych źródeł, do określonych miejsc docelowych lub w określonych podsieciach. Podczas określania podsieci jako warunków należy pamiętać, że podsieci odnoszą się zarówno do urządzeń źródłowych, jak i docelowych.

    3. Po zakończeniu konfigurowania warunków reguły wybierz pozycję Dalej.

  5. W okienku Tworzenie reguły pomijania Przejrzyj i utwórz przejrzyj szczegóły tworzonej reguły, a następnie wybierz pozycję Utwórz.

Reguła zostanie dodana do listy reguł pomijania na stronie Reguły pomijania (wersja zapoznawcza). Wybierz regułę, aby ją edytować lub usunąć zgodnie z potrzebami.

Napiwek

Jeśli chcesz wyeksportować reguły pomijania, wybierz przycisk Eksportuj na pasku narzędzi. Wszystkie skonfigurowane reguły są eksportowane do pojedynczego elementu . Plik CSV, który można zapisać lokalnie.

Migrowanie reguł pomijania z lokalnej konsoli zarządzania (publiczna wersja zapoznawcza)

Jeśli obecnie używasz lokalnej konsoli zarządzania z czujnikami połączonymi z chmurą, zalecamy przeprowadzenie migracji wszelkich reguł wykluczania do witryny Azure Portal jako reguł pomijania przed rozpoczęciem tworzenia nowych reguł pomijania. Wszystkie reguły pomijania skonfigurowane w witrynie Azure Portal zastępują reguły wykluczania alertów, które istnieją dla tych samych czujników w lokalnej konsoli zarządzania.

Aby wyeksportować reguły wykluczeń alertów i zaimportować je do witryny Azure Portal:

  1. Zaloguj się do lokalnej konsoli zarządzania i wybierz pozycję Wykluczenie alertów.

  2. Na stronie Wykluczenia alertów wybierz pozycję Eksportuj, aby wyeksportować reguły do elementu . Plik CSV.

  3. W usłudze Defender for IoT w witrynie Azure Portal wybierz pozycję Reguły pomijania alertów>.

  4. Na stronie Reguły pomijania (wersja zapoznawcza) wybierz pozycję Migruj reguły menedżera lokalnego, a następnie przejdź do i wybierz pozycję . Plik CSV pobrany z lokalnej konsoli zarządzania.

  5. W okienku Migrowanie reguł pomijania przejrzyj przekazaną listę reguł pomijania, które mają być migrowane, a następnie wybierz pozycję Zatwierdź migrację.

  6. Potwierdź komunikat przesłonięcia.

Reguły są dodawane do listy reguł pomijania na stronie Reguły pomijania (wersja zapoznawcza). Wybierz regułę, aby ją edytować lub usunąć zgodnie z potrzebami.

Zezwalaj na połączenia internetowe w sieci OT

Zmniejsz liczbę nieautoryzowanych alertów internetowych, tworząc listę dozwolonych nazw domen w czujniku OT. Po skonfigurowaniu listy dozwolonych DNS czujnik sprawdza, czy każda nieautoryzowana łączność z Internetem próbuje nawiązać połączenie z listą przed wyzwoleniem alertu. Jeśli nazwa FQDN domeny jest uwzględniona na liście dozwolonych, czujnik nie wyzwoli alertu i automatycznie zezwala na ruch.

Wszyscy użytkownicy czujnika OT mogą wyświetlać obecnie skonfigurowaną listę domen w raporcie wyszukiwania danych, w tym nazwy FQDN, rozpoznane adresy IP i czas ostatniej rozdzielczości.

Aby zdefiniować listę dozwolonych DNS:

  1. Zaloguj się do czujnika OT jako administrator i wybierz stronę Pomoc techniczna.

  2. W polu wyszukiwania wyszukaj ciąg DNS, a następnie znajdź aparat z opisem listy dozwolonych domen internetowych.

  3. Wybierz pozycję Edytuj dla wiersza Listy dozwolonych domen internetowych. Na przykład:

    Zrzut ekranu przedstawiający sposób edytowania konfiguracji dla systemu DNS w konsoli czujnika.

  4. W okienku >Edytowanie listy dozwolonych nazw Fqdn wprowadź co najmniej jedną nazwę domeny. Rozdziel wiele nazw domen przecinkami. Czujnik nie wygeneruje alertów dla nieautoryzowanych prób łączności z Internetem w skonfigurowanych domenach.

    Symbol wieloznaczny można użyć * w dowolnym miejscu w nazwie domeny, aby łatwo dodać poddomeny do listy dozwolonych bez konieczności wprowadzania każdego z nich, na przykład *.microsoft.com lub teams.microsoft.*.

  5. Wybierz pozycję Prześlij , aby zapisać zmiany.

Aby wyświetlić bieżącą listę dozwolonych w raporcie wyszukiwania danych:

Podczas wybierania kategorii w niestandardowym raporcie wyszukiwania danych upewnij się, że w kategorii DNS wybierz pozycję Lista dozwolonych domen internetowych.

Na przykład:

Zrzut ekranu przedstawiający sposób generowania niestandardowego raportu wyszukiwania danych dla listy dozwolonych w konsoli czujnika.

