分享方式:

加速 OT 警示工作流程

  • 文章

注意

註明的功能目前為預覽狀態。 Azure 預覽補充條款 包含適用於 Azure 功能 (搶鮮版 (Beta)、預覽版,或尚未發行的版本) 的其他法律條款。

適用於 IoT 的 Microsoft Defender 警示會藉助您網路中所記錄事件的即時詳細資料,來增強您的網路安全性和作業。 當 OT 網路感應器在需要注意的網路流量中偵測到變更或可疑活動時,就會觸發 OT 警示。

本文說明下列各種可減少小組中 OT 網路警示疲勞的方法:

  • 從 Azure 入口網站建立歸併規則,以減少感應器觸發的警示。 如果您要在實體隔離斷網的環境中工作,請在內部部署管理主控台上建立警示排除規則來執行此動作。

  • 建立警示註解,讓您的小組新增至個別警示、簡化整個警示的通訊和記錄保留。

  • 建立自訂警示規則,以識別您網路中的特定流量

必要條件

使用此頁面上的程序之前,請注意下列必要條件:

來 ... 您必須具有...
在 Azure 入口網站上建立警示歸併規則 適用於 IoT 的 Defender 訂用帳戶,須包含至少一個雲端連線 OT 感應器,並以安全性系統管理員參與者擁有者的身分存取。
在 OT 感應器上建立 DNS 允許清單 安裝 OT 網路感應器,且可以預設系統管理員使用者身分存取。
在 OT 感應器上建立警示註解 安裝 OT 網路感應器,且可以系統管理員角色身分存取感應器。
在 OT 感應器上建立自訂警示規則 安裝 OT 網路感應器,且可以系統管理員角色身分存取感應器。
在內部部署管理主控台上建立警示排除規則 安裝內部部署管理主控台,並以任何為系統管理員角色的使用者身分存取內部部署管理主控台。

如需詳細資訊,請參閱

隱藏不相關的警示

設定 OT 感應器,以隱藏網路上特定流量的警示,若未如此則會觸發警示。 例如,如果特定感應器所監視的所有 OT 裝置兩天來都在進行維護程序,您可能需要定義規則,來隱藏該感應器在維護期間所產生的所有警示。

  • 針對已連線到雲端的 OT 感應器,請在 Azure 入口網站上建立警示歸併規則,以忽略網路上的指定流量,若未如此則會觸發警示。

  • 針對本機管理的感應器,請使用 UI 或 API,在內部部署管理主控台上建立警示排除規則。

重要

在 Azure 入口網站上設定的規則會覆寫內部部署管理主控台上針對相同感應器設定的任何規則。 如果您目前在內部部署管理主控台上使用警示排除規則,建議您先將規則移轉至 Azure 入口網站做為歸併規則,然後再開始進行。

在 Azure 入口網站上建立警示歸併規則 (公開預覽)

本節說明如何在 Azure 入口網站上建立警示歸併規則,且僅支援連線到雲端的感應器。

若要建立警示歸併規則

  1. 在 Azure 入口網站的適用於 IoT 的 Defender 中,選取 [警示]>[歸併規則]

  2. 在 [歸併規則] (預覽) 頁面,選取 [建立]

  3. 在 [建立隱藏規則] 窗格中,[詳細資料] 索引標籤中,輸入下列詳細資料:

    1. 從下拉式清單中,選取 Azure 訂用帳戶。

    2. 為您的規則輸入有意義的名稱及選擇性說明。

    3. 開啟 [已啟用],讓規則開始如設定般執行。 您也可以將此選項保持關閉,以便稍後才開始使用規則。

    4. 在 [依時間範圍隱藏] 區域中,開啟 [到期日期],以定義規則的特定開始和結束日期及時間。 選取 [新增範圍] 以新增多個時間範圍。

    5. 在 [套用位置] 區域中,選取您要將規則套用至您訂用帳戶上的所有感應器,或只套用在特定網站或感應器上。 如果您選取 [套用自訂選取項目],請選取您要執行規則的網站和/或感應器。

      當您選取特定網站時,此規則會套用至與網站相關聯的所有現有和未來感應器。

    6. 選取 [下一步] 並確認覆寫訊息。

  4. 在 [建立歸併規則] 窗格中,[條件] 索引標籤:

