Öğretici: IoT cihazları için tehditleri araştırma ve algılama

IoT için Microsoft Defender ile Microsoft Sentinel arasındaki tümleştirme, SOC ekiplerinin ağınızdaki güvenlik tehditlerini verimli ve etkili bir şekilde algılamasını ve yanıtlamasını sağlar. Analiz kuralları, çalışma kitapları ve playbook'lar içeren, IoT için Defender verileri için özel olarak yapılandırılmış paketlenmiş bir içerik kümesi olan IoT için Microsoft Defender çözümüyle güvenlik özelliklerinizi geliştirin.

Bu öğreticide şunları yaptınız:

• Microsoft Sentinel çalışma alanınıza IoT için Microsoft Defender çözümünü yükleme
• Microsoft Sentinel olaylarında IoT için Defender uyarılarını araştırmayı öğrenin
• IoT için Microsoft Defender çözümüyle Microsoft Sentinel çalışma alanınıza dağıtılan analiz kuralları, çalışma kitapları ve playbook'lar hakkında bilgi edinin

Önemli

Microsoft Sentinel içerik hub'ı deneyimi şu anda IoT için Microsoft Defender çözümü gibi ÖNİzLEME aşamasındadır. Beta, önizleme veya başka bir şekilde genel kullanıma sunulmamış Azure özellikleri için geçerli olan ek yasal koşullar için Bkz. Microsoft Azure Önizlemeleri için Ek Kullanım Koşulları.

Önkoşullar

Başlamadan önce şunları yaptığınızdan emin olun:

• Microsoft Sentinel çalışma alanınızda Okuma ve Yazma izinleri. Daha fazla bilgi için bkz . Microsoft Sentinel'de izinler.

• Tamamlanan Öğretici: Microsoft Sentinel ile IoT için Microsoft Defender'ı Bağlan.

IoT için Defender çözümünü yükleme

Microsoft Sentinel çözümleri , tek bir işlem kullanarak belirli bir veri bağlayıcısı için Microsoft Sentinel güvenlik içeriği eklemenize yardımcı olabilir.

IoT için Microsoft Defender çözümü, otomatik yanıt ve önleme özellikleri için hazır ve iyileştirilmiş playbook'lar sağlayarak IoT için Defender verilerini Microsoft Sentinel'in güvenlik düzenleme, otomasyon ve yanıt (SOAR) özellikleriyle tümleştirir.

Çözümü yüklemek için:

1. Microsoft Sentinel'de İçerik yönetimi'nin altında İçerik hub'ı seçin ve ioT için Microsoft Defender çözümünü bulun.

2. Sağ alt kısımda Ayrıntıları görüntüle'yi ve ardından Oluştur'u seçin. Çözümü yüklemek istediğiniz aboneliği, kaynak grubunu ve çalışma alanını seçin ve dağıtılacak ilgili güvenlik içeriğini gözden geçirin.

3. İşiniz bittiğinde, çözümü yüklemek için Gözden Geçir + Oluştur'u seçin.

Daha fazla bilgi için bkz. Microsoft Sentinel içeriği ve çözümleri hakkında ve Kullanıma hazır içeriği ve çözümleri merkezi olarak bulma ve dağıtma.

IoT için Defender verileriyle tehditleri kullanıma hazır olarak algılama

IoT için Microsoft Defender veri bağlayıcısı, algılanan tüm yeni IoT için Defender uyarıları için otomatik olarak yeni olaylar oluşturan IOT için Azure Defender uyarılarını temel alan olaylar oluşturma adlı varsayılan bir Microsoft Güvenlik kuralı içerir.

IoT için Microsoft Defender çözümü, IoT için Defender verileri için özel olarak oluşturulan ve ilgili uyarılar için Microsoft Sentinel'de oluşturulan olaylara ince ayar yapan daha ayrıntılı bir hazır analiz kuralları kümesi içerir.

IoT için hazır Defender uyarılarını kullanmak için:

1. Microsoft Sentinel Analytics sayfasında IOT için Azure Defender uyarılarını temel alan olaylar oluşturma kuralını arayın ve devre dışı bırakın. Bu adım, aynı uyarılar için Microsoft Sentinel'de yinelenen olayların oluşturulmasını engeller.

