Przekazywanie lokalnych informacji o alertach OT
Alerty usługi Microsoft Defender dla IoT zwiększają bezpieczeństwo sieci i operacje dzięki szczegółowymi informacjami o zdarzeniach zarejestrowanych w sieci w czasie rzeczywistym. Alerty OT są wyzwalane, gdy czujniki sieciowe OT wykrywają zmiany lub podejrzane działania w ruchu sieciowym, który wymaga twojej uwagi.
W tym artykule opisano sposób konfigurowania czujnika OT lub lokalnej konsoli zarządzania w celu przekazywania alertów do usług partnerskich, serwerów syslog, adresów e-mail i nie tylko. Informacje o przesłaniu dalej alertu zawierają szczegółowe informacje, takie jak:
- Data i godzina alertu
- Aparat, który wykrył zdarzenie
- Tytuł alertu i komunikat opisowy
- Ważność alertu
- Nazwa źródła i miejsca docelowego oraz adres IP
- Wykryto podejrzany ruch
- Odłączone czujniki
- Błędy tworzenia kopii zapasowej zdalnej
Uwaga
Przekazywanie reguł alertów jest uruchamiane tylko dla alertów wyzwalanych po utworzeniu reguły przekazywania. Alerty już w systemie przed utworzeniem reguły przekazywania nie mają wpływu na regułę.
Wymagania wstępne
W zależności od tego, gdzie chcesz utworzyć reguły alertów przesyłania dalej, musisz mieć zainstalowany czujnik sieci OT lub lokalną konsolę zarządzania z dostępem jako użytkownik Administracja.
Aby uzyskać więcej informacji, zobacz Instalowanie oprogramowania do monitorowania bez agenta OT oraz lokalnych użytkowników i ról na potrzeby monitorowania ot za pomocą usługi Defender for IoT.
Należy również zdefiniować ustawienia PROTOKOŁU SMTP w czujniku OT lub lokalnej konsoli zarządzania.
Aby uzyskać więcej informacji, zobacz Konfigurowanie ustawień serwera poczty SMTP w czujniku OT i Konfigurowanie ustawień serwera poczty SMTP w lokalnej konsoli zarządzania.
Tworzenie reguł przesyłania dalej na czujniku OT
Zaloguj się do czujnika OT i wybierz pozycję Przekazywanie w menu >po lewej stronie + Utwórz nową regułę.
W okienku Dodawanie reguły przesyłania dalej wprowadź zrozumiałą nazwę reguły, a następnie zdefiniuj warunki i akcje reguły w następujący sposób:
Nazwa/nazwisko opis Minimalny poziom alertu Wybierz minimalny poziom ważności alertu, który chcesz przekazać dalej.
Jeśli na przykład wybierzesz pozycję Pomocnicza, alerty pomocnicze i alert powyżej tego poziomu ważności zostaną przekazane.Wykryto dowolny protokół Przełącz się, aby przekazywać alerty ze wszystkich ruchów protokołu lub przełączać się i wybierać określone protokoły, które chcesz uwzględnić. Ruch wykryty przez dowolny aparat Przełącz się, aby przekazywać alerty ze wszystkich aparatów analitycznych lub przełączać się i wybierać określone aparaty, które chcesz uwzględnić. Akcje Wybierz typ serwera, do którego chcesz przekazać alerty, a następnie zdefiniuj inne wymagane informacje dla tego typu serwera.
Aby dodać wiele serwerów do tej samej reguły, wybierz pozycję + Dodaj serwer i dodaj więcej szczegółów.
Aby uzyskać więcej informacji, zobacz Konfigurowanie akcji reguły przekazywania alertów.Po zakończeniu konfigurowania reguły wybierz pozycję Zapisz. Reguła jest wyświetlana na stronie Przekazywanie .
Przetestuj utworzoną regułę:
- Wybierz menu opcji (...) dla reguły >Wyślij testowy komunikat.
- Przejdź do usługi docelowej, aby sprawdzić, czy odebrano informacje wysłane przez czujnik.
Edytowanie lub usuwanie reguł przesyłania dalej na czujniku OT
Aby edytować lub usunąć istniejącą regułę:
Zaloguj się do czujnika OT i wybierz pozycję Przekazywanie w menu po lewej stronie.
Wybierz menu opcji (...) dla reguły, a następnie wykonaj jedną z następujących czynności:
Wybierz pozycję Edytuj i zaktualizuj pola zgodnie z potrzebami. Po zakończeniu wybierz opcję Zapisz.
