Оповещения Microsoft Defender для Интернета вещей
Оповещения Microsoft Defender для Интернета вещей повышают безопасность сети и операции с подробными сведениями о событиях, зарегистрированных в сети в режиме реального времени. Оповещения активируются, когда сетевые датчики OT обнаруживают изменения или подозрительные действия в сетевом трафике, который нуждается в вашем внимания.
Например:
Используйте сведения, отображаемые на странице оповещений или на странице сведений об оповещении, для изучения и принятия мер, которые устраняют любой риск для вашей сети, от связанных устройств или сетевого процесса, активировающего оповещение.
Совет
Используйте действия по исправлению оповещений, чтобы помочь командам SOC понять возможные проблемы и решения. Рекомендуется ознакомиться с рекомендациями по исправлению перед обновлением состояния оповещения или принятием действий на устройстве или сети.
Параметры управления оповещениями
Оповещения Defender для Интернета вещей доступны в портал Azure, консоли сетевых датчиков OT и локальных консоль управления. Благодаря безопасности Enterprise IoT оповещения также доступны для устройств Enterprise IoT, обнаруженных Defender для конечной точки, в Microsoft 365 Defender.
Хотя вы можете просматривать сведения об оповещении, исследовать контекст генерации оповещений, а также просматривать состояния оповещений и управлять ими из любого из этих расположений, каждое расположение также предлагает дополнительные действия с оповещениями. В следующей таблице описываются оповещения, поддерживаемые для каждого расположения, и дополнительные действия, доступные только из этого расположения:
| Расположение | Description | Дополнительные действия оповещений |
|---|---|---|
| Портал Azure | Оповещения от всех подключенных к облаку датчиков OT | — Просмотр связанных тактик и методов MITRE ATT&CK — Использование книг вне коробки для видимости оповещений с высоким приоритетом — Просмотр оповещений из Microsoft Sentinel и выполнение более глубоких исследований с помощью сборников схем и книг Microsoft Sentinel. |
| Консоли сетевых датчиков OT | Оповещения, созданные этим датчиком OT | — Просмотр источника и назначения оповещения на карте устройства — Просмотр связанных событий в временная шкала события — переадресация оповещений непосредственно поставщикам партнеров — Создание комментариев оповещений — создание настраиваемых правил генерации оповещений — отмена оповещений |
| Локальная консоль управления | Оповещения, созданные подключенными датчиками OT | — переадресация оповещений непосредственно поставщикам партнеров — создание правил исключения оповещений |
| Microsoft 365 Defender | Оповещения, созданные для устройств Enterprise IoT, обнаруженных Microsoft Defender для конечной точки | — управление данными оповещений вместе с другими данными Microsoft 365 Defender, включая расширенную охоту |
Совет
Все оповещения, созданные из разных датчиков в той же зоне в пределах 10-минутного интервала времени, с одинаковым типом, состоянием, протоколом оповещений и связанными устройствами, перечислены в виде единого единого оповещения.
- 10-минутный интервал времени основан на первом обнаружении оповещения.
- Единственное единое оповещение содержит список всех датчиков, обнаруженных оповещением.
- Оповещения объединяются на основе протокола генерации оповещений , а не протокола устройства.
Дополнительные сведения см. в разделе:
- Хранение данных оповещений
- Ускорение рабочих процессов оповещений OT
- Состояния оповещений и параметры сортировки
- Планирование сайтов и зон OT
Параметры оповещений также отличаются в зависимости от расположения и роли пользователя. Дополнительные сведения см. в статье о ролях пользователей и разрешениях Azure, а также локальных пользователей и ролей.
Специализированные оповещения в средах OT/IT
Организации, где датчики развертываются между OT и ИТ-сетями, имеют множество оповещений, связанных как с OT, так и с ИТ-трафиком. Количество оповещений, некоторые из которых являются неуместными, могут привести к усталости оповещений и повлиять на общую производительность. Чтобы устранить эти проблемы, политика обнаружения Defender для Интернета вещей управляет различными обработчиками оповещений, чтобы сосредоточиться на оповещениях с бизнес-воздействием и релевантностью для сети OT, а также сократить низкоценные ИТ-связанные оповещения. Например, оповещение о несанкционированном подключении к Интернету очень актуально в сети OT, но имеет относительно низкое значение в ИТ-сети.
Чтобы сосредоточить оповещения, активированные в этих средах, все подсистемы оповещений, кроме обработчика вредоносных программ , активируют оповещения только в том случае, если они обнаруживают связанную подсеть OT или протокол. Однако для поддержания триггеров оповещений, указывающих на критические сценарии:
- Подсистема вредоносных программ запускает оповещения вредоносных программ независимо от того, связаны ли оповещения с OT или ИТ-устройствами.
