OT uyarılarının öğrenilen bir temelini oluşturma
Bu makale, IoT için Microsoft Defender ile OT izleme için dağıtım yolunu açıklayan bir dizi makaleden biridir ve OT algılayıcınızda öğrenilen trafiğin temelinin nasıl oluşturulacağını açıklar.
Öğrenme modunu anlama
Ot ağ algılayıcısı, ağa bağlandıktan ve oturum açtıktan sonra ağınızı otomatik olarak izlemeye başlar. Ağ cihazları cihaz envanterinizde görünmeye başlar ve ağınızda gerçekleşen tüm güvenlik veya işlem olayları için uyarılar tetiklenir.
Başlangıçta, bu etkinlik öğrenme modunda gerçekleşir ve bu da OT algılayıcınıza ağınızdaki cihazlar ve protokoller dahil olmak üzere ağınızın olağan etkinliğini ve belirli cihazlar arasında gerçekleşen normal dosya aktarımlarını öğrenmesini sağlar. Düzenli olarak algılanan tüm etkinlikler ağınızın temel trafiği olur.
İpucu
Uyarılarınızı önceliklendirmek için öğrenme modunda zamanınızı kullanın ve yetkili, beklenen etkinlik olarak işaretlemek istediklerinizi öğrenin . Öğrenilen trafik, aynı trafik bir sonraki algılandığında yeni uyarılar oluşturmaz.
Öğrenme modu kapatıldıktan sonra, temel verilerinizden farklı olan tüm etkinlikler bir uyarı tetikler.
Daha fazla bilgi için bkz. IoT uyarıları için Microsoft Defender.
Öğrenme modu zaman çizelgesi
OT uyarılarınızın temeli oluşturmak, ağınızın boyutuna ve karmaşıklığına bağlı olarak birkaç günden birkaç haftaya kadar sürebilir. Algılayıcı yeni algılanan trafikte bir düşüş algıladığında öğrenme modu otomatik olarak kapanır ve bu genellikle dağıtımdan sonraki 2-6 hafta arasında olur.
Geçerli uyarıların ağ etkinliğinizi doğru yansıttığını düşünüyorsanız öğrenme modunu daha önce el ile kapatın.
Önkoşullar
Bu makaledeki yordamları Azure portal, OT algılayıcısından veya şirket içi yönetim konsolundan gerçekleştirebilirsiniz.
Başlamadan önce şunları yaptığınızdan emin olun:
Algılanan trafik tarafından tetiklenen uyarılarla birlikte bir OT algılayıcısı yüklenir, yapılandırılır ve etkinleştirilir.
Güvenlik Analisti veya Yönetici kullanıcı olarak OT algılayıcınıza erişim. Daha fazla bilgi için bkz. IoT için Defender ile OT izleme için şirket içi kullanıcılar ve roller.
Uyarıları önceliklendirme
Ağ etkinliğiniz için bir başlangıç temeli oluşturmak için dağıtımınızın sonuna doğru uyarıları önceliklendirme.
OT algılayıcınızda oturum açın ve Uyarılar sayfasını seçin.
Önce en kritik uyarılarınızı görüntülemek için sıralama ve gruplandırma seçeneklerini kullanın. Durumları güncelleştirmek ve OT yetkili trafiğine yönelik uyarıları öğrenmek için her uyarıyı gözden geçirin.
Daha fazla bilgi için bkz. OT algılayıcınızdaki uyarıları görüntüleme ve yönetme.
Sonraki adımlar
Öğrenme modu kapatıldıktan sonra öğrenme modundan çalışma moduna geçtiniz. Aşağıdakilerden biriyle devam edin:
- Azure İzleyici çalışma kitaplarıyla IoT verilerinin Microsoft Defender görselleştirme
- Azure portal uyarılarını görüntüleme ve yönetme
- Cihaz envanterinizi Azure portal
SOC ekibinizin güvenlik izlemesini birleştirmek için IoT için Defender verilerini Microsoft Sentinel ile tümleştirin. Daha fazla bilgi için bkz.
Geri Bildirim
Çok yakında: 2024 boyunca, içerik için geri bildirim mekanizması olarak GitHub Sorunları’nı kullanımdan kaldıracak ve yeni bir geri bildirim sistemiyle değiştireceğiz. Daha fazla bilgi için bkz. https://aka.ms/ContentUserFeedback.
Gönderin ve geri bildirimi görüntüleyin