Udostępnij za pośrednictwem

Badanie zdarzeń i alertów

  • Artykuł

Usługa Microsoft Defender dla IoT w portalu usługi Microsoft Defender wyświetla zdarzenia i alerty, które zwiększają bezpieczeństwo sieci i operacje dzięki szczegółom w czasie rzeczywistym dotyczącym zdarzeń zarejestrowanych w sieci technologii operacyjnej (OT).

Alerty są podstawą wszystkich zdarzeń i wskazują wystąpienie złośliwych lub podejrzanych zdarzeń w środowisku. W ramach zdarzenia analizujesz alerty wpływające na sieć, rozumiesz, co one oznaczają, i zbierasz dowody, aby można było opracować skuteczny plan korygowania.

Dowiedz się więcej o alertach i zdarzeniach w portalu usługi Defender.

W tym artykule dowiesz się, jak zbadać zdarzenie usługi Microsoft Defender for IoT i skojarzone z nim alerty oraz jak rozwiązać problemy z zabezpieczeniami zgłaszane przez alert.

Alerty na stronie Zdarzenia jednoznacznie łączą sygnały środowiska IT i OT w celu wykrywania potencjalnych zagrożeń i wycieków danych. Zostanie wyświetlona strona Zdarzenia :

  • Historia alertów połączonych ze zdarzeniem i wykres zdarzenia. Wykres przedstawia inne urządzenia połączone z urządzeniem OT, których dotyczy problem, które również mogą zostać naruszone.
  • Opisy alertów, które wyjaśniają typ wykrytego problemu z zabezpieczeniami.
  • Opcje korygowania w celu rozwiązania problemu z zabezpieczeniami.

Uwaga

Dane zdarzeń i alertów dla usługi Defender for IoT są wyświetlane tylko po skonfigurowaniu witryny, a urządzenia wysyłają dane do portalu usługi Defender. Dowiedz się, jak skonfigurować witrynę.

Ważna

W tym artykule omówiono usługę Microsoft Defender for IoT w portalu usługi Defender (wersja zapoznawcza).

Jeśli jesteś istniejącym klientem pracującym w klasycznej witrynie Defender for IoT Portal (Azure Portal), zapoznaj się z dokumentacją usługi Defender for IoT na platformie Azure.

Dowiedz się więcej o portalach zarządzania usługi Defender for IoT.

Niektóre informacje zawarte w tym artykule odnoszą się do wersji wstępnej produktu, który może zostać znacznie zmodyfikowany do czasu wydania wersji komercyjnej. Firma Microsoft nie udziela żadnych gwarancji, wyrażonych ani dorozumianych, w odniesieniu do informacji podanych tutaj.

Badaj alerty

Aby zbadać alert:

  1. W menu portalu usługi Microsoft Defender wybierz pozycję Zdarzenia & alerty > Zdarzenia.

  2. Aby wyświetlić zdarzenia związane z OT:

    1. Wybierz pozycję Dodaj filtr.
    2. Wybierz pozycję Nazwa produktu i wybierz pozycję Dodaj.
    3. Wybierz wyświetloną kartę Nazwy produktów i wpisz: Defender for IoT.
    4. Wybierz pozycję Zastosuj.

  3. Znajdź i wybierz zdarzenie.

    Na stronie konkretnego zdarzenia przedstawiono historię ataku składającą się z osi czasu alertu, wykresu zdarzenia i szczegółów zdarzenia.

  4. Wybierz alert z listy alertów.

    Wykres zdarzenia i szczegóły zdarzenia zawierają określone dane dotyczące tego alertu.

  5. W panelu Incydent przejrzyj informacje, przeczytaj opis alertu, dowody i elementy zawartości, których dotyczy problem , i postępuj zgodnie z zalecanymi akcjami alertu , aby rozwiązać problem.

Alert usługi Defender dla IoT

Usługa Defender dla IoT generuje własny unikatowy alert.

Name (Nazwa) Opis
Możliwy wpływ operacyjny spowodowany naruszeniem zabezpieczeń urządzenia Naruszone urządzenie komunikuje się z zasobem technologii operacyjnej (OT). Osoba atakująca może próbować kontrolować lub zakłócać operacje fizyczne.

Zaawansowane wyszukiwanie zagrożeń

Użyj właściwości Site wymienionej w tabeli DeviceInfo , aby napisać zapytania dotyczące zaawansowanego wyszukiwania zagrożeń. Umożliwia to filtrowanie urządzeń według określonej witryny, na przykład wszystkich urządzeń, które komunikowały się ze złośliwymi urządzeniami w określonej lokacji.

Poniższe zapytanie zawiera listę wszystkich urządzeń punktu końcowego z określonym adresem IP w witrynie San Francisco.

DeviceInfo
|where Site == "SanFrancisco" and PublicIP == "192.168.1.1" and DeviceCategory == "Endpoint"

Jest to istotne zarówno w przypadku spisu urządzeń, jak i zabezpieczeń lokacji. Aby uzyskać więcej informacji, zobacz Advanced hunting and the Advanced hunting DeviceInfo schema (Zaawansowane wyszukiwanie zagrożeń w usłudze DeviceInfo).