Visa och hantera aviseringar på ot-sensorn

  • Artikel

Microsoft Defender för IoT-aviseringar förbättrar nätverkets säkerhet och åtgärder med realtidsinformation om händelser som loggas i nätverket. OT-aviseringar utlöses när OT-nätverkssensorer identifierar ändringar eller misstänkt aktivitet i nätverkstrafik som behöver din uppmärksamhet.

Den här artikeln beskriver hur du visar Defender for IoT-aviseringar direkt på en OT-nätverkssensor. Du kan också visa OT-aviseringar på Azure-portalen eller en lokal hanteringskonsol.

Mer information finns i Microsoft Defender för IoT-aviseringar.

Förutsättningar

  • Om du vill ha aviseringar på din OT-sensor måste du ha en SPAN-port konfigurerad för sensorn och Defender för IoT-övervakningsprogramvara installerad. Mer information finns i Installera ot-agentlös övervakningsprogramvara.

  • Om du vill visa aviseringar på OT-sensorn loggar du in på sensorn som administratör, säkerhetsanalytiker eller visningsprogramanvändare .

  • Om du vill hantera aviseringar på en OT-sensor loggar du in på sensorn som administratör eller säkerhetsanalytiker. Aviseringshanteringsaktiviteter omfattar att ändra status eller allvarlighetsgrad, lära sig eller stänga av en avisering , komma åt PCAP-data eller lägga till fördefinierade kommentarer i en avisering.

Mer information finns i Lokala användare och roller för OT-övervakning med Defender för IoT.

Visa aviseringar på en OT-sensor

  1. Logga in på ot-sensorkonsolen och välj sidan Aviseringar till vänster.

    Som standard visas följande information i rutnätet:

    Name beskrivning
    Allvarlighetsgrad En fördefinierad allvarlighetsgrad för avisering som tilldelats av sensorn som du kan ändra efter behov, inklusive: Kritisk, Större, Mindre, Varning.
    Namn Aviseringsrubriken
    Motor Defender for IoT-identifieringsmotorn som identifierade aktiviteten och utlöste aviseringen.
    Senaste identifiering Senaste gången aviseringen identifierades.

    – Om en aviserings status är Ny och samma trafik visas igen uppdateras den senaste identifieringstiden för samma avisering.
    – Om aviseringens status är Stängd och trafiken visas igen uppdateras inte den senaste identifieringstidenoch en ny avisering utlöses.
    Status Aviseringsstatus: Ny, Aktiv, Stängd

    Mer information finns i Aviseringsstatusar och alternativ för sortering.
    Källenhet Källenhetens IP-adress, MAC eller enhetsnamn.

    1. Om du vill visa mer information väljer du knappen Redigera kolumner.

      I fönstret Redigera kolumner till höger väljer du Lägg till kolumn och någon av följande extra kolumner:

      Name beskrivning
      Målenhet Målenhetens IP-adress.
      Första identifieringen Första gången aviseringsaktiviteten identifierades.
      ID Aviserings-ID:t.
      Senaste aktivitet Senaste gången aviseringen ändrades, inklusive manuella uppdateringar för allvarlighetsgrad eller status, eller automatiska ändringar för enhetsuppdateringar eller deduplicering av enhet/avisering

Filteraviseringar som visas

Använd alternativen Sökruta, Tidsintervall och Lägg till filter för att filtrera aviseringarna som visas med specifika parametrar eller för att hitta en specifik avisering.

Till exempel:

Screenshot of an OT sensor Alerts page being filtered by Groups.

När du filtrerar aviseringar efter grupper används anpassade grupper som du kan ha skapat i enhetsinventeringen eller på mappningssidorna för enheten.

Gruppaviseringar som visas

Använd menyn Gruppera efter längst upp till höger för att dölja rutnätet i underavsnitt baserat på allvarlighetsgrad, namn, motor eller status.

Även om det totala antalet aviseringar visas ovanför rutnätet kanske du vill ha mer specifik information om uppdelning av aviseringsantal, till exempel antalet aviseringar med en specifik allvarlighetsgrad eller status.

Visa information och åtgärda en specifik avisering

  1. Logga in på OT-sensorn och välj Aviseringar på den vänstra menyn.

  2. Välj en avisering i rutnätet för att visa mer information i fönstret till höger. Fönstret med aviseringsinformation innehåller aviseringsbeskrivningen, trafikkällan och målet med mera. Välj Visa fullständig information för att öka detaljnivån ytterligare. Till exempel:

    Screenshot of an alert selected from the Alerts page on an OT sensor.

  3. Sidan med aviseringsinformation innehåller mer information om aviseringen och en uppsättning reparationssteg på fliken Vidta åtgärd .

    Använd följande flikar för att få mer sammanhangsberoende insikt:

    • Kartvy. Visa käll- och målenheterna i en kartvy med andra enheter som är anslutna till sensorn. Till exempel:

      Screenshot of the Map View tab on an alert details page.

    • Händelsetidslinje. Visa händelsen tillsammans med annan nyligen genomförd aktivitet på de relaterade enheterna. Filtrera alternativ för att anpassa de data som visas. Till exempel:

      Screenshot of an event timeline on an alert details page.

