Şirket içi OT uyarı iş akışlarını hızlandırma

  • Makale

IoT uyarıları için Microsoft Defender, ağınızda günlüğe kaydedilen olaylar hakkında gerçek zamanlı ayrıntılarla ağ güvenliğinizi ve işlemlerinizi geliştirir. OT ağ algılayıcıları dikkatinizi gerektiren ağ trafiğindeki değişiklikleri veya şüpheli etkinlikleri algıladığında OT uyarıları tetiklenir.

Bu makalede, ekibinizde OT ağ uyarısı yorgunluğunu azaltmak için aşağıdaki yöntemler açıklanmaktadır:

  • Tek tek uyarılara eklemek, iletişimin akışını sağlamak ve uyarılarınız arasında kayıt tutmak için ekipleriniz için uyarı açıklamaları oluşturun.

  • Ağınızdaki belirli trafiği tanımlamak için özel uyarı kuralları oluşturma

  • Algılayıcılarınızın tetiklediği uyarıları azaltmak için uyarı dışlama kuralları oluşturma

Ön koşullar

  • Ot ağ algılayıcısı üzerinde uyarı açıklamaları veya özel uyarı kuralları oluşturmak için bir OT ağ algılayıcısının yüklü olması ve algılayıcıya Yönetici kullanıcı olarak erişmesi gerekir.

  • OT algılayıcısı üzerinde DNS izin verilenler listesi oluşturmak için bir OT ağ algılayıcısının yüklü olması ve algılayıcıya Destek kullanıcısı olarak erişmeniz gerekir.

  • Şirket içi yönetim konsolunda uyarı dışlama kuralları oluşturmak için, yüklü bir şirket içi yönetim konsoluna sahip olmanız ve Yönetici kullanıcı olarak şirket içi yönetim konsoluna erişiminiz olmalıdır.

Daha fazla bilgi için bkz. IoT için Defender ile OT izleme için OT aracısız izleme yazılımını ve Şirket içi kullanıcılarını ve rolleriniyükleme.

OT algılayıcısı üzerinde uyarı açıklamaları oluşturma

  1. OT algılayıcınızda oturum açın ve Sistem Ayarları>Ağ İzlemeUyarısı Açıklamaları'nı> seçin.

  2. Uyarı açıklamaları bölmesindeki Açıklama alanına yeni açıklamayı girin ve Ekle'yi seçin. Yeni açıklama, alanın altındaki Açıklama listesinde görünür.

    Örneğin:

    OT algılayıcısının Uyarı açıklamaları bölmesinin ekran görüntüsü.

  3. Yorumunuzu algılayıcınızdaki her uyarıdaki kullanılabilir açıklamalar listesine eklemek için Gönder'i seçin.

Takım üyelerinin eklemesi için algılayıcınızdaki her uyarıda özel açıklamalar bulunur. Daha fazla bilgi için bkz. Uyarı açıklamaları ekleme.

OT algılayıcısı üzerinde özel uyarı kuralları oluşturma

Ağınızda kullanıma hazır işlevsellik kapsamında olmayan belirli etkinliklere yönelik uyarıları tetikleyecek özel uyarı kuralları ekleyin.

Örneğin, MODBUS çalıştıran bir ortam için, belirli bir IP adresi ve Ethernet hedefinde bellek yazmaçlarına yazılan komutları algılamak için bir kural ekleyebilirsiniz.

Özel uyarı kuralı oluşturmak için:

  1. OT algılayıcınızda oturum açın ve Özel uyarı kuralları>+ Kural oluştur'u seçin.

  2. Özel uyarı kuralı oluştur bölmesinde aşağıdaki alanları tanımlayın:

    Adı Açıklama
    Uyarı adı Uyarı için anlamlı bir ad girin.
    Uyarı protokolü Algılamak istediğiniz protokolü seçin.
    Belirli durumlarda aşağıdaki protokollerden birini seçin:

    - Veritabanı verileri veya yapı düzenleme olayı için TNS veya TDS'yi seçin.
    - Dosya olayı için dosya türüne bağlı olarak HTTP, DELTAV, SMB veya FTP'yi seçin.
    - Paket indirme etkinliği için HTTP'yi seçin.
    - Açık bağlantı noktaları (bırakılan) olayı için bağlantı noktası türüne bağlı olarak TCP veya UDP'yi seçin.

    S7 veya CIP gibi OT protokollerinizden birinde belirli değişiklikleri izleyen kurallar oluşturmak için, bu protokolde bulunan veya sub-functiongibi tag parametreleri kullanın.
    İleti Uyarı tetiklendiğinde görüntülenecek bir ileti tanımlayın. Uyarı iletileri alfasayısal karakterleri ve algılanan tüm trafik değişkenlerini destekler.

