你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
转发本地 OT 警报信息
Microsoft Defender for IoT 警报通过有关记录在你网络中的事件的实时详细信息来增强网络安全性和操作。 当 OT 网络传感器检测到网络流量出现了需要注意的变化或可疑活动时,会触发 OT 警报。
本文介绍如何配置 OT 传感器或本地管理控制台,以将警报转发到合作伙伴服务、syslog 服务器和电子邮件地址等。 转发的警报信息包括如下详细信息:
- 警报日期和时间
- 检测到事件的引擎
- 警报标题和描述性消息
- 警报严重性
- 源名称和目标名称及 IP 地址
- 检测到恶意流量
- 已断开连接的传感器
- 远程备份失败
注意
转发警报规则仅针对创建转发规则后触发的警报运行。 创建转发规则之前系统中已有的警报不受该规则的影响。
先决条件
根据要创建转发警报规则的位置,需要安装 OT 网络传感器或本地管理控制台,并以管理员用户身份进行访问。
有关详细信息,请参阅安装 OT 无代理监视软件和使用 Defender for IoT 进行 OT 监视的本地用户和角色。
还需要在 OT 传感器或本地管理控制台上定义 SMTP 设置。
有关详细信息,请参阅在 OT 传感器上配置 SMTP 邮件服务器设置和在本地管理控制台上配置 SMTP 邮件服务器设置。
在 OT 传感器上创建转发规则
登录到 OT 传感器,选择左侧菜单中的“转发”>“+ 创建新规则”。
在“添加转发规则”窗格中,输入有意义的规则名称,然后定义规则条件和操作,如下所示:
名称 说明 最小警报级别 选择要转发的最低警报严重性级别。
例如,如果选择“次要”、则将转发次要警报和此严重级别以上的任何警报。检测到的任何协议 打开开关以转发来自所有协议流量的警报,或者关闭并选择要包含的特定协议。 任何引擎检测到的流量 打开开关以转发来自所有分析引擎的警报,或者关闭并选择要包含的特定引擎。 操作 选择要将警报转发到的服务器类型,然后定义该服务器类型的任何其他所需信息。
若要将多个服务器添加到同一规则中,请选择“+ 添加服务器”并添加更多详细信息。
有关详细信息,请参阅配置警报转发规则操作。配置完规则后,选择“保存”。 规则将列在“转发”页上。
测试已创建的规则:
- 选择规则的选项菜单 (...) >“发送测试消息”。
- 转到目标服务,验证是否已收到该传感器发送的信息。
在 OT 传感器上编辑或删除转发规则
若要编辑或删除现有规则,请执行以下操作:
登录到 OT 传感器,然后选择左侧菜单的“转发”。
选择规则的选项菜单 (...),然后执行下列操作之一:
选择“编辑”,并根据需要更新字段。 完成后,选择“保存”。
若要确认删除,请选择“删除”>“是”。
在本地管理控制台上创建转发规则
若要在管理控制台上创建转发规则,请执行以下操作:
登录到本地管理控制台,选择左侧菜单中的“转发”。
选择右上角的 + 按钮以创建新规则。
在“创建转发规则”窗口中,为规则输入有意义的名称,然后定义规则条件和操作,如下所示:
名称 说明 最小警报级别 在对话框右上角,使用下拉列表选择要转发的最低警报严重性级别。
例如,如果选择“次要”、则将转发次要警报和此严重级别以上的任何警报。协议 选择“全部”以转发来自所有协议流量的警报,或选择“特定”以仅添加特定协议。 引擎 选择“全部”以转发由所有传感器分析引擎触发的警报,或选择“特定”以仅添加特定引擎。 系统通知 选择“报告系统通知”选项,以通知断开连接的传感器或远程备份失败。 警报通知 选择“报告警报通知”选项,以通知警报的日期和时间、标题、严重性、源以及目标名称和 IP 地址、可疑流量以及检测到事件的引擎。 操作 选择“添加”以添加要应用的操作,并输入所选操作所需的任何参数值。 根据需要重复添加多个操作。
有关详细信息,请参阅配置警报转发规则操作。配置完规则后,选择“保存”。 规则将列在“转发”页上。
测试已创建的规则:
- 在规则所在行中,选择
“测试此转发规则”按钮。 如果消息发送成功,则会显示成功通知。 - 请前往你的合作伙伴系统,验证是否已收到该传感器发送的信息。
- 在规则所在行中,选择
在本地管理控制台上编辑或删除转发规则
若要编辑或删除现有规则,请执行以下操作:
登录到本地管理控制台,选择左侧菜单中的“转发”。
找到规则所在的行,然后选择
“编辑”或
“删除”按钮。如果要编辑规则,请根据需要更新字段,然后选择“保存”。
如果要删除规则,请选择“确认”以确认删除。
配置警报转发规则操作
本部分介绍如何在 OT 传感器或本地管理控制台上为受支持的转发规则操作配置设置。
电子邮件地址操作
配置“电子邮件”操作,以将警报数据转发到配置的电子邮件地址。
在“操作”区域中,定义以下详细信息:
| 名称 | 说明 |
|---|---|
| Server | 选择“电子邮件”。 |