2. IoT için Microsoft Defender çözümüyle birlikte yüklenen aşağıdaki hazır analiz kurallarından herhangi birini arayın ve etkinleştirin:

   Kural Adı	Açıklama
   ICS/SCADA trafiği için geçersiz işlev kodları	Denetim denetimi ve veri alımı (SCADA) ekipmanındaki geçersiz işlev kodları aşağıdakilerden birini gösterebilir: - Üretici yazılımı güncelleştirmesi veya yeniden yükleme gibi yanlış uygulama yapılandırması. - Kötü amaçlı etkinlik. Örneğin, arabellek taşması gibi programlanabilir mantık denetleyicisindeki (PLC) bir güvenlik açığından yararlanmak için protokol içinde yasa dışı değerler kullanmaya çalışan bir siber tehdit.
   Üretici yazılımı güncelleştirmesi	Yetkisiz üretici yazılımı güncelleştirmeleri, PLC üretici yazılımını PLC işlevini tehlikeye atacak şekilde işlemeye çalışan bir siber tehdit gibi ağ üzerindeki kötü amaçlı etkinlikleri gösterebilir.
   Yetkisiz PLC değişiklikleri	PLC merdiven mantık kodunda yetkisiz değişiklikler aşağıdakilerden biri olabilir: - PLC'de yeni işlevselliğin göstergesi. - Üretici yazılımı güncelleştirmesi veya yeniden yükleme gibi bir uygulamanın yanlış yapılandırması. - PLC işlevini tehlikeye atmak için PLC programlamasını işlemeye çalışan bir siber tehdit gibi ağ üzerindeki kötü amaçlı etkinlikler.
   PLC güvenli olmayan anahtar durumu	Yeni mod PLC'nin güvenli olmadığını gösterebilir. PLC'nin güvenli olmayan bir çalışma modunda bırakılması, saldırganların program indirme gibi kötü amaçlı etkinlikler gerçekleştirmesine izin verebilir. PLC'nin güvenliği ihlal edilirse, onunla etkileşim kuran cihazlar ve işlemler etkilenebilir. genel sistem güvenliğini ve güvenliğini etkileyebilir.
   PLC durağı	PLC stop komutu, PLC'nin çalışmayı durdurmasına veya ağda kötü amaçlı etkinliğin durmasına neden olan bir uygulamanın yanlış yapılandırmasını gösterebilir. Örneğin, AĞın işlevselliğini etkilemek için PLC programlamasını işlemeye çalışan bir siber tehdit.
   Ağda şüpheli kötü amaçlı yazılım bulundu	Ağda bulunan şüpheli kötü amaçlı yazılımlar, şüpheli kötü amaçlı yazılımların üretimi tehlikeye atmaya çalıştığını gösterir.
   Ağda birden çok tarama	Ağdaki birden çok tarama aşağıdakilerden birinin göstergesi olabilir: - Ağda yeni bir cihaz - Mevcut bir cihazın yeni işlevselliği - Üretici yazılımı güncelleştirmesi veya yeniden yükleme nedeniyle bir uygulamanın yanlış yapılandırılması - Keşif için ağda kötü amaçlı etkinlik
   İnternet bağlantısı	İnternet adresleriyle iletişim kuracak bir OT cihazı, bir dış sunucudan güncelleştirmeleri indirmeye çalışan virüsten koruma yazılımı veya ağdaki kötü amaçlı etkinlik gibi yanlış bir uygulama yapılandırmasını gösterebilir.
   SCADA ağında yetkisiz cihaz	Ağdaki yetkisiz bir cihaz, yakın zamanda ağdaki yasal, yeni bir cihaz veya SCADA ağını işlemeye çalışan bir siber tehdit gibi ağda yetkisiz veya hatta kötü amaçlı bir etkinliğin göstergesi olabilir.
   SCADA ağında yetkisiz DHCP yapılandırması	Ağdaki yetkisiz BIR DHCP yapılandırması, ağda çalışan yeni, yetkisiz bir cihaz olduğunu gösterebilir. Bu, yakın zamanda ağda dağıtılan meşru, yeni bir cihaz veya SCADA ağını işlemeye çalışan bir siber tehdit gibi ağ üzerinde yetkisiz veya hatta kötü amaçlı bir etkinliğin göstergesi olabilir.
   Aşırı oturum açma girişimleri	Aşırı oturum açma girişimleri yanlış hizmet yapılandırması, insan hatası veya SCADA ağını işlemeye çalışan bir siber tehdit gibi ağ üzerindeki kötü amaçlı etkinlikleri gösterebilir.
   Ağda yüksek bant genişliği	Olağan dışı yüksek bir bant genişliği, ağdaki yedekleme gibi yeni bir hizmetin/işlemin göstergesi veya SCADA ağını işlemeye çalışan bir siber tehdit gibi ağdaki kötü amaçlı etkinliklerin göstergesi olabilir.
   Hizmet Reddi	Bu uyarı, DCS sisteminin kullanımını veya düzgün çalışmasını engelleyecek saldırıları algılar.
   Ağa yetkisiz uzaktan erişim	Ağa yetkisiz uzaktan erişim hedef cihazın güvenliğini tehlikeye atabilir. Bu, ağdaki başka bir cihazın güvenliğinin aşılması durumunda hedef cihazlara uzaktan erişilebileceği ve saldırı yüzeyinin artırılacağı anlamına gelir.
   Algılayıcıda trafik algılanmadı	Artık ağ trafiğini algılamayan bir algılayıcı, sistemin güvenli olmayabileceğini gösterir.

