你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

加快 OT 警报工作流

注意

标记的功能目前处于预览阶段。 Azure 预览版补充条款包含适用于 beta 版本、预览版或其他尚未正式发布的 Azure 功能的其他法律条款。

Microsoft Defender for IoT 警报通过有关网络中记录的事件的实时详细信息增强网络安全性和操作。 当 OT 网络传感器检测到网络流量出现了需要注意的变化或可疑活动时,会触发 OT 警报。

本文介绍了以下方法,用于减少团队中 OT 网络警报疲劳:

  • 从 Azure 门户创建抑制规则以减少传感器触发的警报。 如果你在空气隔离环境中工作,可通过在本地管理控制台上创建警报排除规则来实现这一点。

  • 创建警报注释,供团队添加到各个警报中,并简化所有警报之间的通信和记录保留。

  • 创建自定义警报规则,识别网络中的特定流量

先决条件

在使用本页的过程之前,请注意以下前提条件:

可以... 必须具有 ...
在 Azure 门户上创建警报抑制规则 包含至少一个云连接的 OT 传感器的 Defender for IoT 订阅,可以安全管理员参与者所有者身份访问。
在 OT 传感器上创建 DNS 允许列表 已安装 OT 网络传感器,可以默认管理员用户身份访问传感器
在 OT 传感器上创建警报注释 已安装 OT 网络传感器,可以具有管理员角色的用户身份访问传感器
在 OT 传感器上创建自定义预警规则 已安装 OT 网络传感器,可以具有管理员角色的用户身份访问传感器
在本地管理控制台上创建警报排除规则 已安装本地管理控制台,可以具有管理员角色的任何用户身份访问本地管理控制台

有关详细信息,请参阅:

抑制不相关的警报

将 OT 传感器配置为抑制网络上会触发警报的特定流量的警报。 例如,如果由特定传感器监视的所有 OT 设备都经过两天的维护过程,则可能需要定义一个规则来抑制该传感器在维护期间生成的所有警报。

  • 对于已连接云的 OT 传感器,请在 Azure 门户中创建警报抑制规则,以忽略网络上会触发警报的特定流量。

  • 对于本地托管传感器,请使用 UI 或 API 在本地管理控制台上创建警报排除规则。

重要

在 Azure 门户中配置的规则会替代在本地管理控制台上为同一传感器配置的任何规则。 如果当前在本地管理控制台上使用警报排除规则,建议先将其作为抑制规则迁移到 Azure 门户,然后再开始。

在 Azure 门户上创建警报抑制规则(公共预览版)

本部分介绍如何在 Azure 门户中创建警报抑制规则,仅支持与云连接的传感器。

若要创建警报抑制规则

  1. 在 Azure 门户上的 Defender for IoT 中,选择警报>抑制规则

  2. 在“抑制规则(预览版)”页上,选择“+ 创建”

  3. 在“创建抑制规则”窗格“详细信息”选项卡中,输入以下详细信息

    1. 从下拉列表中选择你的 Azure 订阅。

    2. 为规则输入一个有意义的名称和可选说明。

    3. 打开“已启用”让规则按配置开始运行。 还可以使此选项保持关闭状态,以便稍后才开始使用规则。

    4. 在“按时间范围抑制”区域,将“到期日期”切换为打开状态,为规则定义特定的开始和结束日期和时间。 选择“添加范围”以添加多个时间范围

    5. 在“应用于”区域中,选择是要将规则应用于订阅上的所有传感器,还是仅应用于特定站点或传感器。 如果选择“应用于自定义选择”,请选择要在其中运行规则的站点和/或传感器

      选择特定站点时,规则应用于与站点关联的所有现有和将来的传感器。

    6. 选择“下一步”并确认替代消息

  4. 在“创建抑制规则”窗格“条件”选项卡中

    1. 在“警报名称”下拉列表中,为规则选择一个或多个警报。 如果选择警报引擎的名称而不是特定规则名称,则会将规则应用于与该引擎关联的所有现有和将来的警报。

    2. (可选)通过定义其他条件进一步筛选规则,如来自特定源、指向特定目标或特定子网上的流量。 将子网指定为条件时,请注意子网指的是源设备和目标设备两者。

    3. 完成规则条件配置后,请选择“下一步”

  5. 在“创建抑制规则”窗格“查看并创建”选项卡中,查看要创建的规则的详细信息,然后选择“创建”

规则会添加到“抑制规则(预览版)”页上的抑制规则列表中。 根据需要选择要编辑或删除的规则。

提示

如果需要导出抑制规则,请从工具栏中选择“导出”按钮。 配置的所有规则都会导出到单个 CSV 文件,可在本地保存此文件。

从本地管理控制台迁移抑制规则(公共预览版)