- Другие механизмы включают исключения для критических сценариев. Например, операционный механизм активирует оповещения, связанные с трафиком датчика, независимо от того, связано ли оповещение с OT или ИТ-трафиком.
Управление оповещениями OT в гибридной среде
Пользователи, работающие в гибридных средах, могут управлять оповещениями OT в Defender для Интернета вещей на портал Azure, датчике OT и локальном консоль управления.
Примечание.
Хотя консоль датчика отображает поле последнего обнаружения оповещения в режиме реального времени, Defender для Интернета вещей в портал Azure может занять до одного часа, чтобы отобразить обновленное время. Это объясняет сценарий, в котором время последнего обнаружения в консоли датчика не совпадает с временем последнего обнаружения в портал Azure.
Состояния оповещений в противном случае полностью синхронизированы между портал Azure и датчиком OT, а также между датчиком и локальным консоль управления. Это означает, что независимо от того, где вы управляете оповещением в Defender для Интернета вещей, оповещение также обновляется в других расположениях.
Установка состояния оповещения для закрытого или отключенного на датчике или локальном консоль управления обновляет состояние оповещения на закрытое портал Azure. В локальной консоль управления состояние закрытого оповещения называется "Подтверждено".
Совет
Если вы работаете с Microsoft Sentinel, рекомендуется настроить интеграцию для синхронизации состояния оповещения с Microsoft Sentinel, а затем управлять состояниями оповещений вместе с соответствующими инцидентами Microsoft Sentinel.
Дополнительные сведения см. в руководстве по изучению и обнаружению угроз для устройств Интернета вещей.
Оповещения и Microsoft Defender для конечной точки Enterprise IoT
Если вы используете безопасность Enterprise IoT в Microsoft 365 Defender, оповещения для устройств Enterprise IoT, обнаруженных Microsoft Defender для конечной точки, доступны только в Microsoft 365 Defender. Многие сетевые обнаружения из Microsoft Defender для конечной точки относятся к устройствам Enterprise IoT, таким как оповещения, инициируемые сканированием с участием управляемых конечных точек.
Дополнительные сведения см. в разделе "Защита устройств Интернета вещей в организации " и очереди оповещений в Microsoft 365 Defender.
Ускорение рабочих процессов оповещений OT
Новые оповещения автоматически закрываются, если после первоначального обнаружения идентичный трафик не обнаруживается 90 дней. Если идентичный трафик обнаруживается в течение первых 90 дней, счетчик 90 дней сбрасывается.
В дополнение к поведению по умолчанию может потребоваться помочь командам управления SOC и OT и быстрее устранять оповещения. Войдите в датчик OT или локальный консоль управления в качестве пользователя Администратор, чтобы использовать следующие параметры:
Создание настраиваемых правил генерации оповещений. Только датчики ОТ.
Добавьте настраиваемые правила генерации оповещений для определенных действий в сети, которые не охватываются встроенными функциями.
Например, для среды под управлением MODBUS можно добавить правило для обнаружения любых записанных команд в регистр памяти для определенного IP-адреса и назначения Ethernet.
Дополнительные сведения см. в разделе "Создание настраиваемых правил генерации оповещений" на датчике OT.
Создание комментариев оповещений. Только датчики ОТ.
Создайте набор комментариев оповещений, которые другие пользователи датчика OT могут добавлять в отдельные оповещения, используя такие сведения, как пользовательские действия по устранению рисков, обмен данными с другими участниками команды или другие аналитические сведения или предупреждения о событии.
Участники команды могут повторно использовать эти пользовательские комментарии по мере их обработки и управления состояниями оповещений. Примечания оповещений отображаются в области комментариев на странице сведений об оповещении. Например:
Дополнительные сведения см. в разделе "Создание комментариев оповещений" для датчика OT.
Создайте правила исключения оповещений: только локальные консоль управления.
Если вы работаете с локальным консоль управления, определите правила исключения оповещений, чтобы игнорировать события в нескольких датчиках, отвечающих определенным критериям. Например, можно создать правило исключения оповещений, чтобы игнорировать все события, которые активируют неуместные оповещения во время определенного периода обслуживания.
Оповещения, игнорируемые правилами исключения, не отображаются на портал Azure, датчике или локальном консоль управления или в журналах событий.
Дополнительные сведения см. в разделе "Создание правил исключения оповещений" в локальной консоль управления.
Переадресация данных оповещений в партнерские системы SIEMs, серверы системного журнала, указанные адреса электронной почты и многое другое.