Hantera aviseringsstatus och sorteringsaviseringar

Se till att uppdatera aviseringsstatusen när du har vidtagit åtgärdssteg så att förloppet registreras. Du kan uppdatera statusen för en enskild avisering eller för ett urval av aviseringar i grupp.

Lär dig en avisering för att ange för Defender for IoT att den identifierade nätverkstrafiken är auktoriserad. Inlärda aviseringar utlöses inte igen nästa gång samma trafik identifieras i nätverket. Stäng av en avisering när inlärningen inte är tillgänglig och du vill ignorera ett specifikt scenario i nätverket.

Mer information finns i Aviseringsstatusar och alternativ för sortering.

  • Så här hanterar du aviseringsstatus:

    1. Logga in på ot-sensorkonsolen och välj sidan Aviseringar till vänster.

    2. Välj en eller flera aviseringar i rutnätet vars status du vill uppdatera.

    3. Använd knappen Ändra status i verktygsfältet eller alternativet Status i informationsfönstret till höger för att uppdatera aviseringsstatusen.

      Alternativet Status är också tillgängligt på sidan med aviseringsinformation.

  • Så här lär du dig en eller flera aviseringar:

    Logga in på ot-sensorkonsolen och välj sidan Aviseringar till vänster och gör sedan något av följande:

    • Välj en eller flera läsbara aviseringar i rutnätet och välj sedan Lär dig i verktygsfältet.
    • På en aviseringsinformationssida går du till fliken Vidta åtgärd och väljer Läs.

  • Så här stänger du av en avisering:

    1. Logga in på ot-sensorkonsolen och välj sidan Aviseringar till vänster.
    2. Leta upp den avisering som du vill stänga av och öppna sidan med aviseringsinformation.
    3. På fliken Vidta åtgärd aktiverar du alternativet Aviseringsavstängning.

  • Om du vill avläsa eller slå på ljudet av en avisering:

    1. Logga in på ot-sensorkonsolen och välj sidan Aviseringar till vänster.
    2. Leta upp den avisering som du har lärt dig eller inaktiverat och öppna sidan med aviseringsinformation.
    3. På fliken Vidta åtgärd inaktiverar du alternativet Aviseringslära ellerAviseringsavstängning .

    När du avläser eller avaktiverar en avisering utlöses aviseringar igen när sensorn känner av den valda trafikkombinationen.

Åtkomst till PCAP-aviseringsdata

Du kanske vill komma åt råa trafikfiler, även kallade paketinsamlingsfiler eller PCAP-filer som en del av din undersökning.

Om du vill komma åt råa trafikfiler för din avisering väljer du Ladda ned PCAP i det övre vänstra hörnet på sidan med aviseringsinformation:

Till exempel:

Screenshot of the Download PCAP options on the OT sensor.

PCAP-filen laddas ned och webbläsaren uppmanar dig att öppna eller spara den lokalt.

Exportera aviseringar till CSV eller PDF

Du kanske vill exportera ett urval av aviseringar till en CSV- eller PDF-fil för offlinedelning och rapportering.

  • Exportera aviseringar till en CSV-fil från huvudsidan för aviseringar . Exportera aviseringar en i taget eller i bulk.
  • Exportera aviseringar till en PDF-fil en i taget, antingen från huvudsidan Aviseringar eller en aviseringsinformationssida .

Så här exporterar du aviseringar till en CSV-fil:

  1. Logga in på ot-sensorkonsolen och välj sidan Aviseringar till vänster.

  2. Använd sökrutan och filteralternativen om du bara vill visa de aviseringar som du vill exportera.

  3. I verktygsfältet ovanför rutnätet väljer du Exportera till CSV.

Filen genereras och du uppmanas att öppna eller spara den lokalt.

Så här exporterar du en avisering till en PDF-fil:

Logga in på ot-sensorkonsolen och välj sidan Aviseringar till vänster och gör sedan något av följande:

  • På sidan Aviseringar väljer du en avisering och väljer sedan Exportera till PDF i verktygsfältet ovanför rutnätet.
  • På sidan med information om aviseringar väljer du Exportera till PDF.

Filen genereras och du uppmanas att spara den lokalt.

Lägga till aviseringskommentar

Med aviseringskommentare kan du påskynda undersöknings- och reparationsprocessen genom att göra kommunikationen mellan gruppmedlemmar och registreringen av data effektivare.

Om administratören har skapat anpassade kommentarer för ditt team att lägga till i aviseringar lägger du till dem från avsnittet Kommentarer på en aviseringsinformationssida.

  1. Logga in på ot-sensorkonsolen och välj sidan Aviseringar till vänster.

  2. Leta upp aviseringen där du vill lägga till en kommentar och öppna sidan med aviseringsinformation.

  3. I listan Välj kommentar väljer du den kommentar som du vill lägga till och väljer sedan Lägg till. Till exempel:

    Screenshot of the Comments section on an alert details page on the sensor.

Mer information finns i Accelerera arbetsflöden för OT-aviseringar.

Nästa steg

Datakvarhållning i Microsoft Defender för IoT