Udostępnij za pośrednictwem


Przekazywanie lokalnych informacji o alertach OT

Alerty usługi Microsoft Defender dla IoT zwiększają bezpieczeństwo sieci i operacje dzięki szczegółowymi informacjami o zdarzeniach zarejestrowanych w sieci w czasie rzeczywistym. Alerty OT są wyzwalane, gdy czujniki sieciowe OT wykrywają zmiany lub podejrzane działania w ruchu sieciowym, który wymaga twojej uwagi.

W tym artykule opisano sposób konfigurowania czujnika OT lub lokalnej konsoli zarządzania w celu przekazywania alertów do usług partnerskich, serwerów syslog, adresów e-mail i nie tylko. Informacje o przesłaniu dalej alertu zawierają szczegółowe informacje, takie jak:

  • Data i godzina alertu
  • Aparat, który wykrył zdarzenie
  • Tytuł alertu i komunikat opisowy
  • Ważność alertu
  • Nazwa źródła i miejsca docelowego oraz adres IP
  • Wykryto podejrzany ruch
  • Odłączone czujniki
  • Błędy tworzenia kopii zapasowej zdalnej

Uwaga

Przekazywanie reguł alertów jest uruchamiane tylko dla alertów wyzwalanych po utworzeniu reguły przekazywania. Alerty już w systemie przed utworzeniem reguły przekazywania nie mają wpływu na regułę.

Wymagania wstępne

Tworzenie reguł przesyłania dalej na czujniku OT

  1. Zaloguj się do czujnika OT i wybierz pozycję Przekazywanie w menu >po lewej stronie + Utwórz nową regułę.

  2. W okienku Dodawanie reguły przesyłania dalej wprowadź zrozumiałą nazwę reguły, a następnie zdefiniuj warunki i akcje reguły w następujący sposób:

    Nazwa/nazwisko opis
    Minimalny poziom alertu Wybierz minimalny poziom ważności alertu, który chcesz przekazać dalej.

    Jeśli na przykład wybierzesz pozycję Pomocnicza, alerty pomocnicze i alert powyżej tego poziomu ważności zostaną przekazane.
    Wykryto dowolny protokół Przełącz się, aby przekazywać alerty ze wszystkich ruchów protokołu lub przełączać się i wybierać określone protokoły, które chcesz uwzględnić.
    Ruch wykryty przez dowolny aparat Przełącz się, aby przekazywać alerty ze wszystkich aparatów analitycznych lub przełączać się i wybierać określone aparaty, które chcesz uwzględnić.
    Akcje Wybierz typ serwera, do którego chcesz przekazać alerty, a następnie zdefiniuj inne wymagane informacje dla tego typu serwera.

    Aby dodać wiele serwerów do tej samej reguły, wybierz pozycję + Dodaj serwer i dodaj więcej szczegółów.

    Aby uzyskać więcej informacji, zobacz Konfigurowanie akcji reguły przekazywania alertów.
  3. Po zakończeniu konfigurowania reguły wybierz pozycję Zapisz. Reguła jest wyświetlana na stronie Przekazywanie .

  4. Przetestuj utworzoną regułę:

    1. Wybierz menu opcji (...) dla reguły >Wyślij testowy komunikat.
    2. Przejdź do usługi docelowej, aby sprawdzić, czy odebrano informacje wysłane przez czujnik.

Edytowanie lub usuwanie reguł przesyłania dalej na czujniku OT

Aby edytować lub usunąć istniejącą regułę:

  1. Zaloguj się do czujnika OT i wybierz pozycję Przekazywanie w menu po lewej stronie.

  2. Wybierz menu opcji (...) dla reguły, a następnie wykonaj jedną z następujących czynności:

Tworzenie reguł przekazywania w lokalnej konsoli zarządzania

Aby utworzyć regułę przekazywania w konsoli zarządzania:

  1. Zaloguj się do lokalnej konsoli zarządzania i wybierz pozycję Przekazywanie w menu po lewej stronie.

  2. + Wybierz przycisk w prawym górnym rogu, aby utworzyć nową regułę.

