Aracılığıyla paylaş

Olay zaman çizelgesiyle ağ ve algılayıcı etkinliğini izleme

  • Makale

IoT algılayıcıları için Microsoft Defender tarafından algılanan etkinlik olay zaman çizelgesine kaydedilir. Etkinlik uyarıları ve uyarı yönetimi eylemlerini, ağ olaylarını ve kullanıcı oturum açma veya kullanıcı silme gibi kullanıcı işlemlerini içerir.

OT algılayıcısının olay zaman çizelgesi, olayların nedenini ve etkisini belirlemeye yardımcı olmak için tüm ağ etkinliklerinin kronolojik bir görünümünü ve bağlamını sağlar. Zaman çizelgesi görünümü, ağ olaylarından bilgi ayıklamayı ve ağda gözlemlenen uyarıları ve olayları daha verimli bir şekilde çözümlemeyi kolaylaştırır. Çok büyük miktarlarda veri depolama özelliği sayesinde olay zaman çizelgesi görünümü, güvenlik ekiplerinin araştırma yapması ve ağ etkinliği hakkında daha ayrıntılı bilgi edinebilmesi için değerli bir kaynak olabilir.

Bir saldırıdan veya olaydan önce gelen ve izleyen olaylar zincirini anlamak ve analiz etmek için araştırma sırasında olay zaman çizelgesini kullanın. Aynı zaman çizelgesinde güvenlikle ilgili birden çok olayın merkezi görünümü desenleri ve bağıntıları tanımlamaya yardımcı olur ve güvenlik ekiplerinin olayların etkisini hızla değerlendirmesine ve buna uygun şekilde yanıt vermesine olanak tanır.

Daha fazla bilgi için bkz.

İzinler

Bu makalede açıklanan yordamları gerçekleştirmeden önce, Yönetici veya Güvenlik Analisti rolü olarak bir OT algılayıcısına erişiminiz olduğundan emin olun. Daha fazla bilgi için bkz. IoT için Defender ile OT izleme için şirket içi kullanıcılar ve roller.

Olay zaman çizelgesini görüntüleme

  1. Algılayıcı konsolunda oturum açın ve soldaki menüden Olay Zaman Çizelgesi'ni seçin.

  2. Olayları gerektiği gibi gözden geçirin ve filtreleyin .

  3. Olay ayrıntılarını sağdaki bir bölmede görüntülemek için bir olay satırı seçin. Burada, ilgili cihazların olaylarını görüntülemek için de filtreleyebilirsiniz. Kullanıcı İşlemleri filtresi varsayılan olarak açıktır; kullanıcı olaylarını gerektiği gibi gizlemeyi veya göstermeyi seçebilirsiniz.

    Örneğin:

    Olay zaman çizelgesindeki olayların ekran görüntüsü.

Cihaz envanterinden belirli bir cihazın olay zaman çizelgesini de görüntüleyebilirsiniz.

Belirli bir cihazın olay zaman çizelgesini görüntülemek için:

  1. Algılayıcı konsolunda Cihaz envanteri'ne gidin.

  2. Cihaz ayrıntıları bölmesini açmak için ilgili cihazı seçin ve ardından Cihaz özellikleri sayfasını açmak için Tüm ayrıntıları görüntüle'yi seçin.

  3. Bu cihazla ilişkili tüm olayları görüntülemek için Olay zaman çizelgesi sekmesini seçin ve olayları gerektiği gibi filtreleyin .

    Örneğin:

    Cihaz özellikleri sayfasındaki olay zaman çizelgesi sekmesinin ekran görüntüsü.

Zaman çizelgesindeki olayları filtreleme

  1. Gösterilen olayları belirtmek için olay zaman çizelgesi sayfasında Filtre ekle'yi seçin.

  2. Filtre Türünü seçin. Gösterilen cihazları filtrelemek için aşağıdaki seçeneklerden birini kullanın:

    Tür Açıklama
    Kullanıcı işlemleri Bu filtre varsayılan olarak açıktır, kullanıcı işlemi olaylarını göstermeyi veya gizlemeyi seçin.
    Date Belirli bir tarih aralığındaki olayları arayın.
    Cihaz grubu Belirli cihazları cihaz haritasında tanımlandığı şekilde gruba göre filtreleyin.
    Olay Önem Derecesi Yalnızca Uyarıları, Uyarıları ve Bildirimleri veya Tüm Olayları Göster.
    Cihazları dışlama Dışlamak istediğiniz cihazları arayın ve filtreleyin.
    Cihazları dahil et Eklemek istediğiniz cihazları arayın ve filtreleyin.
    Olay Türlerini Dışla Hariç tutulacak belirli olay türlerini arayın ve filtreleyin.
    Olay Türlerini Dahil Et Eklenecek belirli olay türlerini arayın ve filtreleyin.
    Anahtar sözcükler Olayları belirli anahtar sözcüklere göre filtreleyin.

  3. Filtreyi ayarlamak için Uygula'yı seçin.

Olay zaman çizelgesini CSV'ye aktarma

Olay zaman çizelgesini bir CSV dosyasına aktarabilirsiniz; dışarı aktarılan veriler dışarı aktarılırken uygulanan filtrelere göre yapılır.

Olay zaman çizelgesini dışarı aktarmak için:

Olay zaman çizelgesi sayfasında, olay zaman çizelgesini CSV dosyasına aktarmak için üstteki menüden Dışarı Aktar'ı seçin.

Olay oluşturma

Algılayıcının algıladığınız olayları görüntülemeye ek olarak zaman çizelgesine olayları el ile ekleyebilirsiniz. Bu işlem, bir dış sistem olayı ağınızı etkiliyorsa ve bunu zaman çizelgesine kaydetmek istiyorsanız yararlıdır.

  1. Olay zaman çizelgesi sayfasında Olay Oluştur'u seçin.

  2. Olay Oluştur iletişim kutusunda aşağıdaki olay ayrıntılarını ekleyin:

    • Yazın. Olay türünü belirtin (Bilgi, Bildirim veya Uyarı).

    • Zaman damgası. Olayın tarih ve saatini ayarlayın.

    • Cihaz'a bakın. Olayın bağlanacağı cihazı seçin.

    • Açıklama. Olayın açıklamasını sağlayın.

  3. Olayı zaman çizelgesine eklemek için Kaydet'i seçin.

Örneğin:

Zaman çizelgesinde yeni olay oluşturma işleminin ekran görüntüsü.

Olay zaman çizelgesi kapasitesi

Olay zaman çizelgesinde depolanabilecek veri miktarı, ağın boyutu, olayların sıklığı ve algılayıcınızın depolama kapasitesi gibi çeşitli faktörlere bağlıdır. Olay zaman çizelgesinde depolanan veriler ağ trafiği, güvenlik olayları ve diğer ilgili veri noktaları hakkında bilgi içerebilir.

Olay zaman çizelgesinde gösterilen en fazla olay sayısı, algılayıcı yüklemesi sırasında seçilen donanım profiline bağlıdır. Her donanım profilinin maksimum olay kapasitesi vardır. Her donanım profili için en yüksek olay kapasitesi hakkında daha fazla bilgi için bkz. OT olay zaman çizelgesi saklama.

Sonraki adımlar

Daha fazla bilgi için bkz.