轉送內部部署 OT 警示資訊
適用於 IoT 的 Microsoft Defender 警示會藉助您網路中所記錄事件的即時詳細資料來增強您的網路安全性和作業。 當 OT 網路感應器在需要注意的網路流量中偵測到變更或可疑活動時,就會觸發 OT 警示。
本文說明如何設定 OT 感應器或內部部署管理主控台,將警示轉送給合作夥伴服務、syslog 伺服器、電子郵件地址等等。 轉送的警示資訊包含詳細資料,例如:
- 警示的日期和時間
- 偵測到事件的引擎
- 警示標題和描述性訊息
- 警示嚴重性
- 來源和目的地名稱和 IP 位址
- 偵測到可疑的流量
- 已中斷連線的感應器
- 遠端備份失敗項目
注意
轉送警示規則只會在建立轉送規則之後觸發的警示上執行。 在建立轉送規則之前,系統中已有的警示不會受到規則的影響。
必要條件
依據您想要建立轉送警示規則的位置而定,您必須已安裝 OT 網路感應器或內部部署管理主控台,且具有系統管理員使用者的存取權。
如需詳細資訊,請參閱安裝 OT 無代理程式監視軟體和使用適用於 IoT 的 Defender 進行 OT 監視的內部部署使用者和角色。
您也需要在 OT 感應器或內部部署管理主控台上定義 SMTP 設定。
如需詳細資訊,請參閱在 OT 感應器上設定 SMTP 郵件伺服器設定和在內部部署管理主控台上設定 SMTP 郵件伺服器設定。
在 OT 感應器上建立轉送規則
登入 OT 感應器,然後選取左側功能表上的 [轉送] > [+ 建立新規則]。
在 [新增轉送規則] 窗格中,輸入有意義的規則名稱,然後定義規則條件和動作,如下所示:
名稱 描述 最小警示等級 選取您想要轉送的最小警示嚴重性層級。
例如,如果選取 [次要],則會轉送次要警示以及高於此嚴重性層級的任何警示。任何偵測到的通訊協定 切換開啟以轉送來自所有通訊協定流量的警示,或切換關閉並選取您想要包含的特定通訊協定。 任何引擎偵測到的流量 切換開啟以轉送來自所有分析引擎的警示,或切換關閉並選取您想要包含的特定引擎。 動作 選取您要轉送警示的伺服器類型,然後定義該伺服器類型的任何其他必要資訊。
若要將多部伺服器新增至相同的規則,請選取 [+ 新增伺服器] 並新增更多詳細資料。
如需詳細資訊,請參閱設定警示轉送規則動作。當您完成設定規則時,請選取 [儲存]。 規則會列在 [轉送] 頁面上。
測試您已建立的規則:
- 選取規則的選項功能表 (...) > [傳送測試訊息]。
- 前往目標服務,確認已收到感應器所傳送的資訊。
在 OT 感應器上編輯或刪除轉送規則
若要編輯或刪除現有規則:
登入您的 OT 感應器主控台,然後選取左側功能表上的 [轉送]。
選取規則的選項功能表 (...),然後執行下列其中一項:
選取 [編輯] 並視需要更新欄位。 完成時,選取儲存。
選取 [刪除] > [是] 確認刪除。
在內部部署管理主控台上建立轉送規則
若要在管理主控台上建立轉送規則:
登入內部部署管理主控台,然後選取左側功能表上的 [轉送]。
選取右上角的 + 按鈕,以建立新規則。
在 [建立轉送規則] 視窗中,輸入有意義的規則名稱,然後定義規則條件和動作,如下所示:
名稱 描述 最小警示等級 在對話方塊右上角,使用下拉式清單選取您想要轉寄的最小警示嚴重性層級。
例如,如果選取 [次要],則會轉送次要警示以及高於此嚴重性層級的任何警示。通訊協定 選取 [所有] 以轉送來自所有通訊協定流量的警示,或選取 [特定] 僅新增特定通訊協定。 引擎 選取 [所有] 以轉送所有感應器分析引擎觸發的警示,或選取 [特定] 僅新增特定引擎。 系統通知 選取 [報告系統通知] 選項,以通知已中斷連線的感應器或遠端備份失敗。 警示通知 選取 [報告警示通知] 選項以通知警示的日期和時間、標題、嚴重性、來源和目的地名稱與 IP 位址、可疑流量,以及偵測事件的引擎。 動作 選取 [新增] 以新增要套用的動作,並針對所選取動作輸入所需的任何參數值。 視需要重複以新增多個動作。
