Udostępnij za pośrednictwem

Wyświetlanie alertów w czujniku OT i zarządzanie nimi

  • Artykuł

Alerty usługi Microsoft Defender dla IoT zwiększają bezpieczeństwo sieci i operacje dzięki szczegółowymi informacjami o zdarzeniach zarejestrowanych w sieci w czasie rzeczywistym. Alerty OT są wyzwalane, gdy czujniki sieciowe OT wykrywają zmiany lub podejrzane działania w ruchu sieciowym, który wymaga twojej uwagi.

W tym artykule opisano sposób wyświetlania alertów usługi Defender dla IoT bezpośrednio w czujniku sieci OT. Alerty OT można również wyświetlić w witrynie Azure Portal lub lokalnej konsoli zarządzania.

Aby uzyskać więcej informacji, zobacz Alerty usługi Microsoft Defender dla IoT.

Wymagania wstępne

  • Aby mieć alerty dotyczące czujnika OT, musisz mieć skonfigurowany port SPAN dla czujnika i zainstalowanego oprogramowania do monitorowania usługi Defender for IoT. Aby uzyskać więcej informacji, zobacz Instalowanie oprogramowania do monitorowania bez agenta OT.

  • Aby wyświetlić alerty w czujniku OT, zaloguj się do czujnika jako użytkownik Administracja, analityk zabezpieczeń lub osoba przeglądająca.

  • Aby zarządzać alertami w czujniku OT, zaloguj się do czujnika jako użytkownik Administracja lub analityk zabezpieczeń. Działania związane z zarządzaniem alertami obejmują modyfikowanie ich stanów lub ważności, uczenie się lub wyciszanie alertu, uzyskiwanie dostępu do danych PCAP lub dodawanie wstępnie zdefiniowanych komentarzy do alertu.

Aby uzyskać więcej informacji, zobacz Temat Użytkownicy i role lokalne na potrzeby monitorowania ot za pomocą usługi Defender dla IoT.

Wyświetlanie alertów w czujniku OT

  1. Zaloguj się do konsoli czujnika OT i wybierz stronę Alerty po lewej stronie.

    Domyślnie w siatce są wyświetlane następujące szczegóły:

    Nazwa/nazwisko opis
    Ważność Wstępnie zdefiniowana ważność alertu przypisana przez czujnik, który można zmodyfikować zgodnie z potrzebami, w tym: Krytyczne, Główne, Pomocnicze, Ostrzeżenie.
    Nazwa/nazwisko Tytuł alertu
    Silnika Aparat wykrywania usługi Defender for IoT, który wykrył działanie i wyzwolił alert.
    Ostatnie wykrywanie Ostatni raz wykryto alert.

    — Jeśli stan alertu to Nowy, a ten sam ruch będzie widoczny ponownie, czas ostatniego wykrywania zostanie zaktualizowany dla tego samego alertu.
    — Jeśli stan alertu jest zamknięty, a ruch będzie widoczny ponownie, czas ostatniego wykrywania nie zostanie zaktualizowany i zostanie wyzwolony nowy alert.
    Stan Stan alertu: Nowy, Aktywny, Zamknięty

    Aby uzyskać więcej informacji, zobacz Stan alertów i opcje klasyfikacji.
    Urządzenie źródłowe Źródłowy adres IP urządzenia, adres MAC lub nazwa urządzenia.

    1. Aby wyświetlić więcej szczegółów, wybierz przycisk Edytuj kolumny .

      W okienku Edytuj kolumny po prawej stronie wybierz pozycję Dodaj kolumnę i dowolną z następujących dodatkowych kolumn:

      Nazwa/nazwisko opis
      Urządzenie docelowe Docelowy adres IP urządzenia.
      Pierwsze wykrywanie Przy pierwszym wykryciu działania alertu.
      Identyfikator Identyfikator alertu.
      Ostatnie działanie Czas ostatniej zmiany alertu, w tym ręczne aktualizacje ważności lub stanu, lub automatyczne zmiany aktualizacji urządzenia lub deduplikacji urządzenia/alertu

Filtruj wyświetlane alerty

Użyj pola wyszukiwania, zakresu czasu i opcji Dodaj filtr, aby filtrować alerty wyświetlane według określonych parametrów lub ułatwić zlokalizowanie określonego alertu.