Поддерживается как датчиками OT, так и локальными консоль управления. Дополнительные сведения см. в разделе Переадресация сведений об оповещении.
Состояния оповещений и параметры сортировки
Используйте следующие состояния оповещений и тривы для управления оповещениями в Defender для Интернета вещей.
При проверке оповещения следует учитывать, что некоторые оповещения могут отражать допустимые изменения сети, такие как авторизованное устройство, пытающееся получить доступ к новому ресурсу на другом устройстве.
Хотя для оповещений OT и локальных консоль управления доступны только параметры, доступные в портал Azure, доступны как для оповещений OT, так и для корпоративных оповещений Интернета вещей.
Используйте следующую таблицу, чтобы узнать больше о каждом состоянии оповещения и параметре сортировки.
| Действие status /triage | Дата доступности | Description |
|---|---|---|
| Новый | - портал Azure — сетевые датчики OT — локальные консоль управления |
Новые оповещения — это оповещения, которые еще не были расследованы или расследованы командой. Новый трафик, обнаруженный для одних и того же устройства, не создает новое оповещение, но добавляется в существующее оповещение. В локальной консоль управления новые оповещения называются unacknowledged. Примечание. Возможно, вы увидите несколько оповещений, новых или ненакованных оповещений с одинаковым именем. В таких случаях каждое отдельное оповещение активируется отдельным трафиком на разных наборах устройств. |
| Активные | — только портал Azure | Задайте для оповещения "Активный ", чтобы указать, что ведется расследование, но оповещение пока не может быть закрыто или иным образом. Это состояние не действует в другом месте в Defender для Интернета вещей. |
| Закрытые | - портал Azure — сетевые датчики OT — локальные консоль управления |
Закройте оповещение, чтобы указать, что он полностью расследуется, и вы хотите снова быть оповещенным при следующем обнаружении того же трафика. Закрытие оповещения добавляет его в событие датчика временная шкала. В локальной консоль управления новые оповещения называются "Подтверждены". |
| Learn | - портал Azure — сетевые датчики OT — локальные консоль управления Отмена оповещения доступна только на датчике OT. |
Узнайте оповещение, когда вы хотите закрыть его и добавить его в качестве разрешенного трафика, чтобы вы не были оповещены еще раз при следующем обнаружении того же трафика. Например, когда датчик обнаруживает изменения версий встроенного ПО после стандартных процедур обслуживания или при добавлении нового устройства в сеть. Обучение оповещение закрывает оповещение и добавляет элемент в событие датчика временная шкала. Обнаруженный трафик включается в отчеты интеллектуального анализа данных, но не при вычислении других отчетов датчика OT. Обучение оповещения доступны только для выбранных оповещений, в основном тех, которые активируются Оповещения о политике и обработчике аномалий. |
| Отключить | — сетевые датчики OT — локальные консоль управления Отмена оповещения доступна только на датчике OT. |
Отключите оповещение, если вы хотите закрыть его и не увидеть снова для одного и того же трафика, но без добавления разрешенного трафика. Например, когда операционный модуль активирует оповещение, указывающее, что режим PLC был изменен на устройстве. Новый режим может указывать на то, что PLC не является безопасным, но после исследования определено, что новый режим является приемлемым. Отключение оповещения закрывает его, но не добавляет элемент в событие датчика временная шкала. Обнаруженный трафик включается в отчеты интеллектуального анализа данных, но не при вычислении данных для других отчетов датчика. Отключение оповещения доступно только для выбранных оповещений, в основном тех, которые активируются аномалией, нарушением протокола или операционными подсистемами. |
Совет
Если вы знаете заранее, какие события не имеют значения для вас, например во время периода обслуживания, или если вы не хотите отслеживать событие в событии временная шкала, создайте правило исключения оповещений в локальной консоль управления.
Дополнительные сведения см. в разделе "Создание правил исключения оповещений" в локальной консоль управления.
Триадж оповещений OT в режиме обучения
Обучение режим относится к начальному периоду после развертывания датчика OT, когда датчик OT узнает о базовом действии сети, включая устройства и протоколы в сети, а также регулярные передачи файлов между определенными устройствами.
Используйте режим обучения, чтобы выполнить начальную проверку оповещений в сети, обучая те, которые вы хотите пометить как авторизованные, ожидаемые действия. Обученный трафик не создает новые оповещения при следующем обнаружении того же трафика.
Дополнительные сведения см. в статье "Создание базовых показателей оповещений OT".
Следующие шаги
Просмотрите типы оповещений и сообщения, которые помогут вам понять и спланировать действия по исправлению и интеграции сборников схем. Дополнительные сведения см. в разделе "Типы оповещений и описания оповещений о мониторинге OT".