Поделиться через


Создание изученной базовой базы оповещений OT

Эта статья является одной из серии статей, описывающих путь развертывания для мониторинга OT с помощью Microsoft Defender для Интернета вещей, а также описывает, как создать базовый уровень изученного трафика на датчике OT.

Схема индикатора выполнения с выделенным мониторингом OT с точной настройкой.

Общие сведения о режиме обучения

Сетевой датчик OT начинает автоматически отслеживать сеть после подключения к сети и входа в систему. Сетевые устройства начинают отображаться в инвентаризации устройств, и оповещения активируются для любых инцидентов безопасности или эксплуатации, происходящих в вашей сети.

Изначально это действие выполняется в режиме обучения , который предписывает датчику OT изучить обычную активность вашей сети, включая устройства и протоколы в сети, а также регулярную передачу файлов между конкретными устройствами. Любое регулярно обнаруженное действие становится базовым трафиком вашей сети.

Совет

Используйте свое время в режиме обучения для рассмотрения оповещений и изучения тех, которые вы хотите пометить как авторизованные и ожидаемые действия. Обученный трафик не создает новые оповещения при следующем обнаружении того же трафика.

После отключения режима обучения все действия, отличные от базовых данных, будут вызывать оповещение.

Дополнительные сведения см. в разделе Microsoft Defender для оповещений Интернета вещей.

Режим обучения временная шкала

Создание базовых показателей оповещений OT может занять от нескольких дней до нескольких недель в зависимости от размера и сложности сети. Режим обучения автоматически отключается, когда датчик обнаруживает снижение вновь обнаруженного трафика, которое обычно происходит через 2–6 недель после развертывания.

Выключите режим обучения вручную, если вы считаете, что текущие оповещения точно отражают вашу сетевую активность.

Предварительные требования

Процедуры, описанные в этой статье, можно выполнить из портал Azure, датчика OT или локального консоль управления.

Прежде чем приступить к работе, должны быть выполнены следующие условия:

Рассмотрение оповещений

Рассмотрите оповещения в конце развертывания, чтобы создать начальный базовый план для сетевой активности.

  1. Войдите в датчик OT и выберите страницу Оповещения .

  2. Используйте параметры сортировки и группировки, чтобы сначала просмотреть наиболее важные оповещения. Просмотрите каждое оповещение, чтобы обновить состояния и узнать оповещения об авторизованном трафике OT.

Дополнительные сведения см. в статье Просмотр оповещений и управление ими на датчике OT.

Дальнейшие действия

После отключения режима обучения вы перешли из режима обучения в режим работы . Перейдите к любому из следующих действий:

Интегрируйте данные Defender для Интернета вещей с Microsoft Sentinel, чтобы объединить мониторинг безопасности вашей команды SOC. Дополнительные сведения см. в разделе: