Просмотр оповещений на датчике OT и управление ими

  • Статья

Оповещения Microsoft Defender для Интернета вещей повышают безопасность сети и операции с подробными сведениями о событиях, зарегистрированных в сети в режиме реального времени. Оповещения OT активируются, когда сетевые датчики OT обнаруживают изменения или подозрительные действия в сетевом трафике, который требует вашего внимания.

В этой статье описывается, как просматривать оповещения Defender для Интернета вещей непосредственно на сетевом датчике OT. Вы также можете просматривать оповещения OT на портал Azure или локальном консоль управления.

Дополнительные сведения см. в оповещениях Microsoft Defender для Интернета вещей.

Необходимые компоненты

  • Чтобы получать оповещения на датчике OT, необходимо установить порт SPAN для датчика и программного обеспечения мониторинга Defender для Интернета вещей. Дополнительные сведения см. в разделе "Установка программного обеспечения мониторинга без агента OT".

  • Чтобы просмотреть оповещения на датчике OT, войдите в датчик как Администратор, аналитик безопасности или пользователь средства просмотра.

  • Чтобы управлять оповещениями на датчике OT, войдите в датчик в качестве пользователя Администратор или аналитика безопасности. Действия по управлению оповещениями включают изменение их состояния или серьезности, обучение или отключение оповещения, доступ к данным PCAP или добавление предварительно определенных комментариев в оповещение.

Дополнительные сведения см. в разделе локальных пользователей и ролей для мониторинга OT с помощью Defender для Интернета вещей.

Просмотр оповещений на датчике OT

  1. Войдите в консоль датчика OT и выберите страницу "Оповещения" слева.

    По умолчанию в сетке отображаются следующие сведения:

    Имя Описание
    Уровень серьезности Предопределенный уровень серьезности оповещений, назначенный датчиком, который можно изменить по мере необходимости, включая критическое, основное, дополнительное, предупреждение.
    Имя Заголовок оповещения
    Двигателя Модуль обнаружения Defender для Интернета вещей, который обнаружил действие и активировал оповещение.
    Последнее обнаружение Время последнего обнаружения оповещения.

    — Если для оповещения указано состояние Новое и снова отображается тот же трафик, то время в столбце Последнее обнаружение обновляется для того же оповещения.
    — Если для оповещения указано состояние Закрыто и трафик снова отображается, то время в столбце Последнее обнаружениене обновляется и активируется новое оповещение.
    Состояние Состояние оповещения: Новое, Активно, Закрыто

    Дополнительные сведения см. в разделе "Состояния оповещений" и параметров сортировки.
    Исходное устройство Ip-адрес исходного устройства, MAC или имя устройства.

    1. Чтобы просмотреть дополнительные сведения, нажмите кнопку "Изменить столбцы".

      В области "Изменить столбцы" справа выберите "Добавить столбец" и любой из следующих дополнительных столбцов:

      Имя Описание
      Конечное устройство IP-адрес конечного устройства.
      Первое обнаружение При первом обнаружении действия оповещения.
      Артикул Идентификатор оповещения.
      Последнее действие Последний раз, когда оповещение было изменено, включая обновления вручную для серьезности или состояния, или автоматические изменения для обновлений устройств или оповещений об отмене дублирования

Отображение оповещений фильтра

Используйте поле Поиск, а также Диапазон времени и Добавление фильтра для фильтрации оповещений, отображаемых по определенным параметрам или поиска определенного оповещения.

Например:

Screenshot of an OT sensor Alerts page being filtered by Groups.

Фильтрация оповещений по группам использует любые настраиваемые группы, которые могут быть созданы на страницах инвентаризации устройств или карты устройств.

Отображение оповещений группы

Используйте группу по меню в правом верхнем углу, чтобы свернуть сетку в подразделы на основе серьезности, имени, ядра или состояния.

Например, в то время как общее количество оповещений отображается над сеткой, может потребоваться более конкретная информация о разбивке количества оповещений, например количество оповещений с определенной серьезностью или состоянием.

Просмотр сведений и исправление определенного оповещения

  1. Войдите в датчик OT и выберите оповещения в меню слева.

  2. Выберите оповещение в сетке, чтобы отобразить дополнительные сведения в области справа. Область сведений об оповещении включает описание оповещения, источник трафика и назначение и многое другое. Выберите "Просмотреть полные сведения" , чтобы продолжить детализацию. Например:

    Screenshot of an alert selected from the Alerts page on an OT sensor.

  3. На странице сведений об оповещении содержатся дополнительные сведения об оповещении и набор действий по исправлению на вкладке "Действие ".

    Используйте следующие вкладки, чтобы получить более контекстную информацию:

    • Представление карты. Просмотрите исходные и конечные устройства в представлении карты с другими устройствами, подключенными к датчику. Например:

      Screenshot of the Map View tab on an alert details page.

    • Временная шкала событий. Просмотрите событие вместе с другими недавними действиями на связанных устройствах. Параметры фильтра для настройки отображаемых данных. Например:

      Screenshot of an event timeline on an alert details page.

Управление состоянием оповещений и оповещений

Обязательно обновите состояние оповещения после выполнения действий по исправлению, чтобы запись хода выполнения была записана. Состояние можно обновить для одного оповещения или для массового выбора оповещений.

Ознакомьтесь с оповещением, указывающим Defender для Интернета вещей, что обнаруженный сетевой трафик авторизован. Полученные оповещения не будут активированы снова при следующем обнаружении того же трафика в сети. Отключить оповещение, если обучение недоступно, и вы хотите игнорировать определенный сценарий в сети.

Дополнительные сведения см. в разделе "Состояния оповещений" и параметров сортировки.

  • Чтобы управлять состоянием оповещения, выполните следующие действия.

    1. Войдите в консоль датчика OT и выберите страницу "Оповещения" слева.

    2. Выберите одно или несколько оповещений в сетке, состояние которого требуется обновить.

    3. Нажмите кнопку "Изменить состояние" панели инструментов или параметр "Состояние" в области сведений справа, чтобы обновить состояние оповещения.

      Параметр "Состояние " также доступен на странице сведений о оповещении.

  • Чтобы узнать одно или несколько оповещений:

    Войдите в консоль датчика OT и выберите страницу "Оповещения " слева, а затем выполните одно из следующих действий:

    • Выберите одно или несколько обучаемых оповещений в сетке, а затем выберите " Learn " на панели инструментов.
    • На странице сведений об оповещении на вкладке Принять меры выберите Learn.

  • Чтобы отключить информирование об оповещении, сделайте следующие.

    1. Войдите в консоль датчика OT и выберите страницу "Оповещения" слева.
    2. Найдите оповещение, которое нужно отключить и открыть страницу сведений о оповещении.
    3. На вкладке "Действие", переключите переключатель в параметре "Отключить оповещение".

  • Чтобы отменить или отменить оповещение, выполните приведенные действия.

    1. Войдите в консоль датчика OT и выберите страницу "Оповещения" слева.
    2. Найдите оповещение, которое вы узнали или отключили, и откройте страницу сведений об оповещении.
    3. На вкладке "Действие", переключите параметр "Оповещение" или "Отключить оповещение".

    После отмены или отмены оповещения оповещения активируются повторно, когда датчик чувствует выбранное сочетание трафика.

Доступ к данным PCAP оповещений

Вы можете получить доступ к необработанным файлам трафика, также называемым файлами записи пакетов или PCAP-файлами в рамках исследования.

Чтобы получить доступ к необработанным файлам трафика для оповещения, выберите "Скачать PCAP " в левом верхнем углу страницы сведений о оповещении:

Например:

Screenshot of the Download PCAP options on the OT sensor.

PCAP-файл скачан, и браузер предложит вам открыть или сохранить его локально.

Экспорт оповещений в CSV или PDF

Вы можете экспортировать выбор оповещений в CSV-файл или PDF-файл для автономного общего доступа и отчетов.

  • Экспорт оповещений в CSV-файл с главной страницы оповещений . Экспорт оповещений по одному или в массовом режиме.
  • Экспорт оповещений в PDF-файл один раз только на главной странице оповещений или на странице сведений об оповещении .

Экспорт оповещений в CSV-файл:

  1. Войдите в консоль датчика OT и выберите страницу "Оповещения" слева.

  2. Используйте поле поиска и параметры фильтра для отображения только оповещений, которые требуется экспортировать.

  3. На панели инструментов над сеткой выберите "Экспорт в CSV".

Файл создается, и вам будет предложено открыть или сохранить его локально.

Экспорт оповещения в PDF-файл:

Войдите в консоль датчика OT и выберите страницу "Оповещения " слева, а затем выполните одно из следующих действий:

  • На странице "Оповещения" выберите оповещение и выберите "Экспорт в PDF" на панели инструментов над сеткой.
  • На странице сведений о оповещениях выберите "Экспорт в PDF".

Файл создается, и вам будет предложено сохранить его локально.

Добавление комментариев оповещений

Примечания оповещений помогают ускорить процесс исследования и исправления, делая взаимодействие между участниками команды и записью данных более эффективным.

Если администратор создал пользовательские комментарии для вашей команды для добавления оповещений, добавьте их из раздела "Комментарии " на странице сведений об оповещении.

  1. Войдите в консоль датчика OT и выберите страницу "Оповещения" слева.

  2. Найдите оповещение, в котором нужно добавить комментарий и откройте страницу сведений об оповещении.

  3. В списке "Выбор комментариев " выберите комментарий, который вы хотите добавить, и нажмите кнопку "Добавить". Например:

    Screenshot of the Comments section on an alert details page on the sensor.

Дополнительные сведения см. в разделе "Ускорение рабочих процессов оповещений OT".

Следующие шаги

Хранение данных в Microsoft Defender для Интернета вещей