Wyświetlanie alertów w czujniku OT i zarządzanie nimi
Alerty usługi Microsoft Defender dla IoT zwiększają bezpieczeństwo sieci i operacje dzięki szczegółowymi informacjami o zdarzeniach zarejestrowanych w sieci w czasie rzeczywistym. Alerty OT są wyzwalane, gdy czujniki sieciowe OT wykrywają zmiany lub podejrzane działania w ruchu sieciowym, który wymaga twojej uwagi.
W tym artykule opisano sposób wyświetlania alertów usługi Defender dla IoT bezpośrednio w czujniku sieci OT. Alerty OT można również wyświetlić w witrynie Azure Portal lub lokalnej konsoli zarządzania.
Aby uzyskać więcej informacji, zobacz Alerty usługi Microsoft Defender dla IoT.
Wymagania wstępne
Aby mieć alerty dotyczące czujnika OT, musisz mieć skonfigurowany port SPAN dla czujnika i zainstalowanego oprogramowania do monitorowania usługi Defender for IoT. Aby uzyskać więcej informacji, zobacz Instalowanie oprogramowania do monitorowania bez agenta OT.
Aby wyświetlić alerty dotyczące czujnika OT, zaloguj się do czujnika jako administrator, analityk zabezpieczeń lub użytkownik przeglądarki.
Aby zarządzać alertami w czujniku OT, zaloguj się do czujnika jako administrator lub analityk zabezpieczeń. Działania związane z zarządzaniem alertami obejmują modyfikowanie ich stanów lub ważności, uczenie się lub wyciszanie alertu, uzyskiwanie dostępu do danych PCAP lub dodawanie wstępnie zdefiniowanych komentarzy do alertu.
Aby uzyskać więcej informacji, zobacz Temat Użytkownicy i role lokalne na potrzeby monitorowania ot za pomocą usługi Defender dla IoT.
Wyświetlanie alertów w czujniku OT
Zaloguj się do konsoli czujnika OT i wybierz stronę Alerty po lewej stronie.
Domyślnie w siatce są wyświetlane następujące szczegóły:
Nazwa/nazwisko opis Ważność Wstępnie zdefiniowana ważność alertu przypisana przez czujnik, który można zmodyfikować zgodnie z potrzebami, w tym: Krytyczne, Główne, Pomocnicze, Ostrzeżenie. Nazwa/nazwisko Tytuł alertu Silnik Aparat wykrywania usługi Defender for IoT, który wykrył działanie i wyzwolił alert. Ostatnie wykrywanie Ostatni raz wykryto alert.
— Jeśli stan alertu to Nowy, a ten sam ruch będzie widoczny ponownie, czas ostatniego wykrywania zostanie zaktualizowany dla tego samego alertu.
— Jeśli stan alertu jest zamknięty, a ruch będzie widoczny ponownie, czas ostatniego wykrywania nie zostanie zaktualizowany i zostanie wyzwolony nowy alert.
Uwaga: Podczas gdy konsola czujnika wyświetla pole Ostatnie wykrywanie alertu w czasie rzeczywistym, usługa Defender dla IoT w witrynie Azure Portal może potrwać do jednej godziny, aby wyświetlić zaktualizowany czas. W tym artykule wyjaśniono scenariusz, w którym czas ostatniego wykrywania w konsoli czujnika nie jest taki sam jak czas ostatniego wykrywania w witrynie Azure Portal.Stan Stan alertu: Nowy, Aktywny, Zamknięty
Aby uzyskać więcej informacji, zobacz Stan alertów i opcje klasyfikacji.Urządzenie źródłowe Źródłowy adres IP urządzenia, adres MAC lub nazwa urządzenia. Id Unikatowy identyfikator alertu zgodny z identyfikatorem w witrynie Azure Portal.
Uwaga: jeśli alert został scalony z innymi alertami z czujników, które wykryły ten sam alert, w witrynie Azure Portal zostanie wyświetlony identyfikator alertu pierwszego czujnika, który wygenerował alerty.Aby wyświetlić więcej szczegółów, wybierz przycisk Edytuj kolumny .