  3. W oknie Tworzenie reguły przekazywania wprowadź zrozumiałą nazwę reguły, a następnie zdefiniuj warunki i akcje reguły w następujący sposób:

    Nazwa/nazwisko opis
    Minimalny poziom alertu W prawym górnym rogu okna dialogowego użyj listy rozwijanej, aby wybrać minimalny poziom ważności alertu, który chcesz przekazać dalej.

    Jeśli na przykład wybierzesz pozycję Pomocnicza, alerty pomocnicze i alert powyżej tego poziomu ważności zostaną przekazane.
    Protokoły Wybierz pozycję Wszystkie , aby przekazać alerty ze wszystkich ruchów protokołu, lub wybierz pozycję Określone , aby dodać tylko określone protokoły.
    Silniki Wybierz pozycję Wszystkie , aby przekazać alerty wyzwalane przez wszystkie aparaty analizy czujników, lub wybierz pozycję Określone , aby dodać tylko określone aparaty.
    Powiadomienia systemowe Wybierz opcję Zgłaszanie powiadomień systemowych, aby powiadomić o rozłączonych czujnikach lub błędach zdalnej kopii zapasowej.
    Powiadomienia o alertach Wybierz opcję Powiadomienia o alertach raportu, aby powiadomić o dacie i godzinie alertu, tytule, ważności, nazwie źródłowej i docelowej oraz adresie IP, podejrzanym ruchu i a aparatowi, który wykrył zdarzenie.
    Akcje Wybierz pozycję Dodaj , aby dodać akcję do zastosowania i wprowadź wszystkie wartości parametrów wymagane dla wybranej akcji. Powtórz w razie potrzeby, aby dodać wiele akcji.

    Aby uzyskać więcej informacji, zobacz Konfigurowanie akcji reguły przekazywania alertów.
  4. Po zakończeniu konfigurowania reguły wybierz pozycję ZAPISZ. Reguła jest wyświetlana na stronie Przekazywanie .

  5. Przetestuj utworzoną regułę:

    1. W wierszu reguły wybierz przycisk przetestuj tę regułę przekazywania. Jeśli wiadomość została wysłana pomyślnie, zostanie wyświetlone powiadomienie o powodzeniu.
    2. Przejdź do systemu partnerskiego, aby sprawdzić, czy odebrano informacje wysłane przez czujnik.

Edytowanie lub usuwanie reguł przesyłania dalej w lokalnej konsoli zarządzania

Aby edytować lub usunąć istniejącą regułę:

  1. Zaloguj się do lokalnej konsoli zarządzania i wybierz pozycję Przekazywanie w menu po lewej stronie.

  2. Znajdź wiersz reguły, a następnie wybierz przycisk Edytuj lub Usuń.

Konfigurowanie akcji reguły przekazywania alertów

W tej sekcji opisano sposób konfigurowania ustawień obsługiwanych akcji reguł przekazywania w czujniku OT lub lokalnej konsoli zarządzania.

Akcja adresu e-mail

Skonfiguruj akcję Poczta e-mail, aby przekazywać dane alertu na skonfigurowany adres e-mail.

W obszarze Akcje wprowadź następujące szczegóły:

Nazwa/nazwisko opis
Server (Serwer) Wybierz Wiadomość e-mail.
Poczta e-mail Wprowadź adres e-mail, do którego chcesz przekazać alerty. Każda reguła obsługuje jeden adres e-mail.
Strefa czasowa Wybierz strefę czasową, której chcesz użyć do wykrywania alertów w systemie docelowym.

Akcje serwera Syslog

Skonfiguruj akcję serwera Syslog, aby przekazywać dane alertów do wybranego typu serwera Syslog.

W obszarze Akcje wprowadź następujące szczegóły:

Nazwa/nazwisko opis
Server (Serwer) Wybierz jeden z następujących typów formatów dziennika systemowego:

- Serwer SYSLOG (format CEF)
- Serwer SYSLOG (format LEEF)
- Serwer SYSLOG (obiekt)
- Serwer SYSLOG (wiadomość SMS)
Port hosta / Wprowadź nazwę hosta i port serwera syslog
Strefa czasowa Wybierz strefę czasową, której chcesz użyć do wykrywania alertów w systemie docelowym.
Protokół Obsługiwane tylko w przypadku wiadomości tekstowych. Wybierz pozycję TCP lub UDP.
Włączanie szyfrowania Obsługiwane tylko w przypadku formatu CEF. Przełącz się, aby skonfigurować plik certyfikatu szyfrowania TLS, plik klucza i hasło.