Wybierz pozycję Usuń>tak, aby potwierdzić usunięcie.
Tworzenie reguł przekazywania w lokalnej konsoli zarządzania
Aby utworzyć regułę przekazywania w konsoli zarządzania:
Zaloguj się do lokalnej konsoli zarządzania i wybierz pozycję Przekazywanie w menu po lewej stronie.
+ Wybierz przycisk w prawym górnym rogu, aby utworzyć nową regułę.
W oknie Tworzenie reguły przekazywania wprowadź zrozumiałą nazwę reguły, a następnie zdefiniuj warunki i akcje reguły w następujący sposób:
Nazwa/nazwisko opis Minimalny poziom alertu W prawym górnym rogu okna dialogowego użyj listy rozwijanej, aby wybrać minimalny poziom ważności alertu, który chcesz przekazać dalej.
Jeśli na przykład wybierzesz pozycję Pomocnicza, alerty pomocnicze i alert powyżej tego poziomu ważności zostaną przekazane.Protokoły Wybierz pozycję Wszystkie , aby przekazać alerty ze wszystkich ruchów protokołu, lub wybierz pozycję Określone , aby dodać tylko określone protokoły. Silniki Wybierz pozycję Wszystkie , aby przekazać alerty wyzwalane przez wszystkie aparaty analizy czujników, lub wybierz pozycję Określone , aby dodać tylko określone aparaty. Powiadomienia systemowe Wybierz opcję Zgłaszanie powiadomień systemowych, aby powiadomić o rozłączonych czujnikach lub błędach zdalnej kopii zapasowej. Powiadomienia o alertach Wybierz opcję Powiadomienia o alertach raportu, aby powiadomić o dacie i godzinie alertu, tytule, ważności, nazwie źródłowej i docelowej oraz adresie IP, podejrzanym ruchu i a aparatowi, który wykrył zdarzenie. Akcje Wybierz pozycję Dodaj , aby dodać akcję do zastosowania i wprowadź wszystkie wartości parametrów wymagane dla wybranej akcji. Powtórz w razie potrzeby, aby dodać wiele akcji.
Aby uzyskać więcej informacji, zobacz Konfigurowanie akcji reguły przekazywania alertów.Po zakończeniu konfigurowania reguły wybierz pozycję ZAPISZ. Reguła jest wyświetlana na stronie Przekazywanie .
Przetestuj utworzoną regułę:
- W wierszu reguły wybierz przycisk przetestuj tę regułę
przekazywania. Jeśli wiadomość została wysłana pomyślnie, zostanie wyświetlone powiadomienie o powodzeniu. - Przejdź do systemu partnerskiego, aby sprawdzić, czy odebrano informacje wysłane przez czujnik.
- W wierszu reguły wybierz przycisk przetestuj tę regułę
Edytowanie lub usuwanie reguł przesyłania dalej w lokalnej konsoli zarządzania
Aby edytować lub usunąć istniejącą regułę:
Zaloguj się do lokalnej konsoli zarządzania i wybierz pozycję Przekazywanie w menu po lewej stronie.
Znajdź wiersz reguły, a następnie wybierz
przycisk Edytuj lub
Usuń.Jeśli edytujesz regułę, zaktualizuj pola zgodnie z potrzebami i wybierz pozycję ZAPISZ.
Jeśli usuwasz regułę, wybierz pozycję POTWIERDŹ , aby potwierdzić usunięcie.
Konfigurowanie akcji reguły przekazywania alertów
W tej sekcji opisano sposób konfigurowania ustawień obsługiwanych akcji reguł przekazywania w czujniku OT lub lokalnej konsoli zarządzania.
Akcja adresu e-mail
Skonfiguruj akcję Poczta e-mail, aby przekazywać dane alertu na skonfigurowany adres e-mail.
W obszarze Akcje wprowadź następujące szczegóły:
| Nazwa/nazwisko | opis |
|---|---|
| Server (Serwer) | Wybierz Wiadomość e-mail. |
| Poczta e-mail | Wprowadź adres e-mail, do którego chcesz przekazać alerty. Każda reguła obsługuje jeden adres e-mail. |
| Strefa czasowa | Wybierz strefę czasową, której chcesz użyć do wykrywania alertów w systemie docelowym. |
Akcje serwera Syslog
Skonfiguruj akcję serwera Syslog, aby przekazywać dane alertów do wybranego typu serwera Syslog.