W okienku Edytuj kolumny po prawej stronie wybierz pozycję Dodaj kolumnę i dowolną z następujących dodatkowych kolumn:
Nazwa/nazwisko opis Urządzenie docelowe Docelowy adres IP urządzenia. Pierwsze wykrywanie Przy pierwszym wykryciu działania alertu. Identyfikator Identyfikator alertu. Ostatnie działanie Czas ostatniej zmiany alertu, w tym ręczne aktualizacje ważności lub stanu, lub automatyczne zmiany aktualizacji urządzenia lub deduplikacji urządzenia/alertu
Filtruj wyświetlane alerty
Użyj pola wyszukiwania, zakresu czasu i opcji Dodaj filtr, aby filtrować alerty wyświetlane według określonych parametrów lub ułatwić zlokalizowanie określonego alertu.
Na przykład:
Filtrowanie alertów według grup używa dowolnych grup niestandardowych, które mogły zostać utworzone w spisie urządzeń lub na stronach mapy urządzenia.
Wyświetlane alerty grupy
Użyj menu Grupuj według w prawym górnym rogu, aby zwinąć siatkę do podsekcji na podstawie ważności, nazwy, aparatu lub stanu.
Na przykład gdy łączna liczba alertów pojawia się powyżej siatki, możesz chcieć uzyskać bardziej szczegółowe informacje na temat podziału liczby alertów, takich jak liczba alertów o określonej ważności lub stanie.
Wyświetlanie szczegółów i korygowanie określonego alertu
Zaloguj się do czujnika OT i wybierz pozycję Alerty w menu po lewej stronie.
Wybierz alert w siatce, aby wyświetlić więcej szczegółów w okienku po prawej stronie. Okienko szczegółów alertu zawiera opis alertu, źródło ruchu i miejsce docelowe oraz inne. Wybierz pozycję Wyświetl pełne szczegóły , aby przejść do szczegółów dalej. Na przykład:
Strona szczegółów alertu zawiera więcej szczegółów dotyczących alertu oraz zestaw kroków korygowania na karcie Wykonaj akcję .
Użyj następujących kart, aby uzyskać bardziej kontekstowe informacje:
Widok mapy. Wyświetl urządzenia źródłowe i docelowe w widoku mapy z innymi urządzeniami podłączonymi do czujnika.
Oś czasu zdarzenia. Wyświetl zdarzenie wraz z innymi ostatnimi działaniami na powiązanych urządzeniach. Opcje filtrowania w celu dostosowania wyświetlanych danych. Na przykład:
Zarządzanie stanem alertu i klasyfikacją alertów
Pamiętaj, aby zaktualizować stan alertu po podjęciu kroków korygowania, aby postęp był rejestrowany. Możesz zaktualizować stan pojedynczego alertu lub zbiorczo wybrać alerty.
Informacje o alercie wskazującym usłudze Defender dla IoT, że wykryty ruch sieciowy jest autoryzowany. Wyuczone alerty nie zostaną ponownie wyzwolone przy następnym wykryciu tego samego ruchu w sieci. Wycisz alert, gdy uczenie się nie jest dostępne i chcesz zignorować konkretny scenariusz w sieci.
Aby uzyskać więcej informacji, zobacz Stan alertów i opcje klasyfikacji.
Aby zarządzać stanem alertu:
Zaloguj się do konsoli czujnika OT i wybierz stronę Alerty po lewej stronie.
Wybierz co najmniej jeden alert w siatce, którego stan chcesz zaktualizować.
Użyj przycisku Zmień stan paska narzędzi lub opcji Stan w okienku szczegółów po prawej stronie, aby zaktualizować stan alertu.
Opcja Stan jest również dostępna na stronie szczegółów alertu.
Aby dowiedzieć się więcej o co najmniej jednym alertzie:
Zaloguj się do konsoli czujnika OT i wybierz stronę Alerty po lewej stronie, a następnie wykonaj jedną z następujących czynności:
- Wybierz co najmniej jeden alert z możliwością nauki w siatce, a następnie wybierz pozycję Learn na pasku narzędzi.