IoT için Defender olaylarını araştırma

IoT için Defender verilerinizi Microsoft Sentinel'de yeni olayları tetikecek şekilde yapılandırdıktan sonra, diğer olaylar gibi Microsoft Sentinel'de de bu olayları araştırmaya başlayın.

IoT için Microsoft Defender olaylarını araştırmak için:

1. Microsoft Sentinel'de Olaylar sayfasına gidin.

2. Olay kılavuzunun üst kısmında Ürün adı filtresini seçin ve Tümünü seç seçeneğini temizleyin. Ardından, yalnızca IoT için Defender uyarıları tarafından tetiklenen olayları görüntülemek için IoT için Microsoft Defender'ı seçin. Örneğin:

   

3. Araştırmanıza başlamak için belirli bir olayı seçin.

   Sağdaki olay ayrıntıları bölmesinde olay önem derecesi, ilgili varlıkların özeti, eşlenmiş MITRE ATT&CK taktikleri veya teknikleri gibi ayrıntıları ve daha fazlasını görüntüleyin. Örneğin:

   

4. Olay ayrıntıları sayfasını açmak için Tüm ayrıntıları görüntüle'yi seçin. Burada daha fazla detaya gidebilirsiniz. Örneğin:

   • IoT cihazının sitesi, bölgesi, algılayıcı adı ve cihaz önemi gibi ayrıntıları kullanarak olayın iş etkisini ve fiziksel konumunu anlayın.

   • Olay zaman çizelgesinde bir uyarı seçip Düzeltme adımları alanını görüntüleyerek önerilen düzeltme adımları hakkında bilgi edinin.

   • Varlıklar listesinden bir IoT cihaz varlığı seçerek cihaz varlığı sayfasını açın. Daha fazla bilgi için bkz . IoT cihaz varlıklarıyla daha fazla araştırma.

Daha fazla bilgi için bkz . Microsoft Sentinel ile olayları araştırma.

Bahşiş

IoT için Defender'da olayı araştırmak için Olaylar sayfasındaki olay ayrıntıları bölmesinin üst kısmındaki IoT için Microsoft Defender'da araştır bağlantısını seçin.

IoT cihaz varlıklarıyla daha fazla araştırma

Microsoft Sentinel'de bir olayı araştırırken sağ tarafta olay ayrıntıları bölmesini açtığınızda, seçili varlık hakkında daha fazla ayrıntı görüntülemek için Varlıklar listesinden bir IoT cihaz varlığı seçin. IoT cihazı simgesiyle IoT cihazını tanımlama:

IoT cihaz varlığınızı hemen görmüyorsanız, Olay sayfasının tamamını açmak için Tüm ayrıntıları görüntüle'yi seçin ve ardından Varlıklar sekmesini denetleyin. Temel cihaz ayrıntıları, sahip kişi bilgileri ve cihazda gerçekleşen olayların zaman çizelgesi gibi daha fazla varlık verilerini görüntülemek için bir IoT cihaz varlığı seçin.