W obszarze Akcje wprowadź następujące szczegóły:
| Nazwa/nazwisko | opis |
|---|---|
| Server (Serwer) | Wybierz jeden z następujących typów formatów dziennika systemowego: - Serwer SYSLOG (format CEF) - Serwer SYSLOG (format LEEF) - Serwer SYSLOG (obiekt) - Serwer SYSLOG (wiadomość SMS) |
| Port hosta / | Wprowadź nazwę hosta i port serwera syslog |
| Strefa czasowa | Wybierz strefę czasową, której chcesz użyć do wykrywania alertów w systemie docelowym. |
| Protokół | Obsługiwane tylko w przypadku wiadomości tekstowych. Wybierz pozycję TCP lub UDP. |
| Włączanie szyfrowania | Obsługiwane tylko w przypadku formatu CEF. Przełącz się, aby skonfigurować plik certyfikatu szyfrowania TLS, plik klucza i hasło. |
W poniższych sekcjach opisano składnię danych wyjściowych dziennika systemowego dla każdego formatu.
Pola wyjściowe komunikatu tekstowego dziennika systemowego
| Nazwa/nazwisko | opis |
|---|---|
| Priorytet | Użytkownika. Alerty |
| Wiadomość | Nazwa platformy CyberX: nazwa czujnika. Alert usługi Microsoft Defender dla IoT: tytuł alertu. Typ: typ alertu. Może to być naruszenie protokołu, naruszenie zasad, złośliwe oprogramowanie, anomalia lub działanie. Ważność: ważność alertu. Może to być ostrzeżenie, pomocnicza, główna lub krytyczna. Źródło: nazwa urządzenia źródłowego. Źródłowy adres IP: źródłowy adres IP urządzenia. Protokół (opcjonalnie): wykryty protokół źródłowy. Adres (opcjonalnie): adres protokołu źródłowego. Miejsce docelowe: nazwa urządzenia docelowego. Docelowy adres IP: adres IP urządzenia docelowego. Protokół (opcjonalnie): wykryty protokół docelowy. Adres (opcjonalnie): adres protokołu docelowego. Komunikat: komunikat alertu. Grupa alertów: grupa alertów skojarzona z alertem. UUID (opcjonalnie): identyfikator UUID alertu. |
Pola wyjściowe obiektu syslog
| Nazwa/nazwisko | opis |
|---|---|
| Priorytet | User.Alert |
| Data i godzina | Data i godzina odebrania informacji przez maszynę serwera syslog. |
| Hostname (Nazwa hosta) | Adres IP czujnika |
| Wiadomość | Nazwa czujnika: nazwa urządzenia. Czas alertu: czas wykrycia alertu: może się różnić od czasu maszyny serwera dziennika systemu i zależy od konfiguracji strefy czasowej reguły przekazywania. Tytuł alertu: tytuł alertu. Komunikat alertu: komunikat alertu. Ważność alertu: ważność alertu: Ostrzeżenie, Pomocnicza, Główna lub Krytyczna. Typ alertu: naruszenie protokołu, naruszenie zasad, złośliwe oprogramowanie, anomalia lub działanie. Protokół: protokół alertu. Source_MAC: adres IP, nazwa, dostawca lub system operacyjny urządzenia źródłowego. Destination_MAC: adres IP, nazwa, dostawca lub system operacyjny miejsca docelowego. Jeśli brakuje danych, wartość to N/A. alert_group: grupa alertów skojarzona z alertem. |
Pola wyjściowe dziennika systemu CEF
| Nazwa/nazwisko | opis |
|---|---|
| Priorytet | User.Alert |
| Data i godzina | Data i godzina wysłania informacji przez czujnik w formacie UTC |
| Hostname (Nazwa hosta) | Nazwa hosta czujnika |