W poniższych sekcjach opisano składnię danych wyjściowych dziennika systemowego dla każdego formatu.

Pola wyjściowe komunikatu tekstowego dziennika systemowego

Nazwa/nazwisko opis
Priorytet Użytkownika. Alerty
Wiadomość Nazwa platformy CyberX: nazwa czujnika.
Alert usługi Microsoft Defender dla IoT: tytuł alertu.
Typ: typ alertu. Może to być naruszenie protokołu, naruszenie zasad, złośliwe oprogramowanie, anomalia lub działanie.
Ważność: ważność alertu. Może to być ostrzeżenie, pomocnicza, główna lub krytyczna.
Źródło: nazwa urządzenia źródłowego.
Źródłowy adres IP: źródłowy adres IP urządzenia.
Protokół (opcjonalnie): wykryty protokół źródłowy.
Adres (opcjonalnie): adres protokołu źródłowego.
Miejsce docelowe: nazwa urządzenia docelowego.
Docelowy adres IP: adres IP urządzenia docelowego.
Protokół (opcjonalnie): wykryty protokół docelowy.
Adres (opcjonalnie): adres protokołu docelowego.
Komunikat: komunikat alertu.
Grupa alertów: grupa alertów skojarzona z alertem.
UUID (opcjonalnie): identyfikator UUID alertu.

Pola wyjściowe obiektu syslog

Nazwa/nazwisko opis
Priorytet User.Alert
Data i godzina Data i godzina odebrania informacji przez maszynę serwera syslog.
Hostname (Nazwa hosta) Adres IP czujnika
Wiadomość Nazwa czujnika: nazwa urządzenia.
Czas alertu: czas wykrycia alertu: może się różnić od czasu maszyny serwera dziennika systemu i zależy od konfiguracji strefy czasowej reguły przekazywania.
Tytuł alertu: tytuł alertu.
Komunikat alertu: komunikat alertu.
Ważność alertu: ważność alertu: Ostrzeżenie, Pomocnicza, Główna lub Krytyczna.
Typ alertu: naruszenie protokołu, naruszenie zasad, złośliwe oprogramowanie, anomalia lub działanie.
Protokół: protokół alertu.
Source_MAC: adres IP, nazwa, dostawca lub system operacyjny urządzenia źródłowego.
Destination_MAC: adres IP, nazwa, dostawca lub system operacyjny miejsca docelowego. Jeśli brakuje danych, wartość to N/A.
alert_group: grupa alertów skojarzona z alertem.

Pola wyjściowe dziennika systemu CEF

Nazwa/nazwisko opis
Priorytet User.Alert
Data i godzina Data i godzina wysłania informacji przez czujnik w formacie UTC
Hostname (Nazwa hosta) Nazwa hosta czujnika
Wiadomość CEF:0
Usługa Microsoft Defender dla IoT/CyberX
Nazwa czujnika
Wersja czujnika
Alert usługi Microsoft Defender dla IoT
Tytuł alertu
Liczba całkowita wskazująca ważność. 1 = Ostrzeżenie, 4 =Drobne, 8 = Główne lub 10 = Krytyczne.
msg = komunikat alertu.
protocol = protokół alertu.
ważność = Ostrzeżenie, Pomocnicza, Główna lub Krytyczna.
type = naruszenie protokołu, naruszenie zasad, złośliwe oprogramowanie, anomalia lub działanie.
UUID= UUID alertu (opcjonalnie)
start = czas wykrycia alertu.
Może się różnić od czasu maszyny serwera syslog i zależy od konfiguracji strefy czasowej reguły przekazywania.
src_ip = adres IP urządzenia źródłowego. (Opcjonalnie)
src_mac = adres MAC urządzenia źródłowego. (Opcjonalnie)
dst_ip = adres IP urządzenia docelowego. (Opcjonalne)
dst_mac = adres MAC urządzenia docelowego. (Opcjonalne)
cat = grupa alertów skojarzona z alertem.

Pola wyjściowe leef dziennika systemowego

Nazwa/nazwisko opis
Priorytet User.Alert
Data i godzina Data i godzina wysłania informacji przez czujnik w formacie UTC
Hostname (Nazwa hosta) Adres IP czujnika
Wiadomość Nazwa czujnika: nazwa urządzenia Usługi Microsoft Defender dla IoT.
LEEF:1.0
Usługa Microsoft Defender dla IoT
Czujnik
Wersja czujnika
Alert usługi Microsoft Defender dla IoT
title: tytuł alertu.
msg: komunikat alertu.
protocol: protokół alertu.
ważność: Ostrzeżenie, Pomocnicza, Główna lub Krytyczna.
typ: typ alertu: Naruszenie protokołu, Naruszenie zasad, Złośliwe oprogramowanie, Anomalia lub Operacyjna.
start: czas alertu. Może się to różnić od czasu maszyny serwera syslog i zależy od konfiguracji strefy czasowej.
src_ip: adres IP urządzenia źródłowego.
dst_ip: adres IP urządzenia docelowego.
cat: grupa alertów skojarzona z alertem.

Akcja serwera elementu webhook

Obsługiwane tylko z lokalnej konsoli zarządzania

Skonfiguruj akcję elementu webhook , aby skonfigurować integrację, która subskrybuje zdarzenia alertów usługi Defender dla IoT. Na przykład wyślij dane alertów do serwera elementu webhook, aby zaktualizować zewnętrzny system SIEM, system SOAR lub system zarządzania zdarzeniami.

Po skonfigurowaniu alertów przekazywanych do serwera elementu webhook i wyzwoleniu zdarzenia alertu lokalna konsola zarządzania wysyła ładunek HTTP POST do skonfigurowanego adresu URL elementu webhook.

W obszarze Akcje wprowadź następujące szczegóły:

Nazwa/nazwisko opis
Server (Serwer) Wybierz pozycję Element webhook.
Adres URL Wprowadź adres URL serwera elementu webhook.
Klucz/wartość Wprowadź pary klucz/wartość, aby dostosować nagłówek HTTP zgodnie z potrzebami. Obsługiwane znaki to:
- Klucze mogą zawierać tylko litery, cyfry, kreski i podkreślenia.
- Wartości mogą zawierać tylko jedną spację prowadzącą i/lub końcową.

Rozszerzony element webhook

Obsługiwane tylko z lokalnej konsoli zarządzania

Skonfiguruj rozszerzoną akcję elementu webhook, aby wysłać następujące dodatkowe dane do serwera elementu webhook:

  • identyfikator czujnika
  • sensorName
  • zoneID
  • Nazwa_strefy
  • identyfikator witryny
  • Sitename
  • sourceDeviceAddress
  • destinationDeviceAddress
  • remediationSteps
  • Obsługiwane
  • additionalInformation

W obszarze Akcje wprowadź następujące szczegóły:

Nazwa/nazwisko opis
Server (Serwer) Wybierz pozycję Element webhook rozszerzony.
Adres URL Wprowadź adres URL danych punktu końcowego.
Klucz/wartość Wprowadź pary klucz/wartość, aby dostosować nagłówek HTTP zgodnie z potrzebami. Obsługiwane znaki to:
- Klucze mogą zawierać tylko litery, cyfry, kreski i podkreślenia.
- Wartości mogą zawierać tylko jedną spację prowadzącą i/lub końcową.

Akcja NetWitness

Skonfiguruj akcję NetWitness, aby wysyłać informacje o alertach do serwera NetWitness.

W obszarze Akcje wprowadź następujące szczegóły:

Nazwa/nazwisko opis
Server (Serwer) Wybierz pozycję NetWitness.
Nazwa hosta/port Wprowadź nazwę hosta i port serwera NetWitness.
Strefa czasowa Wprowadź strefę czasową, której chcesz użyć w sygnaturze czasowej na potrzeby wykrywania alertów w rozwiązaniu SIEM.