Na przykład:

Screenshot of an OT sensor Alerts page being filtered by Groups.

Filtrowanie alertów według grup używa dowolnych grup niestandardowych, które mogły zostać utworzone w spisie urządzeń lub na stronach mapy urządzenia.

Wyświetlane alerty grupy

Użyj menu Grupuj według w prawym górnym rogu, aby zwinąć siatkę do podsekcji na podstawie ważności, nazwy, aparatu lub stanu.

Na przykład gdy łączna liczba alertów pojawia się powyżej siatki, możesz chcieć uzyskać bardziej szczegółowe informacje na temat podziału liczby alertów, takich jak liczba alertów o określonej ważności lub stanie.

Wyświetlanie szczegółów i korygowanie określonego alertu

  1. Zaloguj się do czujnika OT i wybierz pozycję Alerty w menu po lewej stronie.

  2. Wybierz alert w siatce, aby wyświetlić więcej szczegółów w okienku po prawej stronie. Okienko szczegółów alertu zawiera opis alertu, źródło ruchu i miejsce docelowe oraz inne. Wybierz pozycję Wyświetl pełne szczegóły , aby przejść do szczegółów dalej. Na przykład:

    Screenshot of an alert selected from the Alerts page on an OT sensor.

  3. Strona szczegółów alertu zawiera więcej szczegółów dotyczących alertu oraz zestaw kroków korygowania na karcie Wykonaj akcję .

    Użyj następujących kart, aby uzyskać bardziej kontekstowe informacje:

    • Widok mapy. Wyświetl urządzenia źródłowe i docelowe w widoku mapy z innymi urządzeniami podłączonymi do czujnika. Na przykład:

      Screenshot of the Map View tab on an alert details page.

    • Oś czasu zdarzenia. Wyświetl zdarzenie wraz z innymi ostatnimi działaniami na powiązanych urządzeniach. Opcje filtrowania w celu dostosowania wyświetlanych danych. Na przykład:

      Screenshot of an event timeline on an alert details page.

Zarządzanie stanem alertu i klasyfikacją alertów

Pamiętaj, aby zaktualizować stan alertu po podjęciu kroków korygowania, aby postęp był rejestrowany. Możesz zaktualizować stan pojedynczego alertu lub zbiorczo wybrać alerty.

Informacje o alercie wskazującym usłudze Defender dla IoT, że wykryty ruch sieciowy jest autoryzowany. Wyuczone alerty nie zostaną ponownie wyzwolone przy następnym wykryciu tego samego ruchu w sieci. Wycisz alert, gdy uczenie się nie jest dostępne i chcesz zignorować konkretny scenariusz w sieci.

Aby uzyskać więcej informacji, zobacz Stan alertów i opcje klasyfikacji.

  • Aby zarządzać stanem alertu:

    1. Zaloguj się do konsoli czujnika OT i wybierz stronę Alerty po lewej stronie.

    2. Wybierz co najmniej jeden alert w siatce, którego stan chcesz zaktualizować.

    3. Użyj przycisku Zmień stan paska narzędzi lub opcji Stan w okienku szczegółów po prawej stronie, aby zaktualizować stan alertu.

      Opcja Stan jest również dostępna na stronie szczegółów alertu.

  • Aby dowiedzieć się więcej o co najmniej jednym alertzie:

    Zaloguj się do konsoli czujnika OT i wybierz stronę Alerty po lewej stronie, a następnie wykonaj jedną z następujących czynności:

    • Wybierz co najmniej jeden alert z możliwością nauki w siatce, a następnie wybierz pozycję Learn na pasku narzędzi.
    • Na stronie szczegółów alertu na karcie Wykonaj akcję wybierz pozycję Learn.