Daha da detaya gitmek için IoT cihaz varlığı bağlantısını seçin ve cihaz varlığı ayrıntıları sayfasını açın veya Microsoft Sentinel Varlık davranışı sayfasında güvenlik açığı bulunan cihazları arayın. Örneğin, en fazla uyarıya sahip ilk beş IoT cihazını görüntüleyin veya IP adresine veya cihaz adına göre bir cihaz arayın:

Daha fazla bilgi için bkz. Microsoft Sentinel'de varlık sayfalarıyla varlıkları araştırma ve Microsoft Sentinel ile olayları araştırma.

IoT için Defender'da uyarıyı araştırma

Uyarı PCAP verilerine erişim de dahil olmak üzere daha fazla araştırma için IoT için Defender'da bir uyarı açmak için olay ayrıntıları sayfanıza gidin ve IoT için Microsoft Defender'da Araştır'ı seçin. Örneğin:

İlgili uyarı için IoT için Defender uyarı ayrıntıları sayfası açılır. Daha fazla bilgi için bkz . OT ağ uyarısını araştırma ve yanıtlama.

IoT için Defender verilerini görselleştirme ve izleme

IoT için Defender verilerinizi görselleştirmek ve izlemek için, IoT için Microsoft Defender çözümünün bir parçası olarak Microsoft Sentinel çalışma alanınıza dağıtılan çalışma kitaplarını kullanın.

IoT için Defender çalışma kitapları açık olaylara, uyarı bildirimlerine ve OT varlıklarına yönelik etkinliklere dayalı olarak OT varlıkları için kılavuzlu araştırma sağlar. Ayrıca ICS için MITRE ATT&CK® çerçevesi genelinde bir tehdit avcılığı deneyimi sağlar ve analistlerin, güvenlik mühendislerinin ve MSSP'lerin OT güvenlik duruşu hakkında durumsal farkındalık elde etmelerini sağlamak için tasarlanmıştır.

Tehdit yönetimi > Çalışma Kitaplarım > sekmesinde Microsoft Sentinel'de çalışma kitaplarını görüntüleyin. Daha fazla bilgi için bkz. Toplanan verileri görselleştirme.

Aşağıdaki tabloda, IoT için Microsoft Defender çözümüne dahil edilen çalışma kitapları açıklanmaktadır:

Çalışma Kitabı	Açıklama	Günlükler
Genel bakış	Cihaz envanteri, tehdit algılama ve güvenlik açıkları için önemli ölçümlerin özetini görüntüleyen pano.	Azure Kaynak Grafı (ARG) verilerini kullanır
Cihaz Envanteri	Ot cihaz adı, türü, IP adresi, Mac adresi, Model, İşletim Sistemi, Seri Numarası, Satıcı, Protokoller, Açık uyarılar ve CVE'ler ve cihaz başına öneriler gibi verileri görüntüler. Site, bölge ve algılayıcıya göre filtrelenebilir.	Azure Kaynak Grafı (ARG) verilerini kullanır
Olay	Verileri görüntüler, örneğin: - Olay Ölçümleri, En ÜstTeki Olay, Zaman içindeki Olay, Protokole Göre Olay, Cihaz Türüne Göre Olay, Satıcıya Göre Olay ve IP adresine göre Olay. - Önem Derecesine Göre Olay, Olay Ortalaması yanıt verme süresi, Olay Ortalaması çözüm süresi ve Olay kapatma nedenleri.	Aşağıdaki günlükten verileri kullanır: SecurityAlert
Uyarılar	Şu verileri görüntüler: Uyarı Ölçümleri, En Önemli Uyarılar, Zaman içinde Uyarı, Önem Derecelerine Göre Uyarı, Altyapıya Göre Uyarı, Cihaz Türüne Göre Uyarı, Satıcıya Göre Uyarı ve IP adresine göre Uyarı.	Azure Kaynak Grafı (ARG) verilerini kullanır
ICS için MITRE ATT&CK®	Taktik Sayısı, Taktik Ayrıntıları, Zaman içinde taktik, Teknik Sayısı gibi verileri görüntüler.	Aşağıdaki günlükten verileri kullanır: SecurityAlert
Güvenlik açıkları	Güvenlik açığı olan cihazlar için güvenlik açıklarını ve CVE'leri görüntüler. Cihaz sitesine ve CVE önem derecelerine göre filtrelenebilir.	Azure Kaynak Grafı (ARG) verilerini kullanır