如果当前将本地管理控制台与云连接的传感器结合使用,建议在开始创建新的抑制规则之前,将任何排除规则迁移到 Azure 门户作为抑制规则。 Azure 门户上配置的任何抑制规则将替代本地管理控制台上相同传感器的警报排除规则。

如果要导出警报排除规则并将其导入 Azure 门户

  1. 登录到本地管理控制台,然后选择“警报排除”

  2. 警报排除页上,选择导出可将规则导出到 CSV 文件。

  3. 在 Azure 门户上的 Defender for IoT 中,选择警报>抑制规则

  4. 在“抑制规则(预览版)”页上,选择“迁移本地管理器规则”,然后浏览到并选择从本地管理控制台下载的 .CSV 文件

  5. 在“迁移抑制规则”窗格中,查看要迁移的抑制规则的已上传列表,然后选择“批准迁移”

  6. 确认替代消息。

规则会添加到“抑制规则(预览版)”页上的抑制规则列表中。 根据需要选择要编辑或删除的规则。

允许 OT 网络上的 Internet 连接

通过在 OT 传感器上创建域名的允许列表,减少未经授权的 Internet 警报数。 配置 DNS 允许列表后,传感器在触发警报之前,会根据该列表检查每个未经授权的 Internet 连接尝试。 如果域的 FQDN 包含在允许列表中,则传感器不会触发警报,会自动允许流量。

所有 OT 传感器用户都可以在数据挖掘报表中查看当前配置的域列表,其中包括 FQDN、解析的 IP 地址和上次解析时间。

若要定义 DNS 允许列表,请执行以下操作:

  1. 以“管理员”用户身份登录到 OT 传感器,然后选择“支持人员”页。

  2. 在搜索框中搜索“DNS”,然后找到包含“Internet 域允许列表”说明的引擎。

  3. 为“Internet 域允许列表”行选择“编辑”。 例如:

    屏幕截图显示如何在传感器控制台中编辑 DNS 配置。

  4. 在“编辑配置”窗格>“FQDN 允许列表”字段中,输入一个或多个域名。 用逗号分隔多个域名。 传感器不会针对已配置域上未经授权的 Internet 连接尝试生成警报。

    可以在域名中的任何位置使用 * 通配符轻松地将子域添加到允许列表,而无需输入每个域,例如 *.microsoft.comteams.microsoft.*

  5. 选择“提交”以保存更改。

若要在数据挖掘报表中查看当前的允许列表,请执行以下操作:

自定义数据挖掘报表中选择类别时,请确保在“DNS”类别下选择“Internet 域允许列表”。

例如:

屏幕截图显示如何在传感器控制台中为允许列表生成自定义数据挖掘报表。

生成的数据挖掘报表显示允许的域的列表,以及正在为这些域解析的每个 IP 地址。 该报表还包括 TTL(以秒为单位),在此期间,这些 IP 地址不会触发 Internet 连接警报。

在 OT 传感器上创建警报注释

  1. 登录到 OT 传感器,然后选择“系统设置”>“网络监视”>“警报注释”。

  2. 在“警报注释”窗格的“说明”字段中,输入新注释,然后选择“添加”。 新注释随即在该字段下方的“说明”列表中显示。

    例如:

    OT 传感器上“警报注释”窗格的屏幕截图。

  3. 选择“提交”,将注释添加到传感器上每个警报中的可用注释列表中。

传感器上的每个警报中都有自定义注释,供团队成员添加。 有关详细信息,请参阅添加警报注释

在 OT 传感器上创建自定义警报规则

添加自定义警报规则,以针对网络上现成功能未涵盖的特定活动触发警报。

例如,可为运行 MODBUS 的环境添加一项规则,用于检测对特定 IP 地址和以太网目标上的内存寄存器发出的任何写入命令。

创建自定义警报规则:

  1. 登录到 OT 传感器,然后选择“自定义警报规则”>“+ 创建规则”。

  2. 在“创建自定义警报规则”窗格中,定义以下字段:

    名称 说明
    警报名称 为警报输入一个有意义的名称。
    警报协议 选择要检测的协议。
    在特定情况下,选择以下协议之一:

    - 对于数据库数据或结构操作事件,请选择“TNS”或“TDS”。
    - 对于文件事件,请根据文件类型选择“HTTP”、“DELTAV”、“SMB”或“FTP”。
    - 对于包下载事件,请选择“HTTP”。
    - 对于打开的端口(已删除)事件,请选择“TCP”或“UDP”,具体取决于端口类型。