如需詳細資訊,請參閱設定警示轉送規則動作。當您完成設定規則時,請選取 [儲存]。 規則會列在 [轉送] 頁面上。
測試您已建立的規則:
- 在規則的資料列上,選取 [
測試此轉送規則] 按鈕。 如果成功傳送訊息,就會顯示成功通知。 - 前往您的合作夥伴系統,確認已收到感應器所傳送的資訊。
- 在規則的資料列上,選取 [
在內部部署管理主控台上編輯或刪除轉送規則
若要編輯或刪除現有規則:
登入您的內部部署管理主控台,然後選取左側功能表上的 [轉送]。
尋找規則的資料列,然後選取 [
編輯] 或 [
刪除] 按鈕。如果您要編輯規則,視需要更新欄位然後選取 [儲存]。
如果您要刪除規則,請選取 [確認] 以確認刪除。
設定警示轉送規則動作
本節描述如何在 OT 感應器或內部部署管理主控台上設定支援的轉送規則動作設定。
電子郵件地址動作
設定 [電子郵件] 動作,以將警示資料轉送至設定的電子郵件地址。
在 [動作] 區域中,輸入下列詳細資料:
| 名稱 | 描述 |
|---|---|
| Server | 選取電子郵件。 |
| 輸入您要轉送警示的電子郵件地址。 每個規則支援單一電子郵件地址。 | |
| 時區 | 選取您想要用於目標系統中警示偵測的時區。 |
Syslog 伺服器動作
設定 Syslog 伺服器動作,將警示資料轉送至選取的 Syslog 伺服器類型。
在 [動作] 區域中,輸入下列詳細資料:
| 名稱 | 描述 |
|---|---|
| Server | 請選取下列其中一種 syslog 格式類型: - SYSLOG 伺服器 (CEF 格式) - SYSLOG 伺服器 (LEEF 格式) - SYSLOG 伺服器 (物件) - SYSLOG 伺服器 (文字簡訊) |
| 主機 / 連接埠 | 輸入 syslog 伺服器的主機名稱和連接埠 |
| 時區 | 選取您想要用於目標系統中警示偵測的時區。 |
| 通訊協定 | 僅支援簡訊。 選取 [TCP] 或 [UDP]。 |
| 啟用加密 | 僅支援 CEF 格式。 切換開啟以設定 TLS 加密憑證檔案、金鑰檔案和複雜密碼。 |
下列各節描述每個格式的 syslog 輸出語法。
Syslog 文字簡訊輸出欄位
| 名稱 | 描述 |
|---|---|
| 優先順序 | 使用者。 警示 |
| 訊息 | CyberX 平台名稱:感應器名稱。 適用於 IoT 的 Microsoft Defender 警示:警示的標題。 類型:警示的類型。 可以是通訊協定違規、原則違規、惡意程式碼、異常或操作。 嚴重性:警示的嚴重性。 可以是警告、次要、主要或重大。 來源:來源裝置名稱。 來源 IP:來源裝置 IP 位址。 通訊協定 (選擇性):偵測到的來源通訊協定。 位址 (選擇性):來源通訊協定位址。 目的地:目的地裝置名稱。 目的地 IP:目的地裝置的 IP 位址。 通訊協定 (選擇性):偵測到的目的地通訊協定。 位址 (選擇性):目的地通訊協定位址。 訊息:警示的訊息。 警示群組:與警示相關聯的警示群組。 UUID (選擇性):警示的 UUID。 |
Syslog 物件輸出欄位
| 名稱 | 描述 |
|---|---|
| 優先順序 | User.Alert |
| 日期與時間 | syslog 伺服器電腦收到資訊的日期和時間。 |