| 电子邮件 | 输入要将警报转发到的电子邮件地址。 每个规则都支持一个电子邮件地址。 |
| 时区 | 选择要在目标系统中用于警报检测的时区。 |
Syslog 服务器操作
配置 Syslog 服务器操作,以将警报数据转发到所选类型的 Syslog 服务器。
在“操作”区域中,定义以下详细信息:
| 名称 | 说明 |
|---|---|
| Server | 选择以下类型的 syslog 格式之一: - SYSLOG 服务器(CEF 格式) - SYSLOG 服务器(LEEF 格式) - SYSLOG 服务器(对象) - SYSLOG 服务器(文本消息) |
| 主机 / 端口 | 输入 syslog 服务器的主机名和端口 |
| 时区 | 选择要在目标系统中用于警报检测的时区。 |
| 协议 | 仅支持文本消息。 选择“TCP”或“UDP”。 |
| 启用加密功能 | 仅支持 CEF 格式。 打开开关以配置 TLS 加密证书文件、密钥文件和密码。 |
以下部分介绍每种格式的 syslog 输出语法。
Syslog 文本消息输出字段
| 名称 | 说明 |
|---|---|
| 优先级 | 用户。 警报 |
| 消息 | CyberX 平台名称:传感器名称。 Microsoft Defender for IoT 警报:警报的标题。 类型:警报类型。 可能是“违反协议”、“政策冲突”、“恶意软件”、“异常”或“正常工作”。 严重性:警报严重性。 可能是“警告”、“次要”、“主要”或“严重”。 源:源设备名称。 源 IP:源设备 IP 地址。 协议(可选):检测到的源协议。 地址(可选):源协议地址。 目标:目标设备名称。 目标 IP:目标设备的 IP 地址。 协议(可选):检测到的目标协议。 地址(可选):目标协议地址。 消息:警报消息。 警报组:与警报关联的警报组。 UUID(可选):警报的 UUID。 |
Syslog 对象输出字段
| 名称 | 说明 |
|---|---|
| 优先级 | User.Alert |
| 日期和时间 | Syslog 服务器计算机接收信息的日期和时间。 |
| 主机名 | 传感器 IP |
| 消息 | 传感器名称:设备名称。 警报时间:检测到警报的时间:可能与 syslog 服务器计算机的时间不同,具体取决于转发规则的时区配置。 警报标题:警报的标题。 警报消息:警报发出的消息。 警报严重性:警报的严重性:警告、次要、主要或严重。 警报类型:违反协议、政策冲突、恶意软件、异常或正常工作。 协议:警报的协议。 Source_MAC:源设备的 IP 地址、名称、供应商或操作系统。 Destination_MAC:目标设备的 IP 地址、名称、供应商或操作系统。 如果缺少数据,则该值为 N/A。 alert_group:与警报关联的警报组。 |
Syslog CEF 输出字段
| 名称 | 说明 |
|---|---|
| 优先级 | User.Alert |
| 日期和时间 | 传感器发送信息的日期和时间(UTC 格式) |
| 主机名 | 传感器主机名 |
| Message | CEF:0 Microsoft Defender for IoT/CyberX 传感器名称 传感器版本 Microsoft Defender for IoT 警报 警报标题 严重性的整数指示。 1=警告、4=次要、8=主要、10=严重。 消息= 警报消息。 协议= 警报的协议。 严重性= 警告、次要、主要或严重。 类型= 违反协议、政策冲突、恶意软件、异常或正常工作。 UUID= 警报的 UUID(可选) 开始时间= 检测到警报的时间。 可能不同于 syslog 服务器计算机的时间,具体取决于转发规则的时区配置。 src_ip= 源设备的 IP 地址。 (可选) src_mac=源设备的 MAC 地址。 (可选) dst_ip= 目标设备的 IP 地址。 (可选) dst_mac=目标设备的 MAC 地址。 (可选) cat= 与警报关联的警报组。 |
Syslog LEEF 输出字段
| 名称 | 说明 |
|---|---|
| 优先级 | User.Alert |
| 日期和时间 | 传感器发送信息的日期和时间(UTC 格式) |
| 主机名 | 传感器 IP |
| Message | 传感器名称:Microsoft Defender for IoT 设备的名称。 LEEF:1.0 Microsoft Defender for IoT 传感器 传感器版本 Microsoft Defender for IoT 警报 标题:警报标题。 消息:警报消息。 协议:警报的协议。 严重性:警告、次要、主要或严重。 类型:警报的类型:违反协议、政策冲突、恶意软件、异常或正常工作。 开始时间:警报开始时间 可能不同于 syslog 服务器计算机的时间,具体取决于时区配置。 src_ip:源设备的 IP 地址。 dst_ip:目标设备的 IP 地址。 cat:与警报关联的警报组。 |