    1. 在 [警示名稱] 下拉式清單中,選取規則的一或多個警示。 選取警示引擎的名稱 (而不是特定規則名稱) 會將規則套用至與該引擎相關聯的所有現有和未來警示。

    2. 定義其他條件來進一步選擇性地篩選規則,例如針對特定來源、特定目的地或特定子網路的流量。 將子網指定為條件時,請注意子網會同時參考來源和目的地裝置。

    3. 當您完成設定規則條件後,請選取 [下一步]

  5. 在 [建立歸併規則] 窗格中,[檢閱並建立] 索引標籤,檢閱您要建立的規則詳細資料,然後選取 [建立]

您的規則會新增至 [歸併規則 (預覽)] 頁面上的歸併規則清單。 選取規則以視需要編輯或刪除規則。

提示

如果您需要匯出歸併規則,請從工具列選取 [匯出] 按鈕。 所有設定的規則都會匯出成單一 .CSV 檔案,您可以在本機儲存該檔案。

從內部部署管理主控台移轉歸併規則 (公開預覽)

如果您目前使用內部部署管理主控台搭配連線到雲端的感應器,建議您先將任何排除規則移轉至 Azure 入口網站做為歸併規則,然後再開始建立新的歸併規則。 在 Azure 入口網站上設定的任何歸併規則都會覆寫警示排除規則,這些規則是針對內部部署管理主控台上的相同感應器所設定。

若要匯出警示排除規則,並將其匯入 Azure 入口網站

  1. 登入您的內部部署管理主控台,然後選取 [警示排除]

  2. 在 [警示排除] 頁面上,選取 [匯出] 將規則匯出成 .CSV 檔案。

  3. 在 Azure 入口網站的適用於 IoT 的 Defender 中,選取 [警示]>[歸併規則]

  4. 在 [歸併規則 (預覽)] 頁面上,選取 [移轉本機管理員規則],然後瀏覽至您從內部部署管理主控台下載的 .CSV 檔案並加以選取。

  5. 在 [移轉歸併規則] 窗格中,檢閱即將移轉的歸併規則上傳清單,然後選取 [核准移轉]

  6. 確認覆寫訊息。

您的規則會新增至 [歸併規則 (預覽)] 頁面上的歸併規則清單。 選取規則以視需要編輯或刪除規則。

在內部部署管理主控台上建立警示排除規則

我們建議只在內部部署管理控制台上針對本機受控感應器建立警示排除規則。 針對連線到雲端的感應器,在 Azure 入口網站上建立的任何歸併規則都會覆寫該感應器的內部部署管理主控台上建立的排除規則。

若要建立警示排除規則

  1. 登入您的內部部署管理主控台,然後選取左側功能表上的 [警示排除]

  2. 在 [警示排除] 頁面上,選取右上角的 [+] 按鈕以新增規則。

  3. 在 [建立排除規則] 對話框中,輸入下列詳細資料:

    名稱 描述
    名稱 為規則輸入有意義的名稱。 名稱不能包含引號 (")。
    依時間週期 選取時區,以及您要排除規則作用的特定時間週期,然後選取 [新增]

    使用此選項可針對不同時區建立不同的規則。 例如,您可能需要在三個不同的時區中套用上午 8:00 到上午 10:00 之間的排除規則。 在此情況下,請建立三個使用相同時段和相關時區的個別排除規則。
    依裝置位址 選取並輸入下列值,然後選取 [新增]

    - 選取指定的裝置為來源、目的地或是來源和目的地裝置。
    - 選取位址為 IP 位址、MAC 位址或是子網路
    - 輸入 IP 位址、MAC 位址或子網路的值。
    依警示標題 選取一或多個要新增至排除規則的警示,然後選取 [新增]。 若要尋找警示標題,請輸入全部或部分的警示標題,然後從下拉式清單中選取您想要的標題。
    依感應器名稱 選取一或多個要新增至排除規則的感應器,然後選取 [新增]。 若要尋找感應器標題,請輸入全部或部分的感應器名稱,然後從下拉式清單中選取您想要的名稱。

    重要

    警示排除規則是以 AND 為基礎,這表示僅在符合所有規則條件時才會排除警示。 如果未定義規則條件,則會包含所有選項。 例如,如果您未在規則中包含感應器的名稱,則規則會套用至所有感應器。

    規則參數的摘要會顯示在對話框底部。

  4. 檢查 [建立排除規則] 對話框底部顯示的規則摘要,然後選取 [儲存]

若要透過 API 建立警示排除規則

使用適用於 IoT 的 Defender API,從外部票證系統或其他管理網路維護流程的系統建立內部部署管理主控台警示排除規則。

使用 maintenanceWindow (建立警示排除項目) API 來定義感應器、分析引擎、開始時間和結束時間以套用規則。 透過 API 建立的排除規則會在內部部署管理主控台中顯示為唯讀。