- Na stronie szczegółów alertu na karcie Wykonaj akcję wybierz pozycję Learn.
Aby wyciszyć alert:
- Zaloguj się do konsoli czujnika OT i wybierz stronę Alerty po lewej stronie.
- Znajdź alert, który chcesz wyciszyć, i otwórz stronę szczegółów alertu.
- Na karcie Wykonaj akcję włącz opcję Wycisz alert.
Aby cofnąć lub usunąć wyciszenie alertu:
- Zaloguj się do konsoli czujnika OT i wybierz stronę Alerty po lewej stronie.
- Znajdź poznany lub wyciszony alert i otwórz stronę szczegółów alertu.
- Na karcie Podejmij akcję wyłącz opcję Nauka alertu lub Wycisz alert.
Po usunięciu lub odłączeniu alertu alerty są wyzwalane ponownie za każdym razem, gdy czujnik wykrywa wybraną kombinację ruchu.
Uzyskiwanie dostępu do danych protokołu PCAP alertu
Możesz chcieć uzyskać dostęp do nieprzetworzonych plików ruchu, nazywanych również plikami przechwytywania pakietów lub plikami PCAP w ramach badania.
Aby uzyskać dostęp do nieprzetworzonych plików ruchu dla alertu, wybierz pozycję Pobierz plik PCAP w lewym górnym rogu strony szczegółów alertu:
Na przykład:
Plik PCAP zostanie pobrany, a przeglądarka wyświetli monit o otwarcie lub zapisanie go lokalnie.
Eksportowanie alertów do plików CSV lub PDF
Możesz wyeksportować wybrane alerty do pliku CSV lub PDF na potrzeby udostępniania i raportowania w trybie offline.
- Eksportuj alerty do pliku CSV ze strony głównej Alerty . Eksportuj alerty pojedynczo lub zbiorczo.
- Wyeksportuj alerty do pliku PDF pojedynczo tylko ze strony głównej Alerty lub na stronie szczegółów alertu.
Aby wyeksportować alerty do pliku CSV:
Zaloguj się do konsoli czujnika OT i wybierz stronę Alerty po lewej stronie.
Użyj pola wyszukiwania i opcji filtru, aby wyświetlić tylko alerty, które chcesz wyeksportować.
Na pasku narzędzi powyżej siatki wybierz pozycję Eksportuj do pliku CSV.
Plik zostanie wygenerowany i zostanie wyświetlony monit o otwarcie lub zapisanie go lokalnie.
Aby wyeksportować alert do pliku PDF:
Zaloguj się do konsoli czujnika OT i wybierz stronę Alerty po lewej stronie, a następnie wykonaj jedną z następujących czynności:
- Na stronie Alerty wybierz alert, a następnie wybierz pozycję Eksportuj do formatu PDF z paska narzędzi nad siatką.
- Na stronie szczegółów alertów wybierz pozycję Eksportuj do formatu PDF.
Plik zostanie wygenerowany i zostanie wyświetlony monit o zapisanie go lokalnie.
Dodawanie komentarzy alertów
Komentarze alertów ułatwiają przyspieszenie procesu badania i korygowania przez zwiększenie wydajności komunikacji między członkami zespołu a rejestrowaniem danych.
Jeśli administrator utworzył niestandardowe komentarze dla twojego zespołu w celu dodania do alertów, dodaj je z sekcji Komentarze na stronie szczegółów alertu.
Zaloguj się do konsoli czujnika OT i wybierz stronę Alerty po lewej stronie.
Znajdź alert, w którym chcesz dodać komentarz i otwórz stronę szczegółów alertu.
Z listy Wybierz komentarz wybierz komentarz, który chcesz dodać, a następnie wybierz pozycję Dodaj. Na przykład:
Aby uzyskać więcej informacji, zobacz Przyspieszanie przepływów pracy alertów OT.