    若要创建规则来跟踪 OT 协议之一(如 S7 或 CIP)中的特定更改,请使用在该协议中找到的任何参数,如 tagsub-function
    消息 定义触发警报时要显示的消息。 警报消息支持字母数字字符和检测到的任何流量变量。

    例如,你可能希望包含检测到的源和目标地址。 使用大括号 ({}) 将变量添加到警报消息中。
    方向 输入要检测流量的源和/或目标 IP 地址。
    条件 定义触发警报时必须满足的一个或多个条件。

    - 选择 + 符号可以创建具有多个使用 AND 运算符的条件的条件集。 只有在选择“警报协议”值后,才会启用 + 符号。
    - 如果选择 MAC 地址或 IP 地址作为变量,必须将值从点分十进制地址转换为十进制格式。

    必须至少添加一个条件才能创建自定义警报规则。
    检测范围 定义要检测的流量的日期和/或时间范围。 可以根据维护时段或设定的工作时间自定义日期和时间范围。
    操作 定义一个你希望在触发警报时 Defender for IoT 自动执行的操作。
    让 Defender for IoT 创建具有指定严重性的警报或事件。
    包含 PCAP 如果选择创建事件,请根据需要清除“包含 PCAP”选项。 如果选择创建警报,则始终包含 PCAP,并且无法移除。

    例如:

    屏幕截图显示用于创建自定义预警规则的“创建自定义预警规则”窗格。

  3. 完成后,请选择“保存”以保存规则。

编辑自定义预警规则

要编辑自定义警报规则,请选择该规则,然后选择“选项”(...) 菜单 >“编辑”。 根据需要修改警报规则,并保存所做的更改。

对自定义警报规则所做的编辑(如更改严重级别或协议)可在 OT 传感器上的“事件时间线”页中进行跟踪。

有关详细信息,请参阅跟踪传感器活动

禁用、启用或删除自定义预警规则

禁用自定义预警规则,阻止它们运行,而不完全删除它们。

在“自定义警报规则”页中,选择一个或多个规则,然后根据需要在工具栏中选择“禁用”、“启用”或“删除”。

在本地管理控制台上创建警报排除规则

创建警报排除规则,指示传感器忽略网络上的特定流量,否则这些流量会触发警报。

例如,如果知道特定传感器监视的所有 OT 设备将要经历为期两天的维护过程,则可以定义一个排除规则,指示 Defender for IoT 在预定义的时段内取消此传感器检测到的警报。

若要创建警报排除规则,请执行以下操作:

  1. 登录到本地管理控制台,选择左侧菜单中的“警报排除”。

  2. 在“警报排除”页上,选择右上角的 + 按钮添加新规则。

  3. 在“创建排除规则”对话框中,输入以下详细信息:

    名称 说明
    名称 为规则输入一个有意义的名称。 该名称不能包含引号 (")。
    按时间段 选择一个时区以及希望排除规则处于激活状态的特定时间段,然后选择“添加”。

    使用此选项可为不同时区创建单独的规则。 例如,你可能需要在三个不同时区中的 8:00 AM 至 10:00 AM 应用某个排除规则。 在这种情况下,请单独创建使用相同时段和相关时区的三个排除规则。
    按设备地址 选择并输入以下值,然后选择“添加”

    - 选择指定的设备是源设备、目标设备还是兼为源设备和目标设备。
    - 选择地址是 IP 地址、MAC 地址还是子网
    - 输入 IP 地址、MAC 地址或子网的值。
    按警报标题 选择要添加到排除规则的一个或多个警报,然后选择“添加”。 若要查找警报标题,请输入整个或部分警报标题,然后从下拉列表中选择所需标题。
    按传感器名称 选择要添加到排除规则的一个或多个传感器,然后选择“添加”。 若要查找传感器名称,请输入整个或部分传感器名称,然后从下拉列表中选择所需名称。

    重要

    警报排除规则基于 AND,这意味着只有满足所有规则条件时才会排除警报。 如果未定义规则条件,则改规则条件将包括所有选项。 例如,如果未在规则中定义传感器名称,该规则将应用于所有传感器。

    对话框的底部会显示规则参数的摘要。

  4. 检查“创建排除规则”对话框底部显示的规则摘要,然后选择“保存”

通过 API 创建警报排除规则

使用 Defender for IoT API 创建来自外部票证系统或其他管理网络维护过程的系统的警报排除规则。

使用 maintenanceWindow(创建警报排除)API 来定义应用规则的传感器、分析引擎、开始时间和结束时间。 通过 API 创建的排除规则在本地管理控制台中显示为只读。

有关详细信息,请参阅 Defender for IoT API 参考

后续步骤