IoT için Defender uyarılarına yanıtı otomatikleştirme

Playbook'lar , Rutin olarak Microsoft Sentinel'den çalıştırabileceğiniz otomatik düzeltme eylemlerinden oluşan koleksiyonlardır. Playbook, tehdit yanıtınızı otomatikleştirmeye ve düzenlemeye yardımcı olabilir; el ile çalıştırılabilir veya sırasıyla bir analiz kuralı veya otomasyon kuralı tarafından tetiklendiğinde belirli uyarılara veya olaylara yanıt olarak otomatik olarak çalışacak şekilde ayarlanabilir.

IoT için Microsoft Defender çözümü, aşağıdaki işlevleri sağlayan kullanıma hazır playbook'lar içerir:

• Olayları otomatik olarak kapatma
• Üretim hattına göre e-posta bildirimleri gönderme
• Yeni bir ServiceNow bileti oluşturma
• IoT için Defender'da uyarı durumlarını güncelleştirme
• Etkin CVE'ler ile olaylar için iş akışlarını otomatikleştirme
• IoT/OT cihaz sahibine e-posta gönderme
• Son derece önemli cihazları içeren önceliklendirme olayları

Kullanıma yönelik playbook'ları kullanmadan önce, aşağıda listelenen önkoşul adımlarını gerçekleştirdiğinden emin olun.

Daha fazla bilgi için bkz.

• Öğretici: Microsoft Sentinel'de playbook'ları otomasyon kurallarıyla kullanma
• Microsoft Sentinel'de playbook'larla tehdit yanıtlarını otomatikleştirme

Playbook önkoşulları

Kullanıma hazır playbook'ları kullanmadan önce, her playbook için gerektiği gibi aşağıdaki önkoşulları gerçekleştirdiğinizden emin olun:

• Geçerli playbook bağlantılarının olduğundan emin olun
• Aboneliğinize gerekli bir rol ekleme
• Olaylarınızı, ilgili analiz kurallarını ve playbook'unuzu Bağlan

Geçerli playbook bağlantılarının olduğundan emin olun

Bu yordam, playbook'unuzda her bağlantı adımının geçerli bağlantıları olduğundan ve tüm çözüm playbook'ları için gerekli olduğundan emin olunmasını sağlar.

Geçerli bağlantılarınızdan emin olmak için:

1. Microsoft Sentinel'de Automation>Active playbook'larından playbook'u açın.

2. Mantıksal uygulama olarak açmak için bir playbook seçin.

3. Playbook bir Mantıksal uygulama olarak açıldığında Mantıksal uygulama tasarımcısı'nı seçin. Turuncu bir uyarı üçgeni ile gösterilen geçersiz bağlantıları denetlemek için mantıksal uygulamadaki her adımı genişletin. Örneğin:

   

   Önemli

   Mantıksal uygulamadaki her adımı genişletmeyi unutmayın. Diğer adımlarda geçersiz bağlantılar gizleniyor olabilir.

4. Kaydet'i seçin.

Aboneliğinize gerekli bir rol ekleme

Bu yordamda, playbook'un yüklü olduğu Azure aboneliğine gerekli rolün nasıl ekleneceği açıklanır ve yalnızca aşağıdaki playbook'lar için gereklidir:

• AD4IoT-AutoAlertStatusSync
• AD4IoT-CVEAutoWorkflow
• AD4IoT-SendEmailtoIoTOwner
• AD4IoT-AutoTriageIncident

Gerekli roller playbook başına farklılık gösterir, ancak adımlar aynı kalır.