Wygenerowany raport wyszukiwania danych zawiera listę dozwolonych domen i każdy adres IP, który jest rozpoznawany dla tych domen. Raport zawiera również czas wygaśnięcia (w sekundach), podczas którego te adresy IP nie będą wyzwalać alertu łączności z Internetem.

Tworzenie komentarzy alertów w czujniku OT

  1. Zaloguj się do czujnika OT i wybierz pozycję Ustawienia>systemowe Komentarze alertów monitorowania>sieci.

  2. W okienku Komentarze alertów w polu Opis wprowadź nowy komentarz i wybierz pozycję Dodaj. Nowy komentarz zostanie wyświetlony na liście Opis poniżej pola.

    Na przykład:

    Zrzut ekranu przedstawiający okienko Komentarze alertów w czujniku OT.

  3. Wybierz pozycję Prześlij , aby dodać komentarz do listy dostępnych komentarzy w każdym alercie w czujniku.

Komentarze niestandardowe są dostępne w każdym alercie w czujniku, aby członkowie zespołu do dodania. Aby uzyskać więcej informacji, zobacz Dodawanie komentarzy alertów.

Tworzenie niestandardowych reguł alertów na czujniku OT

Dodaj niestandardowe reguły alertów, aby wyzwalać alerty dotyczące określonych działań w sieci, które nie są objęte funkcją wbudowaną.

Na przykład w przypadku środowiska z uruchomionym protokołem MODBUS można dodać regułę do wykrywania dowolnych napisanych poleceń do rejestru pamięci na określonym adresie IP i miejscu docelowym ethernetu.

Aby utworzyć niestandardową regułę alertu:

  1. Zaloguj się do czujnika OT i wybierz pozycję Niestandardowe reguły alertów>+ Utwórz regułę.

  2. W okienku Tworzenie niestandardowej reguły alertu zdefiniuj następujące pola:

    Nazwa/nazwisko opis
    Nazwa alertu Wprowadź zrozumiałą nazwę alertu.
    Protokół alertów Wybierz protokół, który chcesz wykryć.
    W określonych przypadkach wybierz jeden z następujących protokołów:

    — W przypadku zdarzenia manipulowania danymi lub strukturą bazy danych wybierz pozycję TNS lub TDS.
    — W przypadku zdarzenia pliku wybierz pozycję HTTP, DELTAV, SMB lub FTP, w zależności od typu pliku.
    — W przypadku zdarzenia pobierania pakietu wybierz pozycję HTTP.
    — W przypadku zdarzenia otwartych portów (porzuconych) wybierz pozycję TCP lub UDP, w zależności od typu portu.

    Aby utworzyć reguły śledzące określone zmiany w jednym z protokołów OT, takich jak S7 lub, użyj dowolnych parametrów znalezionych w tym protokole, takich jak tag lub sub-function.
    Wiadomość Zdefiniuj komunikat wyświetlany po wyzwoleniu alertu. Komunikaty alertów obsługują znaki alfanumeryczne i wszelkie wykryte zmienne ruchu.

    Możesz na przykład uwzględnić wykryte adresy źródłowe i docelowe. Użyj nawiasów klamrowych ({}), aby dodać zmienne do komunikatu alertu.
    Kierunek Wprowadź źródłowy i/lub docelowy adres IP, w którym chcesz wykryć ruch.
    Warunki Zdefiniuj co najmniej jeden warunek, który musi zostać spełniony, aby wyzwolić alert.

    — Wybierz znak, + aby utworzyć zestaw warunków z wieloma warunkami, które używają operatora AND . Znak + jest włączony tylko po wybraniu wartości protokołu alertu.
    - W przypadku wybrania adresu MAC lub adresu IP jako zmiennej należy przekonwertować wartość z adresu dziesiętnego na format dziesiętny.

    Aby utworzyć niestandardową regułę alertu, musisz dodać co najmniej jeden warunek.
    Wykryte Zdefiniuj zakres daty i/lub godziny dla ruchu, który chcesz wykryć. Dostosuj zakres dni i czasu, aby dopasować się do godzin konserwacji lub ustawić godziny pracy.
    Akcja Zdefiniuj akcję, którą usługa Defender dla IoT ma podjąć automatycznie po wyzwoleniu alertu.
    Usługa Defender dla IoT utwórz alert lub zdarzenie z określoną ważnością.
    Uwzględniona funkcja PCAP Jeśli wybrano opcję utworzenia zdarzenia, wyczyść opcję dołączoną do PCAP zgodnie z potrzebami. Jeśli wybrano opcję utworzenia alertu, element PCAP jest zawsze dołączany i nie można go usunąć.

    Na przykład:

    Zrzut ekranu przedstawiający okienko Tworzenie niestandardowej reguły alertu na potrzeby tworzenia niestandardowych reguł alertów.

  3. Wybierz pozycję Zapisz po zakończeniu, aby zapisać regułę.

Edytowanie niestandardowej reguły alertu

Aby edytować niestandardową regułę alertu, wybierz regułę, a następnie wybierz menu >Opcje (...) Edytuj. Zmodyfikuj regułę alertu zgodnie z potrzebami i zapisz zmiany.