  • Aby wyciszyć alert:

    1. Zaloguj się do konsoli czujnika OT i wybierz stronę Alerty po lewej stronie.
    2. Znajdź alert, który chcesz wyciszyć, i otwórz stronę szczegółów alertu.
    3. Na karcie Wykonaj akcję włącz opcję Wycisz alert.

  • Aby cofnąć lub usunąć wyciszenie alertu:

    1. Zaloguj się do konsoli czujnika OT i wybierz stronę Alerty po lewej stronie.
    2. Znajdź poznany lub wyciszony alert i otwórz stronę szczegółów alertu.
    3. Na karcie Podejmij akcję wyłącz opcję Nauka alertu lub Wycisz alert.

    Po usunięciu lub odłączeniu alertu alerty są wyzwalane ponownie za każdym razem, gdy czujnik wykrywa wybraną kombinację ruchu.

Uzyskiwanie dostępu do danych protokołu PCAP alertu

Możesz chcieć uzyskać dostęp do nieprzetworzonych plików ruchu, nazywanych również plikami przechwytywania pakietów lub plikami PCAP w ramach badania.

Aby uzyskać dostęp do nieprzetworzonych plików ruchu dla alertu, wybierz pozycję Pobierz plik PCAP w lewym górnym rogu strony szczegółów alertu:

Na przykład:

Screenshot of the Download PCAP options on the OT sensor.

Plik PCAP zostanie pobrany, a przeglądarka wyświetli monit o otwarcie lub zapisanie go lokalnie.

Eksportowanie alertów do plików CSV lub PDF

Możesz wyeksportować wybrane alerty do pliku CSV lub PDF na potrzeby udostępniania i raportowania w trybie offline.

  • Eksportuj alerty do pliku CSV ze strony głównej Alerty . Eksportuj alerty pojedynczo lub zbiorczo.
  • Wyeksportuj alerty do pliku PDF pojedynczo tylko ze strony głównej Alerty lub na stronie szczegółów alertu.

Aby wyeksportować alerty do pliku CSV:

  1. Zaloguj się do konsoli czujnika OT i wybierz stronę Alerty po lewej stronie.

  2. Użyj pola wyszukiwania i opcji filtru, aby wyświetlić tylko alerty, które chcesz wyeksportować.

  3. Na pasku narzędzi powyżej siatki wybierz pozycję Eksportuj do pliku CSV.

Plik zostanie wygenerowany i zostanie wyświetlony monit o otwarcie lub zapisanie go lokalnie.

Aby wyeksportować alert do pliku PDF:

Zaloguj się do konsoli czujnika OT i wybierz stronę Alerty po lewej stronie, a następnie wykonaj jedną z następujących czynności:

  • Na stronie Alerty wybierz alert, a następnie wybierz pozycję Eksportuj do formatu PDF z paska narzędzi nad siatką.
  • Na stronie szczegółów alertów wybierz pozycję Eksportuj do formatu PDF.

Plik zostanie wygenerowany i zostanie wyświetlony monit o zapisanie go lokalnie.

Dodawanie komentarzy alertów

Komentarze alertów ułatwiają przyspieszenie procesu badania i korygowania przez zwiększenie wydajności komunikacji między członkami zespołu a rejestrowaniem danych.

Jeśli administrator utworzył niestandardowe komentarze dla twojego zespołu w celu dodania do alertów, dodaj je z sekcji Komentarze na stronie szczegółów alertu.

  1. Zaloguj się do konsoli czujnika OT i wybierz stronę Alerty po lewej stronie.

  2. Znajdź alert, w którym chcesz dodać komentarz i otwórz stronę szczegółów alertu.

  3. Z listy Wybierz komentarz wybierz komentarz, który chcesz dodać, a następnie wybierz pozycję Dodaj. Na przykład:

    Screenshot of the Comments section on an alert details page on the sensor.

Aby uzyskać więcej informacji, zobacz Przyspieszanie przepływów pracy alertów OT.

Następne kroki

Przechowywanie danych w usłudze Microsoft Defender dla IoT