Aboneliğinize gerekli bir rol eklemek için:

1. Microsoft Sentinel'de Automation>Active playbook'larından playbook'u açın.

2. Mantıksal uygulama olarak açmak için bir playbook seçin.

3. Playbook bir Mantıksal uygulama olarak açıldığında Kimlik > Sistemi atandı'yı seçin ve ardından İzinler alanında Azure rol atamaları düğmesini seçin.

4. Azure rol atamaları sayfasında Rol ataması ekle'yi seçin.

5. Rol ataması ekle bölmesinde:

   1. Kapsamı Abonelik olarak tanımlayın.

   2. Açılan listeden playbook'unuzun yüklü olduğu Aboneliği seçin.

   3. Rol açılan listesinden, üzerinde çalıştığınız playbook'a bağlı olarak aşağıdaki rollerden birini seçin:

      Playbook adı	Role
      AD4IoT-AutoAlertStatusSync	Güvenlik Yöneticisi
      AD4IoT-CVEAutoWorkflow	Okuyucu
      AD4IoT-SendEmailtoIoTOwner	Okuyucu
      AD4IoT-AutoTriageIncident	Okuyucu

6. Bitirdiğinizde, Kaydet'i seçin.

Olaylarınızı, ilgili analiz kurallarını ve playbook'unuzu Bağlan

Bu yordamda, playbook'larınızı bir olay tetikleyicisine göre otomatik olarak çalıştırmak için bir Microsoft Sentinel analiz kuralının nasıl yapılandırıldığı açıklanır ve tüm çözüm playbook'ları için gereklidir.

Analiz kuralınızı eklemek için:

1. Microsoft Sentinel'de Otomasyon Otomasyonu>kuralları'na gidin.

2. Yeni bir otomasyon kuralı oluşturmak için Otomasyon kuralı oluştur'u>seçin.

3. Tetikleyici alanında, üzerinde çalıştığınız playbook'a bağlı olarak aşağıdaki tetikleyicilerden birini seçin:

   • AD4IoT-AutoAlertStatusSync playbook'u: Bir olay güncelleştirildiğinde tetikleyicisini seçin
   • Diğer tüm çözüm playbook'ları: Olay oluşturulduğunda tetikleyicisini seçin

4. Koşullar alanında Analiz kuralı adı > İçerirse'yi >seçin ve ardından kuruluşunuzdaki IoT için Defender ile ilgili belirli analiz kurallarını seçin.

   Örneğin:

   

   Hazır analiz kuralları kullanıyor olabilirsiniz veya kullanıma hazır içeriği değiştirmiş veya kendi içeriğinizi oluşturmuş olabilirsiniz. Daha fazla bilgi için bkz . IoT için Defender verileriyle tehditleri kullanıma hazır olarak algılama.

5. Eylemler alanında Playbook playbook>adını çalıştır'ı seçin.

6. Çalıştır seçin.

Bahşiş

Playbook'u isteğe bağlı olarak el ile de çalıştırabilirsiniz. Bu, düzenleme ve yanıt işlemleri üzerinde daha fazla denetim sahibi olmak istediğiniz durumlarda yararlı olabilir. Daha fazla bilgi için bkz . İsteğe bağlı playbook çalıştırma.

Olayları otomatik olarak kapatma

Playbook adı: AD4IoT-AutoCloseIncidents

Bazı durumlarda bakım etkinlikleri Microsoft Sentinel'de bir SOC ekibinin gerçek sorunları işlemesini engelleyebilecek uyarılar oluşturur. Bu playbook, belirtilen bakım döneminde bu tür uyarılardan oluşturulan olayları otomatik olarak kapatır ve IoT cihaz varlığı alanlarını açıkça ayrıştırır.

Bu playbook'u kullanmak için:

• Bakımın gerçekleşmesinin beklendiği ilgili süreyi ve Excel dosyasında listelenenler gibi ilgili varlıkların IP adreslerini girin.
• Uyarıların otomatik olarak işlenmesi gereken tüm varlık IP adreslerini içeren bir izleme listesi oluşturun.