Zmiany wprowadzone w niestandardowych regułach alertów, takich jak zmiana poziomu ważności lub protokołu, są śledzone na stronie Oś czasu zdarzenia na czujniku OT.

Aby uzyskać więcej informacji, zobacz Śledzenie aktywności czujnika.

Wyłączanie, włączanie lub usuwanie niestandardowych reguł alertów

Wyłącz niestandardowe reguły alertów, aby zapobiec ich uruchamianiu bez całkowitego ich usunięcia.

Na stronie Niestandardowe reguły alertów wybierz co najmniej jedną regułę, a następnie wybierz pozycję Wyłącz, Włącz lub Usuń na pasku narzędzi zgodnie z potrzebami.

Tworzenie reguł wykluczania alertów w lokalnej konsoli zarządzania

Utwórz reguły wykluczania alertów, aby poinstruować czujniki, aby ignorowały określony ruch w sieci, który w przeciwnym razie wyzwoli alert.

Jeśli na przykład wiesz, że wszystkie urządzenia OT monitorowane przez określony czujnik będą przechodzić przez dwa dni, zdefiniuj regułę wykluczania, która nakazuje usłudze Defender for IoT pomijanie alertów wykrytych przez ten czujnik w wstępnie zdefiniowanym okresie.

Aby utworzyć regułę wykluczania alertów:

  1. Zaloguj się do lokalnej konsoli zarządzania i wybierz pozycję Wykluczenie alertów w menu po lewej stronie.

  2. Na stronie Wykluczanie alertów + wybierz przycisk w prawym górnym rogu, aby dodać nową regułę.

  3. W oknie dialogowym Tworzenie reguły wykluczania wprowadź następujące szczegóły:

    Nazwa/nazwisko Opis
    Nazwa/nazwisko Wprowadź zrozumiałą nazwę reguły. Nazwa nie może zawierać cudzysłowów (").
    Według okresu Wybierz strefę czasową i określony okres, w którym reguła wykluczania ma być aktywna, a następnie wybierz pozycję DODAJ.

    Użyj tej opcji, aby utworzyć oddzielne reguły dla różnych stref czasowych. Na przykład może być konieczne zastosowanie reguły wykluczania z zakresu od 8:00 do 10:00 w trzech różnych strefach czasowych. W takim przypadku należy utworzyć trzy oddzielne reguły wykluczania, które używają tego samego okresu i odpowiedniej strefy czasowej.
    Według adresu urządzenia Wybierz i wprowadź następujące wartości, a następnie wybierz pozycję DODAJ:

    — Wybierz, czy wyznaczone urządzenie jest urządzeniem źródłowym, docelowym, czy też źródłowym i docelowym.
    — Wybierz, czy adres jest adresem IP, adresem MAC, czy podsiecią
    - Wprowadź wartość adresu IP, adresu MAC lub podsieci.
    Według tytułu alertu Wybierz co najmniej jeden alert, aby dodać do reguły wykluczania, a następnie wybierz pozycję DODAJ. Aby znaleźć tytuły alertów, wprowadź wszystkie lub część tytułu alertu i wybierz odpowiedni tytuł z listy rozwijanej.
    Według nazwy czujnika Wybierz co najmniej jeden czujnik, aby dodać do reguły wykluczania, a następnie wybierz pozycję DODAJ. Aby znaleźć nazwy czujników, wprowadź wszystkie lub część nazwy czujnika i wybierz odpowiednią z listy rozwijanej.

    Ważne

    Reguły wykluczania alertów są AND oparte, co oznacza, że alerty są wykluczane tylko wtedy, gdy zostaną spełnione wszystkie warunki reguły. Jeśli warunek reguły nie jest zdefiniowany, zostaną uwzględnione wszystkie opcje. Jeśli na przykład nie dołączysz nazwy czujnika do reguły, reguła zostanie zastosowana do wszystkich czujników.

    Podsumowanie parametrów reguły jest wyświetlane w dolnej części okna dialogowego.

  4. Sprawdź podsumowanie reguły wyświetlane w dolnej części okna dialogowego Tworzenie reguły wykluczania, a następnie wybierz pozycję ZAPISZ

Tworzenie reguł wykluczeń alertów za pośrednictwem interfejsu API

Użyj interfejsu API usługi Defender dla IoT, aby utworzyć reguły wykluczania alertów z zewnętrznego systemu obsługi biletów lub innego systemu, który zarządza procesami konserwacji sieci.

Użyj interfejsu API maintenanceWindow (Tworzenie wykluczeń alertów), aby zdefiniować czujniki, aparaty analityczne, czas rozpoczęcia i godzinę zakończenia, aby zastosować regułę. Reguły wykluczeń utworzone za pośrednictwem interfejsu API są wyświetlane w lokalnej konsoli zarządzania jako tylko do odczytu.

Aby uzyskać więcej informacji, zobacz Defender for IoT API reference (Dokumentacja interfejsu API usługi Defender dla IoT).

Następne kroki