| Wiadomość | CEF:0 Usługa Microsoft Defender dla IoT/CyberX Nazwa czujnika Wersja czujnika Alert usługi Microsoft Defender dla IoT Tytuł alertu Liczba całkowita wskazująca ważność. 1 = Ostrzeżenie, 4 =Drobne, 8 = Główne lub 10 = Krytyczne. msg = komunikat alertu. protocol = protokół alertu. ważność = Ostrzeżenie, Pomocnicza, Główna lub Krytyczna. type = naruszenie protokołu, naruszenie zasad, złośliwe oprogramowanie, anomalia lub działanie. UUID= UUID alertu (opcjonalnie) start = czas wykrycia alertu. Może się różnić od czasu maszyny serwera syslog i zależy od konfiguracji strefy czasowej reguły przekazywania. src_ip = adres IP urządzenia źródłowego. (Opcjonalnie) src_mac = adres MAC urządzenia źródłowego. (Opcjonalnie) dst_ip = adres IP urządzenia docelowego. (Opcjonalne) dst_mac = adres MAC urządzenia docelowego. (Opcjonalne) cat = grupa alertów skojarzona z alertem. |
Pola wyjściowe leef dziennika systemowego
| Nazwa/nazwisko | opis |
|---|---|
| Priorytet | User.Alert |
| Data i godzina | Data i godzina wysłania informacji przez czujnik w formacie UTC |
| Hostname (Nazwa hosta) | Adres IP czujnika |
| Wiadomość | Nazwa czujnika: nazwa urządzenia Usługi Microsoft Defender dla IoT. LEEF:1.0 Usługa Microsoft Defender dla IoT Czujnik Wersja czujnika Alert usługi Microsoft Defender dla IoT title: tytuł alertu. msg: komunikat alertu. protocol: protokół alertu. ważność: Ostrzeżenie, Pomocnicza, Główna lub Krytyczna. typ: typ alertu: Naruszenie protokołu, Naruszenie zasad, Złośliwe oprogramowanie, Anomalia lub Operacyjna. start: czas alertu. Może się to różnić od czasu maszyny serwera syslog i zależy od konfiguracji strefy czasowej. src_ip: adres IP urządzenia źródłowego. dst_ip: adres IP urządzenia docelowego. cat: grupa alertów skojarzona z alertem. |
Akcja serwera elementu webhook
Obsługiwane tylko z lokalnej konsoli zarządzania
Skonfiguruj akcję elementu webhook , aby skonfigurować integrację, która subskrybuje zdarzenia alertów usługi Defender dla IoT. Na przykład wyślij dane alertów do serwera elementu webhook, aby zaktualizować zewnętrzny system SIEM, system SOAR lub system zarządzania zdarzeniami.
Po skonfigurowaniu alertów przekazywanych do serwera elementu webhook i wyzwoleniu zdarzenia alertu lokalna konsola zarządzania wysyła ładunek HTTP POST do skonfigurowanego adresu URL elementu webhook.
W obszarze Akcje wprowadź następujące szczegóły:
| Nazwa/nazwisko | opis |
|---|---|
| Server (Serwer) | Wybierz pozycję Element webhook. |
| Adres URL | Wprowadź adres URL serwera elementu webhook. |
| Klucz/wartość | Wprowadź pary klucz/wartość, aby dostosować nagłówek HTTP zgodnie z potrzebami. Obsługiwane znaki to: - Klucze mogą zawierać tylko litery, cyfry, kreski i podkreślenia. - Wartości mogą zawierać tylko jedną spację prowadzącą i/lub końcową. |
Rozszerzony element webhook
Obsługiwane tylko z lokalnej konsoli zarządzania
Skonfiguruj rozszerzoną akcję elementu webhook, aby wysłać następujące dodatkowe dane do serwera elementu webhook:
- identyfikator czujnika
- sensorName
- zoneID
- Nazwa_strefy
- identyfikator witryny
- Sitename
- sourceDeviceAddress
- destinationDeviceAddress
- remediationSteps
- Obsługiwane
- additionalInformation
W obszarze Akcje wprowadź następujące szczegóły:
| Nazwa/nazwisko | opis |
|---|---|
| Server (Serwer) | Wybierz pozycję Element webhook rozszerzony. |
| Adres URL | Wprowadź adres URL danych punktu końcowego. |
| Klucz/wartość | Wprowadź pary klucz/wartość, aby dostosować nagłówek HTTP zgodnie z potrzebami. Obsługiwane znaki to: - Klucze mogą zawierać tylko litery, cyfry, kreski i podkreślenia. - Wartości mogą zawierać tylko jedną spację prowadzącą i/lub końcową. |
Akcja NetWitness
Skonfiguruj akcję NetWitness, aby wysyłać informacje o alertach do serwera NetWitness.
