Udostępnij za pośrednictwem

Śledzenie aktywności sieci i czujników przy użyciu osi czasu zdarzenia

  • Artykuł

Działanie wykryte przez Microsoft Defender dla czujników IoT jest rejestrowane na osi czasu zdarzenia. Działanie obejmuje alerty i akcje zarządzania alertami, zdarzenia sieciowe i operacje użytkownika, takie jak logowanie użytkownika lub usuwanie użytkownika.

Oś czasu zdarzenia czujnika OT zawiera chronologiczny widok i kontekst wszystkich działań sieciowych, aby pomóc określić przyczynę i wpływ zdarzeń. Widok osi czasu ułatwia wyodrębnianie informacji ze zdarzeń sieciowych i wydajniejsze analizowanie alertów i zdarzeń obserwowanych w sieci. Dzięki możliwości przechowywania ogromnych ilości danych widok osi czasu zdarzeń może być cennym zasobem dla zespołów ds. zabezpieczeń w celu przeprowadzenia badań i uzyskania dokładniejszego zrozumienia aktywności sieciowej.

Użyj osi czasu zdarzenia podczas badania, aby zrozumieć i przeanalizować łańcuch zdarzeń, które poprzedzały atak lub zdarzenie. Scentralizowany widok wielu zdarzeń związanych z zabezpieczeniami na tej samej osi czasu pomaga zidentyfikować wzorce i korelacje oraz umożliwić zespołom ds. zabezpieczeń szybkie ocenianie wpływu zdarzeń i reagowanie odpowiednio.

Aby uzyskać więcej informacji, zobacz:

Uprawnienia

Przed wykonaniem procedur opisanych w tym artykule upewnij się, że masz dostęp do czujnika OT jako roli Administracja lub analityka zabezpieczeń. Aby uzyskać więcej informacji, zobacz Lokalne użytkowników i role monitorowania ot za pomocą usługi Defender for IoT.

Wyświetlanie osi czasu zdarzenia

  1. Zaloguj się do konsoli czujnika i wybierz pozycję Oś czasu zdarzenia z menu po lewej stronie.

  2. Przejrzyj i przefiltruj zdarzenia zgodnie z potrzebami.

  3. Wybierz wiersz zdarzenia, aby wyświetlić szczegóły zdarzenia w okienku po prawej stronie, gdzie można również filtrować, aby wyświetlić zdarzenia powiązanych urządzeń. Filtr Operacje użytkownika jest domyślnie włączony, możesz wybrać opcję ukrycia lub pokazania zdarzeń użytkownika zgodnie z potrzebami.

    Na przykład:

    Zrzut ekranu przedstawiający zdarzenia na osi czasu zdarzenia.

Możesz również wyświetlić oś czasu zdarzenia określonego urządzenia ze spisu urządzeń.

Aby wyświetlić oś czasu zdarzenia określonego urządzenia:

  1. W konsoli czujnika przejdź do pozycji Spis urządzeń.

  2. Wybierz określone urządzenie, aby otworzyć okienko szczegółów urządzenia, a następnie wybierz pozycję Wyświetl pełne szczegóły , aby otworzyć stronę właściwości urządzenia.

  3. Wybierz kartę Oś czasu zdarzenia , aby wyświetlić wszystkie zdarzenia skojarzone z tym urządzeniem i odfiltrować zdarzenia zgodnie z potrzebami.

    Na przykład:

    Zrzut ekranu przedstawiający kartę oś czasu zdarzenia na stronie właściwości urządzenia.

Filtrowanie zdarzeń na osi czasu

  1. Na stronie osi czasu zdarzenia wybierz pozycję Dodaj filtr , aby określić wyświetlane zdarzenia.

  2. Wybierz typ filtru. Użyj dowolnej z następujących opcji, aby filtrować wyświetlane urządzenia:

    Typ Opis
    Operacje użytkownika Ten filtr jest domyślnie włączony, wybierz opcję wyświetlania lub ukrywania zdarzeń operacji użytkownika.
    Data Wyszukaj zdarzenia w określonym zakresie dat.
    Grupa urządzeń Filtruj określone urządzenia według grupy zgodnie z definicją na mapie urządzenia.
    Waga zdarzenia Pokaż tylko alerty, alerty i powiadomienia lub wszystkie zdarzenia.
    Wykluczanie urządzeń Wyszukaj i odfiltruj urządzenia, które chcesz wykluczyć.
    Dołączanie urządzeń Wyszukaj i odfiltruj urządzenia, które chcesz uwzględnić.
    Wykluczanie typów zdarzeń Wyszukaj i przefiltruj określone typy zdarzeń, aby je wykluczyć.
    Uwzględnij typy zdarzeń Wyszukaj i odfiltruj określone typy zdarzeń do uwzględnienia.
    Słowa kluczowe Filtrowanie zdarzeń według określonych słów kluczowych.

  3. Wybierz pozycję Zastosuj , aby ustawić filtr.

Eksportowanie osi czasu zdarzenia do pliku CSV

Oś czasu zdarzenia można wyeksportować do pliku CSV, wyeksportowane dane są zgodne z dowolnymi filtrami zastosowanymi podczas eksportowania.

Aby wyeksportować oś czasu zdarzenia:

Na stronie Oś czasu zdarzenia wybierz pozycję Eksportuj z górnego menu, aby wyeksportować oś czasu zdarzenia do pliku CSV.

Tworzenie zdarzenia

Oprócz wyświetlania zdarzeń wykrytych przez czujnik można ręcznie dodać zdarzenia do osi czasu. Ten proces jest przydatny, jeśli zdarzenie systemu zewnętrznego ma wpływ na sieć i chcesz je zarejestrować na osi czasu.

  1. Na stronie Oś czasu zdarzenia wybierz pozycję Utwórz zdarzenie.

  2. W oknie dialogowym Tworzenie zdarzenia dodaj następujące szczegóły zdarzenia:

    • Wpisz. Określ typ zdarzenia (informacje, powiadomienie lub alert).

    • Sygnatura czasowa. Ustaw datę i godzinę zdarzenia.

    • Urządzenie. Wybierz urządzenie, z za pomocą których powinno być połączone zdarzenie.

    • Opis. Podaj opis zdarzenia.

  3. Wybierz pozycję Zapisz , aby dodać zdarzenie do osi czasu.

Na przykład:

Zrzut ekranu przedstawiający tworzenie nowego zdarzenia na osi czasu.

Pojemność osi czasu zdarzeń

Ilość danych, które mogą być przechowywane na osi czasu zdarzenia, zależy od różnych czynników, takich jak rozmiar sieci, częstotliwość zdarzeń i pojemność magazynu czujnika. Dane przechowywane na osi czasu zdarzenia mogą zawierać informacje o ruchu sieciowym, zdarzeniach zabezpieczeń i innych odpowiednich punktach danych.

Maksymalna liczba zdarzeń wyświetlanych na osi czasu zdarzenia zależy od profilu sprzętowego wybranego podczas instalacji czujnika. Każdy profil sprzętu ma maksymalną pojemność zdarzeń. Aby uzyskać więcej informacji na temat maksymalnej pojemności zdarzeń dla każdego profilu sprzętu, zobacz Przechowywanie osi czasu zdarzeń OT.

Następne kroki

Aby uzyskać więcej informacji, zobacz: