Undersöka och svara på en OT-nätverksavisering

Den här artikeln beskriver hur du undersöker och svarar på en ot-nätverksavisering i Microsoft Defender för IoT.

Du kan vara en SOC-tekniker (Security Operations Center) som använder Microsoft Sentinel, som har sett en ny incident på din Microsoft Sentinel-arbetsyta och fortsätter i Defender för IoT för mer information om relaterade enheter och rekommenderade reparationssteg.

Alternativt kan du vara en OT-tekniker som söker efter driftaviseringar direkt i Defender för IoT. Driftaviseringar kanske inte är skadliga, men kan tyda på driftsaktivitet som kan underlätta säkerhetsutredningar.

Förutsättningar

Kontrollera att du har:

• En Azure-prenumeration Om du behöver kan du registrera dig för ett kostnadsfritt konto.

• En molnansluten OT-nätverkssensor registrerad på Defender for IoT, med aviseringar som strömmas till Azure-portalen.

• Om du vill undersöka en avisering från en Microsoft Sentinel-incident kontrollerar du att du har slutfört följande självstudier:

  • Självstudie: Anslut Microsoft Defender för IoT med Microsoft Sentinel
  • Självstudie: Undersöka och identifiera hot för IoT-enheter

• En sida med aviseringsinformation öppnas, antingen från sidan Defender för IoT-aviseringar i Azure-portalen, en defender för IoT-enhetsinformationssida eller en Microsoft Sentinel-incident.

Undersöka en avisering från Azure-portalen

På en aviseringsinformationssida i Azure-portalen börjar du med att ändra aviseringsstatusen till Aktiv, vilket indikerar att den för närvarande är under undersökning.

Till exempel:

Viktigt!

Om du integrerar med Microsoft Sentinel ska du bara hantera din aviseringsstatus från incidenten i Microsoft Sentinel. Aviseringsstatusar synkroniseras inte från Defender för IoT till Microsoft Sentinel.

När du har uppdaterat statusen går du till sidan med aviseringsinformation för att få följande information som hjälp i din undersökning:

• Information om käll- och målenheter. Käll- och målenheter visas på fliken Aviseringsinformation och även i området Entiteter nedan, som Microsoft Sentinel-entiteter, med sina egna entitetssidor. I området Entiteter använder du länkarna i kolumnen Namn för att öppna relevanta enhetsinformationssidor för ytterligare undersökning.

• Plats och/eller zon. Dessa värden hjälper dig att förstå varningens geografiska plats och nätverk och om det finns områden i nätverket som nu är mer sårbara för angrepp.

• MITRE ATT&CK taktik och tekniker. Rulla nedåt i den vänstra rutan för att visa all MITRE ATT&CK-information. Förutom beskrivningar av taktik och tekniker väljer du länkarna till MITRE ATT&CK-webbplatsen för att lära dig mer om var och en.

• Ladda ned PCAP. Längst upp på sidan väljer du Ladda ned PCAP för att ladda ned råtrafikfilerna för den valda aviseringen.

Undersöka relaterade aviseringar på Azure-portalen

Leta efter andra aviseringar som utlöses av samma käll- eller målenhet. Korrelationer mellan flera aviseringar kan tyda på att enheten är i riskzonen och kan utnyttjas.

Till exempel kan en enhet som försökte ansluta till en skadlig IP-adress tillsammans med en annan avisering om otillåtna PLC-programmeringsändringar på enheten indikera att en angripare redan har fått kontroll över enheten.

Så här hittar du relaterade aviseringar i Defender för IoT:

1. På sidan Aviseringar väljer du en avisering för att visa information till höger.

2. Leta upp enhetslänkarna i området Entiteter , antingen i informationsfönstret till höger eller på sidan med aviseringsinformation. Välj en entitetslänk för att öppna sidan med relaterad enhetsinformation för både en käll- och målenhet.