如需詳細資訊,請參閱適用於 IoT 的 Defender API 參考

允許 OT 網路上的網際網路連線

在 OT 感應器上建立網域名稱允許清單,以減少未經授權的網際網路警示數目。 設定 DNS 允許清單時,感應器在觸發警示之前,會先檢查每個未經授權的網際網路連線嘗試。 如果網域的 FQDN 包含在允許清單中,則感應器不會自動觸發警示並允許流量。

所有 OT 感應器使用者都可以檢視目前在資料採礦報告中設定的網域清單,包括 FQDN、已解析的 IP 位址,以及上次解析時間。

若要定義 DNS 允許清單:

  1. 系統管理員使用者身分登入您的 OT 感應器,然後選取 [支援] 頁面。

  2. 在搜尋方塊中,搜尋 DNS,然後使用 [網際網路網域允許清單] 描述尋找引擎。

  3. 針對 [網際網路網域允許清單] 列選取 [編輯]。 例如:

    如何在感測器控制台中編輯 DNS 設定的螢幕快照。

  4. 在 [編輯組態] 窗格 >[FQDN 允許清單] 欄位中,輸入一或多個網域名稱。 以逗號分隔多個網域名稱。 您的感應器不會針對已設定網域上未經授權的網際網路連線嘗試產生警示。

  5. 選取 [提交] 以儲存變更。

若要在資料採礦報告中檢視目前的允許清單:

當您在自訂資料採礦報告中選取類別時,請務必在 [DNS] 類別下選取 [網際網路網域允許清單]

例如:

如何為感測器控制台中的allowlist產生自定義數據採礦報告的螢幕快照。

產生的資料採礦報告會顯示允許網域的清單,以及針對這些網域解析的每個 IP 位址。 報告也包含 TTL (以秒為單位),在此期間,這些 IP 位址不會觸發網際網路連線警示。 例如:

感測器控制台中allowlist的數據採礦報表螢幕快照。

在 OT 感應器上建立警示註解

  1. 登入 OT 感應器,然後選取 [系統設定]>[網路監視]>[警示註解]

  2. 在 [警示註解] 窗格中,於 [描述] 欄位輸入新的註解,然後選取 [新增]。 新的註解會出現在欄位下方的 [描述] 清單中。

    例如:

    OT 感測器上 [警示批注] 窗格的螢幕快照。

  3. 選取 [提交],將您的註解新增至感測器上每個警示中可用的註解清單。

您可以在感測器上的每個警示中取得自訂註解,以供小組成員新增。 如需詳細資訊,請參閱新增警示註解

在 OT 感應器上建立自訂警示規則

新增自訂警示規則,以觸發警示,提醒您網路上現成可用功能所未涵蓋的特定活動。

例如,針對執行 MODBUS 的環境,您可能需要新增一個規則,藉以偵測特定 IP 位址和乙太網路目的地上記憶體暫存器的任何寫入命令。

若要建立自訂警示規則

  1. 登入 OT 感應器,然後選取 [自訂警示規則]>[ + 建立規則]

  2. [建立自訂警示規則] 窗格中,定義下列欄位:

    名稱 描述
    警示名稱 為警示輸入有意義的名稱。
    警示通訊協定 選取您想要偵測的通訊協定。
    在特定情況下,請選取下列其中一種通訊協定:

    - 針對資料庫資料或結構操作事件,選取 [TNS] 或 [TDS]
    - 針對檔案事件,根據檔案類型選取 [HTTP]、[DELTAV]、[SMB] 或 [FTP]
    - 針對套件下載事件,選取 [HTTP]
    - 針對開啟的連接埠 (卸載) 事件,請根據連接埠類型選取 [TCP] 或 [UDP]

    若要建立規則來追蹤其中一個 OT 通訊協定中的特定變更,例如 S7 或 CIP,請使用在該通訊協定上找到的任何參數,例如 tagsub-function
    訊息 定義在觸發警示時要顯示的訊息。 警示訊息支援英數字元和偵測到的任何流量變數。

    例如,您可能想要包含偵測到的來源和目的地位址。 使用大括弧 ({}) 將變數新增至警示訊息。
    方向 輸入您想要偵測流量的來源和/或目的地 IP 位址。
    條件 定義必須符合才能觸發警示的一或多個條件。