    Örneğin, algılanan kaynak ve hedef adresleri eklemek isteyebilirsiniz. Uyarı iletisine değişken eklemek için küme ayraçlarını ({}) kullanın.
    Yön Trafiği algılamak istediğiniz bir kaynak ve/veya hedef IP adresi girin.
    Koşullar Uyarıyı tetikleyebilmek için karşılanması gereken bir veya daha fazla koşul tanımlayın.

    - AND işlecini + kullanan birden çok koşula sahip bir koşul kümesi oluşturmak için işareti seçin. + İşaret yalnızca bir Uyarı protokolü değeri seçildiğinde etkinleştirilir.
    - Değişken olarak bir MAC adresi veya IP adresi seçerseniz, değeri noktalı ondalık adresten ondalık biçime dönüştürmeniz gerekir.

    Özel uyarı kuralı oluşturmak için en az bir koşul eklemeniz gerekir.
    Tespit edildi Algılamak istediğiniz trafik için bir tarih ve/veya saat aralığı tanımlayın. Günleri ve zaman aralığını bakım saatlerine uyacak şekilde özelleştirin veya çalışma saatlerini ayarlayın.
    Eylem Uyarı tetiklendiğinde IoT için Defender'ın otomatik olarak gerçekleştirmesini istediğiniz bir eylem tanımlayın.
    IoT için Defender'ın belirtilen önem derecesine sahip bir uyarı veya olay oluşturmasını sağlayın.
    PCAP dahil Olay oluşturmayı seçtiyseniz pcap dahil seçeneğini gerektiği gibi temizleyin. Uyarı oluşturmayı seçtiyseniz PCAP her zaman dahil edilir ve kaldırılamaz.

    Örneğin:

    Özel uyarı kuralları oluşturmak için Özel uyarı kuralı oluştur bölmesinin ekran görüntüsü.

  3. kuralı kaydetmek için bitirdiğinizde Kaydet'i seçin.

Özel uyarı kuralını düzenleme

Özel uyarı kuralını düzenlemek için kuralı seçin ve ardından seçenekler (...) menüsünü >Düzenle'yi seçin. Uyarı kuralını gerektiği gibi değiştirin ve değişikliklerinizi kaydedin.

Önem düzeyini veya protokolü değiştirme gibi özel uyarı kurallarında yapılan düzenlemeler, OT algılayıcısının Olay zaman çizelgesi sayfasında izlenir.

Daha fazla bilgi için bkz. Algılayıcı etkinliğini izleme.

Özel uyarı kurallarını devre dışı bırakma, etkinleştirme veya silme

Özel uyarı kurallarını tamamen silmeden çalışmasını önlemek için devre dışı bırakın.

Özel uyarı kuralları sayfasında bir veya daha fazla kural seçin ve ardından gerektiğinde araç çubuğunda Devre Dışı Bırak, Etkinleştir veya Sil'i seçin.

OT ağında internet bağlantılarına izin verme

OT algılayıcınızda etki alanı adlarının izin verilenler listesini oluşturarak yetkisiz internet uyarılarının sayısını azaltın. Bir DNS izin verilenler listesi yapılandırıldığında, algılayıcı bir uyarı tetiklemeden önce her yetkisiz İnternet bağlantısı denemesini listede denetler. Etki alanının FQDN'sinin izin verilenler listesine dahil olması durumunda algılayıcı uyarıyı tetiklemez ve trafiğe otomatik olarak izin verir.

Tüm OT algılayıcısı kullanıcıları FQDN'ler, çözümlenen IP adresleri ve son çözümleme zamanı dahil olmak üzere veri madenciliği raporundaki etki alanlarının şu anda yapılandırılmış bir listesini görüntüleyebilir.

DNS izin verilenler listesini tanımlamak için:

  1. OT algılayıcınızda destek kullanıcısı olarak oturum açın ve Destek sayfasını seçin.

  2. Arama kutusunda DNS'yi arayın ve İnternet Etki Alanı İzin Verilenler listesi açıklamasını içeren altyapıyı bulun.

  3. İnternet Etki Alanı İzin Verilenler listesi satırı için Düzenle'yi seçin. Örneğin:

    Algılayıcı konsolunda DNS yapılandırmalarını düzenleme işleminin ekran görüntüsü.

  4. Yapılandırmayı düzenle bölmesi >Fqdn allowlist alanına bir veya daha fazla etki alanı adı girin. Birden çok etki alanı adını virgülle ayırın. Algılayıcınız, yapılandırılmış etki alanlarında yetkisiz internet bağlantısı denemeleri için uyarı oluşturmaz.

  5. Değişikliklerinizi kaydetmek için Gönder'i seçin.

Veri madenciliği raporunda geçerli izin verilenler listesini görüntülemek için:

Özel veri madenciliği raporunuzda bir kategori seçerken, DNS kategorisinin altında İnternet Etki Alanı İzin Verilenler Listesi'ni seçtiğinizden emin olun.