W obszarze Akcje wprowadź następujące szczegóły:
| Nazwa/nazwisko | opis |
|---|---|
| Server (Serwer) | Wybierz pozycję NetWitness. |
| Nazwa hosta/port | Wprowadź nazwę hosta i port serwera NetWitness. |
| Strefa czasowa | Wprowadź strefę czasową, której chcesz użyć w sygnaturze czasowej na potrzeby wykrywania alertów w rozwiązaniu SIEM. |
Konfigurowanie reguł przekazywania dla integracji partnerów
Możesz zintegrować usługę Defender for IoT z usługą partnerską, aby wysyłać informacje o spisie alertów lub urządzeń do innego systemu zabezpieczeń lub zarządzania urządzeniami albo komunikować się z zaporami po stronie partnera.
Integracje partnerów mogą ułatwić łączenie wcześniej silosowych rozwiązań zabezpieczeń, zwiększanie widoczności urządzeń i przyspieszanie reagowania na cały system w celu szybszego ograniczania ryzyka.
W takich przypadkach użyj obsługiwanych akcji , aby wprowadzić poświadczenia i inne informacje wymagane do komunikowania się ze zintegrowanymi usługami partnerskimi.
Aby uzyskać więcej informacji, zobacz:
- Integracja aplikacji Fortinet z usługą Microsoft Defender dla IoT
- Integrowanie usługi Qradar z usługą Microsoft Defender dla IoT
Konfigurowanie grup alertów w usługach partnerskich
Podczas konfigurowania reguł przekazywania w celu wysyłania danych alertów do serwerów syslog, QRadar i ArcSight grupy alertów są automatycznie stosowane i są dostępne na tych serwerach partnerskich.
Grupy alertów pomagają zespołom SOC używać tych rozwiązań partnerskich do zarządzania alertami na podstawie zasad zabezpieczeń przedsiębiorstwa i priorytetów biznesowych. Na przykład alerty dotyczące nowych wykryć są zorganizowane w grupę odnajdywania , która obejmuje wszelkie alerty dotyczące nowych urządzeń, sieci VLAN, kont użytkowników, adresów MAC i nie tylko.
Grupy alertów są wyświetlane w usługach partnerskich z następującymi prefiksami:
| Prefiks | Usługa partnerów |
|---|---|
cat |
QRadar, ArcSight, Syslog CEF, Syslog LEEF |
Alert Group |
Komunikaty tekstowe dziennika systemowego |
alert_group |
Obiekty dziennika systemowego |
Aby użyć grup alertów w integracji, upewnij się, że skonfigurować usługi partnerskie w celu wyświetlenia nazwy grupy alertów.
Domyślnie alerty są grupowane w następujący sposób:
- Nietypowe zachowanie komunikacji
- Alerty niestandardowe
- Dostęp zdalny
- Nietypowe zachowanie komunikacji HTTP
- Odnajdowanie
- Ponowne uruchamianie i zatrzymywanie poleceń
- Uwierzytelnianie
- Zmiana oprogramowania układowego
- Skanuj
- Zachowanie nieautoryzowanej komunikacji
- Niedozwolone polecenia
- Ruch czujnika
- Anomalie przepustowości
- Dostęp do Internetu
- Podejrzenie złośliwego oprogramowania
- Przepełnienie buforu
- Błędy operacji
- Podejrzenie złośliwego działania
- Błędy poleceń
- Problemy operacyjne
- Zmiany konfiguracji
- Programowanie
Aby uzyskać więcej informacji i utworzyć niestandardowe grupy alertów, skontaktuj się z pomoc techniczna firmy Microsoft.
Rozwiązywanie problemów z regułami przekazywania
Jeśli reguły alertów przesyłania dalej nie działają zgodnie z oczekiwaniami, sprawdź następujące szczegóły:
Weryfikacja certyfikatu. Reguły przekazywania dla formatu CEF dziennika systemowego, usługi Microsoft Sentinel i usługi QRadar obsługują szyfrowanie i walidację certyfikatu.
Jeśli czujniki OT lub lokalna konsola zarządzania są skonfigurowane do weryfikowania certyfikatów i nie można zweryfikować certyfikatu, alerty nie są przekazywane.
W takich przypadkach czujnik lub lokalna konsola zarządzania jest klientem sesji i inicjatorem. Certyfikaty są zwykle odbierane z serwera lub używają szyfrowania asymetrycznego, w przypadku gdy określony certyfikat jest udostępniany do skonfigurowania integracji.
Reguły wykluczania alertów. Jeśli masz skonfigurowane reguły wykluczania w lokalnej konsoli zarządzania, czujniki mogą ignorować alerty, które próbujesz przekazać dalej. Aby uzyskać więcej informacji, zobacz Tworzenie reguł wykluczania alertów w lokalnej konsoli zarządzania.