    - 選取 + 符號以建立條件集,其中包含使用 AND 運算子的多個條件。 只有在選取 [警示通訊協定] 值之後,才會啟用 + 符號。
    - 如果您選取 MAC 位址或 IP 位址作為變數,則必須將值從小數點十進位位址轉換成十進位格式。

    您必須新增至少一個條件,才能建立自訂警示規則。
    已偵測 針對您想要偵測的流量定義日期和時間範圍。 自訂天數和時間範圍,以符合維護時數或設定工作時間。
    動作 定義您希望適用於 IoT 的 Defender 在觸發警示時自動採取的動作。
    讓適用於 IoT 的 Defender 建立具有指定嚴重性的警示或事件。
    包含 PCAP 如果您已選取建立事件,請視需要清除 [包含 PCAP] 選項。 如果您已選取建立警示,則一律會包含 PCAP,且無法加以移除。

    例如:

    用於建立自定義警示規則的 [建立自定義警示規則] 窗格螢幕快照。

  3. 完成儲存規則時,請選取 [儲存]

編輯自訂警示規則

若要編輯自訂警示規則,請選取規則,然後選取選項 ([...]) 功能表 > [編輯]。 視需要修改警示規則,並儲存變更。

對自訂警示規則所做的編輯,例如變更嚴重性層級或通訊協定,會在 OT 感應器的 [事件時間表] 頁面中追蹤。

如需詳細資訊,請參閱追蹤感應器活動

啟用、停用或刪除自訂警示規則

停用自訂警示規則,以防止其完全執行,而不加以刪除。

在 [自訂警示規則] 頁面中,選取一或多個規則,然後視需要在工具列中選取 [停用]、[啟用] 或 [刪除]

在內部部署管理主控台上建立警示排除規則

建立警示排除規則,以指示感應器忽略網路上的特定流量,若未如此則會觸發警示。

例如,如果您知道特定感應器所監視的所有 OT 裝置都會經歷兩天的維護程序,則請定義排除規則,指示適用於 IoT 的 Defender 在預先定義的期間內隱藏此感應器偵測到的警示。

若要建立警示排除規則

  1. 登入您的內部部署管理主控台,然後選取左側功能表上的 [警示排除]

  2. 在 [警示排除] 頁面上,選取右上角的 [+] 按鈕以新增規則。

  3. 在 [建立排除規則] 對話框中,輸入下列詳細資料:

    名稱 描述
    名稱 為規則輸入有意義的名稱。 名稱不能包含引號 (")。
    依時間週期 選取時區,以及您要排除規則作用的特定時間週期,然後選取 [新增]

    使用此選項可針對不同時區建立不同的規則。 例如,您可能需要在三個不同的時區中套用上午 8:00 到上午 10:00 之間的排除規則。 在此情況下,請建立三個使用相同時段和相關時區的個別排除規則。
    依裝置位址 選取並輸入下列值,然後選取 [新增]

    - 選取指定的裝置為來源、目的地或是來源和目的地裝置。
    - 選取位址為 IP 位址、MAC 位址或是子網路
    - 輸入 IP 位址、MAC 位址或子網路的值。
    依警示標題 選取一或多個要新增至排除規則的警示,然後選取 [新增]。 若要尋找警示標題,請輸入全部或部分的警示標題,然後從下拉式清單中選取您想要的標題。
    依感應器名稱 選取一或多個要新增至排除規則的感應器,然後選取 [新增]。 若要尋找感應器標題,請輸入全部或部分的感應器名稱,然後從下拉式清單中選取您想要的名稱。

    重要

    警示排除規則是以 AND 為基礎,這表示僅在符合所有規則條件時才會排除警示。 如果未定義規則條件,則會包含所有選項。 例如,如果您未在規則中包含感應器的名稱,則規則會套用至所有感應器。

    規則參數的摘要會顯示在對話框底部。

  4. 檢查 [建立排除規則] 對話框底部顯示的規則摘要,然後選取 [儲存]

透過 API 建立警示排除規則

使用適用於 IoT 的 Defender API,從外部票證系統或其他管理網路維護流程的系統建立警示排除規則。

使用 maintenanceWindow (建立警示排除項目) API 來定義感應器、分析引擎、開始時間和結束時間以套用規則。 透過 API 建立的排除規則會在內部部署管理主控台中顯示為唯讀。

如需詳細資訊,請參閱適用於 IoT 的 Defender API 參考

下一步

適用於 IoT 的 Microsoft Defender 警示