调查事件和警报

Microsoft Defender 门户中的 Microsoft Defender for IoT 显示事件和警报,这些事件和警报通过有关操作技术 (OT) 网络记录的事件的实时详细信息来增强网络安全和操作。

警报是所有事件的基础,指示环境中出现恶意或可疑事件。 在事件中,可以分析影响网络的警报,了解其含义,并整理证据,以便制定有效的修正计划。

在 Defender 门户中详细了解 警报事件

本文介绍如何调查 Microsoft Defender for IoT 事件及其关联的警报,以及如何修正警报引发的安全问题。

事件 ”页中的警报将 IT 和 OT 环境信号唯一地组合在一起,以检测潜在的威胁和数据泄漏。 “ 事件 ”页显示:

  • 连接到事件的警报的历史记录和事件图。 该图显示连接到受影响的 OT 设备的其他设备,这些设备也可能遭到入侵。
  • 警报说明,说明检测到的安全问题的类型。
  • 用于解决安全问题的修正选项。

注意

Defender for IoT 的事件和警报数据仅在你设置了站点且设备将数据发送到 Defender 门户后才会显示。 了解如何 设置网站

重要

本文讨论 Defender 门户中 (预览版) Microsoft Defender for IoT。

如果你是使用 经典 Defender for IoT 门户 (Azure 门户) 的现有客户,请参阅 Azure 上的 Defender for IoT 文档

详细了解 Defender for IoT 管理门户

本文中的某些信息与预发行的产品有关,该产品在商业发布之前可能有重大修改。 Microsoft 对此处所提供的信息不作任何明示或默示的保证。

调查警报

调查警报:

  1. “Microsoft Defender 门户 ”菜单中,选择“ 事件 & 警报 > 事件”。

  2. 显示 OT 相关事件:

    1. 选择“ 添加筛选器”。
    2. 选择 “产品名称 ”,然后选择“ 添加”。
    3. 选择出现的“ 产品名称 ”选项卡,然后键入: Defender for IoT
    4. 选择“应用”。
  3. 找到并选择事件。

    特定事件页显示由警报时间线、事件图和事件详细信息组成的攻击事件。

  4. 从警报列表中选择一个警报。

    事件图和事件详细信息显示此警报的特定数据。

  5. “事件 ”面板中,查看信息,阅读 警报说明证据受影响的资产 ,并按照 警报建议的操作 来修正问题。

Defender for IoT 警报

Defender for IoT 生成自己的唯一警报。

名称 说明
由于设备遭到入侵,可能会对操作造成影响 与操作技术通信 (OT) 资产的受损设备。 攻击者可能试图控制或中断物理操作。

高级搜寻

使用 DeviceInfo 表中列出的 Site 属性编写高级搜寻查询。 这允许你根据特定站点筛选设备,例如,在特定站点上与恶意设备通信的所有设备。

以下查询列出了旧金山站点中具有特定 IP 地址的所有终结点设备。

DeviceInfo
|where Site == "SanFrancisco" and PublicIP == "192.168.1.1" and DeviceCategory == "Endpoint"

这与设备清单和站点安全相关。 有关详细信息,请参阅 高级搜寻高级搜寻 DeviceInfo 架构