Skapa en inlärd baslinje för OT-aviseringar

Den här artikeln är en i en serie artiklar som beskriver distributionssökvägen för OT-övervakning med Microsoft Defender för IoT och beskriver hur du skapar en baslinje för inlärd trafik på din OT-sensor.

Förstå inlärningsläge

En OT-nätverkssensor börjar övervaka nätverket automatiskt när det är anslutet till nätverket och du har loggat in. Nätverksenheter börjar visas i enhetsinventeringen och aviseringar utlöses för eventuella säkerhets- eller driftincidenter som inträffar i nätverket.

Till en början sker den här aktiviteten i inlärningsläge , vilket instruerar ot-sensorn att lära sig nätverkets vanliga aktivitet, inklusive enheterna och protokollen i nätverket, och de regelbundna filöverföringar som sker mellan specifika enheter. Alla regelbundet identifierade aktiviteter blir nätverkets baslinjetrafik.

Tips

Använd din tid i inlärningsläge för att sortera aviseringarna och Lär dig de som du vill markera som auktoriserad, förväntad aktivitet. Inlärd trafik genererar inte nya aviseringar nästa gång samma trafik identifieras.

När inlärningsläget är inaktiverat utlöser alla aktiviteter som skiljer sig från dina baslinjedata en avisering.

Mer information finns i Microsoft Defender för IoT-aviseringar.

Tidslinje för Learn-läge

Det kan ta allt från några dagar till flera veckor att skapa din baslinje för OT-aviseringar, beroende på nätverkets storlek och komplexitet. Inlärningsläget stängs automatiskt av när sensorn identifierar en minskning av nyupptäckt trafik, vilket vanligtvis är mellan 2–6 veckor efter distributionen.

Inaktivera inlärningsläget manuellt innan dess om du anser att de aktuella aviseringarna återspeglar nätverksaktiviteten korrekt.

Förutsättningar

Du kan utföra procedurerna i den här artikeln från Azure Portal, en OT-sensor eller en lokal hanteringskonsol.

Innan du börjar kontrollerar du att du har:

• En OT-sensor installerad, konfigurerad och aktiverad, med aviseringar som utlöses av identifierad trafik.

• Åtkomst till ot-sensorn som säkerhetsanalytiker eller Admin användare. Mer information finns i Lokala användare och roller för OT-övervakning med Defender för IoT.

Sorteringsaviseringar

Sortera aviseringar mot slutet av distributionen för att skapa en första baslinje för nätverksaktiviteten.

1. Logga in på ot-sensorn och välj sidan Aviseringar .

2. Använd sorterings- och grupperingsalternativ för att visa dina mest kritiska aviseringar först. Granska varje avisering för att uppdatera statusar och lär dig aviseringar för OT-auktoriserad trafik.

Mer information finns i Visa och hantera aviseringar på din OT-sensor.

Nästa steg

« Verifiera och uppdatera din identifierade enhetsinventering

När inlärningsläget är inaktiverat har du gått från inlärningsläge till driftläge . Fortsätt med något av följande:

• Visualisera Microsoft Defender för IoT-data med Azure Monitor-arbetsböcker
• Visa och hantera aviseringar från Azure Portal
• Hantera enhetsinventeringen från Azure Portal

Integrera Defender for IoT-data med Microsoft Sentinel för att förena SOC-teamets säkerhetsövervakning. Mer information finns i:

• Självstudie: Ansluta Microsoft Defender för IoT med Microsoft Sentinel
• Självstudie: Undersöka och identifiera hot för IoT-enheter