Örneğin:

Algılayıcı konsolunda izin verilenler listesi için özel veri madenciliği raporu oluşturma işleminin ekran görüntüsü.

Oluşturulan veri madenciliği raporu, izin verilen etki alanlarının ve bu etki alanları için çözümlenen her IP adresinin listesini gösterir. Rapor, saniyeler içinde TTL'yi de içerir ve bu süre boyunca bu IP adresleri İnternet bağlantısı uyarısını tetiklemez. Örneğin:

Algılayıcı konsolunda izin verilenler listesinin veri madenciliği raporunun ekran görüntüsü.

Şirket içi yönetim konsolunda uyarı dışlama kuralları oluşturma

Algılayıcılarınıza, aksi takdirde uyarı tetikleyebilecek belirli trafiği yoksaymasını bildirmek için uyarı dışlama kuralları oluşturun.

Örneğin, belirli bir algılayıcı tarafından izlenen tüm OT cihazlarının iki gün boyunca bakım yordamlarından geçeceğini biliyorsanız, IoT için Defender'a önceden tanımlanmış süre boyunca bu algılayıcı tarafından algılanan uyarıları gizlemesini emreden bir dışlama kuralı tanımlayın.

Uyarı dışlama kuralı oluşturmak için:

  1. Şirket içi yönetim konsolunuzda oturum açın ve sol taraftaki menüden Uyarı Dışlaması'nı seçin.

  2. Uyarı Dışlama sayfasında, sağ üstteki düğmeyi seçerek + yeni bir kural ekleyin.

  3. Dışlama Kuralı Oluştur iletişim kutusunda aşağıdaki ayrıntıları girin:

    Adı Açıklama
    Ad Kuralınız için anlamlı bir ad girin. Ad tırnak işareti (") içeremez.
    Zaman Aralığına Göre Bir saat dilimini ve dışlama kuralının etkin olmasını istediğiniz belirli bir zaman dilimini ve ardından EKLE'yi seçin.

    Farklı saat dilimleri için ayrı kurallar oluşturmak için bu seçeneği kullanın. Örneğin, üç farklı saat diliminde 08:00 ile 10:00 arasında bir dışlama kuralı uygulamanız gerekebilir. Bu durumda, aynı zaman aralığını ve ilgili saat dilimini kullanan üç ayrı dışlama kuralı oluşturun.
    Cihaz Adresine Göre Aşağıdaki değerleri seçip girin ve EKLE'yi seçin:

    - Belirlenen cihazın kaynak mı, hedef mi yoksa hem kaynak hem de hedef cihaz mı olduğunu seçin.
    - Adresin IP adresi mi, MAC adresi mi yoksa alt ağ mı olduğunu seçin
    - IP adresinin, MAC adresinin veya alt ağın değerini girin.
    Uyarı Başlığına Göre Dışlama kuralına eklemek için bir veya daha fazla uyarı seçin ve ardından EKLE'yi seçin. Uyarı başlıklarını bulmak için uyarı başlığının tümünü veya bir bölümünü girin ve açılan listeden istediğiniz başlığı seçin.
    Algılayıcı Adına Göre Dışlama kuralına eklemek için bir veya daha fazla algılayıcı seçin ve ardından EKLE'yi seçin. Algılayıcı adlarını bulmak için algılayıcı adının tamamını veya bir bölümünü girin ve açılan listeden istediğiniz adı seçin.

    Önemli

    Uyarı dışlama kuralları temel alır AND , bu da uyarıların yalnızca tüm kural koşulları karşılandığında dışlandığı anlamına gelir. Bir kural koşulu tanımlanmamışsa, tüm seçenekler dahil edilir. Örneğin, kurala bir algılayıcının adını eklemezseniz, kural tüm algılayıcılara uygulanır.

    İletişim kutusunun alt kısmında kural parametrelerinin özeti gösterilir.

  4. Dışlama Kuralı Oluştur iletişim kutusunun altında gösterilen kural özetini denetleyin ve KAYDET'i seçin

API aracılığıyla uyarı dışlama kuralları oluşturma

Bir dış bilet sisteminden veya ağ bakım işlemlerini yöneten başka bir sistemden uyarı dışlama kuralları oluşturmak için IoT için Defender API'sini kullanın.

Kuralı uygulamak için algılayıcıları, analiz altyapılarını, başlangıç zamanını ve bitiş saatini tanımlamak için maintenanceWindow (Uyarı dışlamaları oluşturma) API'sini kullanın. API aracılığıyla oluşturulan dışlama kuralları, şirket içi yönetim konsolunda salt okunur olarak gösterilir.

Daha fazla bilgi için bkz. IoT için Defender API başvurusu.

Sonraki adımlar

IoT uyarıları için Microsoft Defender