3. På sidan enhetsinformation väljer du fliken Aviseringar för att visa alla aviseringar för den enheten. Till exempel:

   

Undersöka aviseringsinformation om OT-sensorn

Ot-sensorn som utlöste aviseringen har mer information som hjälper din undersökning.

Så här fortsätter du undersökningen på OT-sensorn:

1. Logga in på ot-sensorn som användare av visningsprogram eller säkerhetsanalytiker .

2. Välj sidan Aviseringar och leta upp den avisering som du undersöker. Välj **Visa mer information för att öppna aviseringsinformationssidan för OT-sensorn. Till exempel:

   

På sensorns aviseringsinformationssida:

• Välj fliken Kartvy för att visa aviseringen i OT-sensorns enhetskarta, inklusive alla anslutna enheter.

• Välj fliken Händelsetidslinje för att visa aviseringens fullständiga händelsetidslinje, inklusive annan relaterad aktivitet som också identifieras av OT-sensorn.

• Välj Exportera PDF för att ladda ned en PDF-sammanfattning av aviseringsinformationen.

Vidta åtgärd

Tidpunkten för när du vidtar reparationsåtgärder kan bero på varningens allvarlighetsgrad. För aviseringar med hög allvarlighetsgrad kanske du vill vidta åtgärder redan innan du undersöker det, till exempel om du omedelbart behöver placera ett område i nätverket i karantän.

För aviseringar med lägre allvarlighetsgrad eller för driftaviseringar kanske du vill undersöka det fullständigt innan du vidtar åtgärder.

Om du vill åtgärda en avisering använder du följande Defender för IoT-resurser:

• På en aviseringsinformationssida på Antingen Azure-portalen eller OT-sensorn väljer du fliken Vidta åtgärd för att visa information om rekommenderade steg för att minska risken.

• På en enhetsinformationssida i Azure-portalen för både käll- och målenheterna:

  • Välj fliken Sårbarheter och sök efter identifierade sårbarheter på varje enhet.

  • Välj fliken Rekommendationer och sök efter aktuella säkerhetsrekommendationer för varje enhet.

Säkerhetsrekommendationer och säkerhetsrekommendationer för Defender för IoT kan ge enkla åtgärder som du kan vidta för att minska riskerna, till exempel att uppdatera inbyggd programvara eller tillämpa en korrigering. Andra åtgärder kan göra mer planering.

När du är klar med åtgärdsaktiviteter och är redo att stänga aviseringen bör du uppdatera aviseringsstatusen till Stängd eller meddela SOC-teamet om ytterligare incidenthantering.

Kommentar

Om du integrerar Defender för IoT med Microsoft Sentinel uppdateras inte aviseringsstatusändringar som du gör i Defender för IoT i Microsoft Sentinel. Se till att hantera dina aviseringar i Microsoft Sentinel tillsammans med den relaterade incidenten.

Sortera aviseringar regelbundet

Sortera aviseringar regelbundet för att förhindra varningströtthet i nätverket och se till att du kan se och hantera viktiga aviseringar i tid.

Så här sorterar du aviseringar:

1. I Defender för IoT i Azure-portalen går du till sidan Aviseringar . Som standard sorteras aviseringar efter kolumnen Senaste identifiering , från den senaste till den äldsta aviseringen, så att du först kan se de senaste aviseringarna i nätverket.

2. Använd andra filter, till exempel sensor eller allvarlighetsgrad för att hitta specifika aviseringar.

3. Kontrollera aviseringsinformationen och undersök efter behov innan du vidtar någon aviseringsåtgärd. När du är redo vidtar du åtgärder på en aviseringsinformationssida för en viss avisering eller på sidan Aviseringar för massåtgärder.

   Du kan till exempel uppdatera aviseringsstatus eller allvarlighetsgrad eller lära dig en avisering för att auktorisera den identifierade trafiken. Inlärda aviseringar utlöses inte igen om samma exakta trafik identifieras igen.

   

För aviseringar med hög allvarlighetsgrad kanske du vill vidta åtgärder omedelbart.

Nästa steg

Förbättra säkerhetsstatusen med säkerhetsrekommendationer