Konfigurowanie reguł przekazywania dla integracji partnerów

Możesz zintegrować usługę Defender for IoT z usługą partnerską, aby wysyłać informacje o spisie alertów lub urządzeń do innego systemu zabezpieczeń lub zarządzania urządzeniami albo komunikować się z zaporami po stronie partnera.

Integracje partnerów mogą ułatwić łączenie wcześniej silosowych rozwiązań zabezpieczeń, zwiększanie widoczności urządzeń i przyspieszanie reagowania na cały system w celu szybszego ograniczania ryzyka.

W takich przypadkach użyj obsługiwanych akcji , aby wprowadzić poświadczenia i inne informacje wymagane do komunikowania się ze zintegrowanymi usługami partnerskimi.

Aby uzyskać więcej informacji, zobacz:

Konfigurowanie grup alertów w usługach partnerskich

Podczas konfigurowania reguł przekazywania w celu wysyłania danych alertów do serwerów syslog, QRadar i ArcSight grupy alertów są automatycznie stosowane i są dostępne na tych serwerach partnerskich.

Grupy alertów pomagają zespołom SOC używać tych rozwiązań partnerskich do zarządzania alertami na podstawie zasad zabezpieczeń przedsiębiorstwa i priorytetów biznesowych. Na przykład alerty dotyczące nowych wykryć są zorganizowane w grupę odnajdywania , która obejmuje wszelkie alerty dotyczące nowych urządzeń, sieci VLAN, kont użytkowników, adresów MAC i nie tylko.

Grupy alertów są wyświetlane w usługach partnerskich z następującymi prefiksami:

Prefiks Usługa partnerów
cat QRadar, ArcSight, Syslog CEF, Syslog LEEF
Alert Group Komunikaty tekstowe dziennika systemowego
alert_group Obiekty dziennika systemowego

Aby użyć grup alertów w integracji, upewnij się, że skonfigurować usługi partnerskie w celu wyświetlenia nazwy grupy alertów.

Domyślnie alerty są grupowane w następujący sposób:

  • Nietypowe zachowanie komunikacji
  • Alerty niestandardowe
  • Dostęp zdalny
  • Nietypowe zachowanie komunikacji HTTP
  • Odnajdowanie
  • Ponowne uruchamianie i zatrzymywanie poleceń
  • Uwierzytelnianie
  • Zmiana oprogramowania układowego
  • Skanuj
  • Zachowanie nieautoryzowanej komunikacji
  • Niedozwolone polecenia
  • Ruch czujnika
  • Anomalie przepustowości
  • Dostęp do Internetu
  • Podejrzenie złośliwego oprogramowania
  • Przepełnienie buforu
  • Błędy operacji
  • Podejrzenie złośliwego działania
  • Błędy poleceń
  • Problemy operacyjne
  • Zmiany konfiguracji
  • Programowanie

Aby uzyskać więcej informacji i utworzyć niestandardowe grupy alertów, skontaktuj się z pomoc techniczna firmy Microsoft.

Rozwiązywanie problemów z regułami przekazywania

Jeśli reguły alertów przesyłania dalej nie działają zgodnie z oczekiwaniami, sprawdź następujące szczegóły:

  • Weryfikacja certyfikatu. Reguły przekazywania dla formatu CEF dziennika systemowego, usługi Microsoft Sentinel i usługi QRadar obsługują szyfrowanie i walidację certyfikatu.

    Jeśli czujniki OT lub lokalna konsola zarządzania są skonfigurowane do weryfikowania certyfikatów i nie można zweryfikować certyfikatu, alerty nie są przekazywane.

    W takich przypadkach czujnik lub lokalna konsola zarządzania jest klientem sesji i inicjatorem. Certyfikaty są zwykle odbierane z serwera lub używają szyfrowania asymetrycznego, w przypadku gdy określony certyfikat jest udostępniany do skonfigurowania integracji.

  • Reguły wykluczania alertów. Jeśli masz skonfigurowane reguły wykluczania w lokalnej konsoli zarządzania, czujniki mogą ignorować alerty, które próbujesz przekazać dalej. Aby uzyskać więcej informacji, zobacz Tworzenie reguł wykluczania alertów w lokalnej konsoli zarządzania.

Następne kroki