Webhook 服务器操作
仅从本地管理控制台支持
配置“Webhook”操作以配置订阅 Defender for IoT 警报事件的集成。 例如,将警报数据发送到 Webhook 服务器以更新外部 SIEM 系统、SOAR 系统或事件管理系统。
将警报配置为转发到 Webhook 服务器并触发警报事件后,本地管理控制台会将 HTTP POST 有效负载发送到配置的 Webhook URL。
在“操作”区域中,定义以下详细信息:
| 名称 | 说明 |
|---|---|
| Server | 选择“Webhook”。 |
| URL | 输入 Webhook 服务器 URL。 |
| 键/值 | 输入键/值对以根据需要自定义 HTTP 标头。 支持的字符包括: - 键只能包含字母、数字、短划线以及下划线。 - 值只能包含一个前导空格和/或一个尾随空格。 |
Webhook 扩展
仅从本地管理控制台支持
配置 Webhook 扩展操作以将以下额外数据发送到 Webhook 服务器:
- sensorID
- sensorName
- zoneID
- zoneName
- siteID
- siteName
- sourceDeviceAddress
- destinationDeviceAddress
- remediationSteps
- handled
- additionalInformation
在“操作”区域中,定义以下详细信息:
| 名称 | 说明 |
|---|---|
| Server | 选择“Webhook 扩展”。 |
| URL | 输入终结点数据 URL。 |
| 键/值 | 输入键/值对以根据需要自定义 HTTP 标头。 支持的字符包括: - 键只能包含字母、数字、短划线以及下划线。 - 值只能包含一个前导空格和/或一个尾随空格。 |
NetWitness 操作
配置 NetWitness 操作以将警报信息发送到 NetWitness 服务器。
在“操作”区域中,定义以下详细信息:
| 名称 | 说明 |
|---|---|
| Server | 选择“NetWitness”。 |
| 主机名/端口 | 输入 NetWitness 服务器的主机名和端口。 |
| 时区 | 在 SIEM 上输入要在警报检测的时间戳中使用的时区。 |
为合作伙伴集成配置转发规则
可以将 Defender for IoT 与合作伙伴服务集成,以便将警报或设备清单信息发送到另一个安全或设备管理系统,或者与合作伙伴端防火墙通信。
合作伙伴集成有助于桥接以前孤立的安全解决方案,增强设备的可见性,并加速系统范围内的响应,从而更快地降低风险。
在这种情况下,请使用支持的“操作”输入凭据和与集成合作伙伴服务通信所需的其他信息。
有关详细信息,请参阅:
在合作伙伴服务中配置警报组
配置转发规则以将警报数据发送到 Syslog 服务器、QRadar 和 ArcSight 时,警报组会自动应用并在这些合作伙伴服务器中均可用。
警报组可帮助 SOC 团队使用这些合作伙伴解决方案根据企业安全策略和业务优先级管理警报。 例如,有关新检测的警报组织到“发现”组中,并包括有关新设备、VLAN、用户帐户、MAC 地址等的任何警报。
警报组显示在具有以下前缀的合作伙伴服务中:
| 前缀 | 合作伙伴服务 |
|---|---|
cat |
QRadarArcSightSyslog CEFSyslog LEEF |
Alert Group |
Syslog 文本消息 |
alert_group |
Syslog 对象 |
若要在集成中使用警报组,请确保将合作伙伴服务配置为显示警报组名称。
默认情况下,警报分组如下:
- 异常通信行为
- 自定义警报
- 远程访问
- 异常 HTTP 通信行为
- 发现
- 重新启动和停止命令
- 身份验证
- 固件更改
- 扫描
- 未经授权的通信行为
- 非法命令
- 传感器流量
- 带宽异常
- Internet 访问
- 可疑的恶意软件
- 缓冲区溢出
- 操作失败
- 可疑的恶意活动
- 命令失败
- 操作问题
- 配置更改
- 编程
有关详细信息和创建自定义警报组,请联系 Microsoft 支持部门。
转发规则疑难解答
如果转发警报规则未按预期工作,请检查以下详细信息:
证书验证。 Syslog CEF、Microsoft Sentinel 和 QRadar 的转发规则支持加密和证书验证。
如果 OT 传感器或本地管理控制台配置为验证证书,并且无法验证证书,则不会转发警报。
在这些情况下,传感器或本地管理控制台是会话的客户端和发起端。 证书通常是从服务器接收的,或使用非对称加密,在此加密模式下,将提供特定的证书来设置集成。
警报排除规则。 如果在本地管理控制台上配置了排除规则,传感器可能会忽略你尝试转发的警报。 有关详细信息,请参阅在本地管理控制台上创建警报排除规则。