Üretim hattına göre e-posta bildirimleri gönderme

Playbook adı: AD4IoT-MailByProductionLine

Bu playbook, ortamınızda gerçekleşen uyarılar ve olaylar hakkında belirli paydaşları bilgilendirmek için posta gönderir.

Örneğin, belirli ürün satırlarına veya coğrafi konumlara atanmış belirli güvenlik ekipleriniz olduğunda, bu ekibin sorumluluklarıyla ilgili uyarılar hakkında bilgilendirilmesini istersiniz.

Bu playbook'u kullanmak için, uyarmak istediğiniz paydaşların her birinin algılayıcı adları ve posta adresleri arasında eşleyen bir izleme listesi oluşturun.

Yeni bir ServiceNow bileti oluşturma

Playbook adı: AD4IoT-NewAssetServiceNowTicket

Genellikle, PLC programlama yetkisi olan varlık Mühendislik İş İstasyonu'dur. Bu nedenle saldırganlar kötü amaçlı PLC programlaması oluşturmak için yeni Mühendislik İş İstasyonları oluşturabilir.

Bu playbook, her yeni Mühendislik İş İstasyonu algılandığında ServiceNow'da bir bilet açar ve IoT cihaz varlığı alanlarını açıkça ayrıştırır.

IoT için Defender'da uyarı durumlarını güncelleştirme

Playbook adı: AD4IoT-AutoAlertStatusSync

Bu playbook, Microsoft Sentinel'deki ilgili bir uyarıda Durum güncelleştirmesi olduğunda IoT için Defender'daki uyarı durumlarını güncelleştirir.

Bu eşitleme, Uyarı durumlarının ilgili olayla eşleşmesi için Azure portalında veya algılayıcı konsolunda IoT için Defender'da tanımlanan tüm durumları geçersiz kılar.

Etkin CVE'ler ile olaylar için iş akışlarını otomatikleştirme

Playbook adı: AD4IoT-CVEAutoWorkflow

Bu playbook, etkilenen cihazların olay açıklamalarına etkin CV'ler ekler. CVE kritikse otomatik bir önceliklendirme gerçekleştirilir ve IoT için Defender'da site düzeyinde tanımlandığı gibi cihaz sahibine bir e-posta bildirimi gönderilir.

Cihaz sahibi eklemek için, IoT için Defender'ın Siteler ve algılayıcılar sayfasında site sahibini düzenleyin. Daha fazla bilgi için bkz . Azure portalındaki site yönetimi seçenekleri.

IoT/OT cihaz sahibine e-posta gönderme

Playbook adı: AD4IoT-SendEmailtoIoTOwner

Bu playbook, ioT için Defender'da site düzeyinde tanımlandığı şekilde cihaz sahibine olay ayrıntılarını içeren bir e-posta gönderir, böylece doğrudan otomatik e-postadan yanıt ve hatta araştırmaya başlayabilirler. Yanıt seçenekleri şunlardır:

• Evet, bu beklenen bir durumdur. Olayı kapatmak için bu seçeneği belirleyin.

• Hayır, bu beklenmez. Olayı etkin tutmak, önem derecesini artırmak ve olaya bir onay etiketi eklemek için bu seçeneği belirleyin.

Olay, cihaz sahibi tarafından seçilen yanıta göre otomatik olarak güncelleştirilir.

Cihaz sahibi eklemek için, IoT için Defender'ın Siteler ve algılayıcılar sayfasında site sahibini düzenleyin. Daha fazla bilgi için bkz . Azure portalındaki site yönetimi seçenekleri.

Son derece önemli cihazları içeren önceliklendirme olayları

Playbook adı: AD4IoT-AutoTriageIncident

Bu playbook, olay önem derecesini ilgili cihazların önem düzeyine göre güncelleştirir.

Sonraki adımlar

Verileri görselleştirme

Özel analiz kuralları oluşturma

Olayları araştırma

Varlıkları araştırma

Playbook'ları otomasyon kurallarıyla kullanma

Daha fazla bilgi için blogumuza bakın: Microsoft Sentinel ile Kritik Altyapıyı Savunma: BT/OT Tehdit İzleme Çözümü