| 主機名稱 | 感應器 IP |
| 訊息 | 感應器名稱:設備的名稱。 警示時間:偵測到警示的時間:可能會因 syslog 伺服器電腦的時間而有所不同,而且取決於轉寄規則的時區設定而異。 警示標題:警示的標題。 警示訊息:警示的訊息。 警示嚴重性:警示的嚴重性:警告、次要、主要或重大。 警告類型:通訊協定違規、原則違規、惡意程式碼、異常或操作。 通訊協定:警示的通訊協定。 Source_MAC:來源裝置的 IP 位址、名稱、廠商或作業系統。 Destination_MAC:目的地的 IP 位址、名稱、廠商或作業系統。 如果遺漏資料,此值會是 [N/A]。 alert_group:與警示相關聯的警示群組。 |
Syslog CEF 輸出欄位
| 名稱 | 描述 |
|---|---|
| 優先順序 | User.Alert |
| 日期和時間 | 感應器傳送資訊的日期和時間,格式為 UTC |
| 主機名稱 | 感應器主機名稱 |
| 訊息 | CEF:0 適用於 IoT/CyberX 的 Microsoft Defender 感應器名稱 感應器版本 適用於 IoT 的 Microsoft Defender 的警示 警示標題 嚴重性整數指示。 1=警告、4=次要、8=主要,或 10=危急。 msg= 警示的訊息。 protocol= 警示的通訊協定。 severity= 警告、次要、主要或危急。 type= 通訊協定違規、原則違規、惡意程式碼、異常或操作。 UUID= 警示的 UUID (選擇性) start= 偵測到警示的時間。 可能會因 syslog 伺服器電腦的時間而有所不同,而且取決於轉寄規則的時區設定而異。 src_ip= 來源裝置的 IP 位址。 (選用) src_mac= 來源裝置的 MAC 位址。 (選用) dst_ip= 目的地裝置的 IP 位址。 (選擇性) src_mac= 來源裝置的 MAC 位址。 (選擇性) cat= 與警示相關聯的警示群組。 |
Syslog LEEF 輸出欄位
| 名稱 | 描述 |
|---|---|
| 優先順序 | User.Alert |
| 日期和時間 | 感應器傳送資訊的日期和時間,格式為 UTC |
| 主機名稱 | 感應器 IP |
| 訊息 | 感應器名稱:適用於 IoT 的 Microsoft Defender 設備的名稱。 LEEF:1.0 適用於 IoT 的 Microsoft Defender 感應器 感應器版本 適用於 IoT 的 Microsoft Defender 的警示 標題:警示的標題。 msg:警示的訊息。 通訊協定:警示的通訊協定。 嚴重性:警告、次要、主要或重大。 類型:警告的類型:通訊協定違規、原則違規、惡意程式碼、異常或操作。 啟動:警示的時間。 可能會因 syslog 伺服器電腦的時間而有所不同,而且取決於時區設定。 src_ip:來源裝置的 IP 位址。 dst_ip:目的地裝置的 IP 位址。 cat:與警示相關聯的警示群組。 |
Webhook 伺服器動作
僅支援從內部部署管理主控台
設定 Webhook 動作,以設定訂閱適用於 IoT 的 Defender 警示事件的整合。 例如,將警示資料傳送至 Webhook 伺服器,以更新外部 SIEM 系統、SOAR 系統或事件管理系統。
當您將警示設定為轉送至 Webhook 伺服器並觸發警示事件時,內部部署管理主控台會將 HTTP POST 承載傳送至已設定的 Webhook URL。
在 [動作] 區域中,輸入下列詳細資料:
| 名稱 | 描述 |
|---|---|
| Server | 選取 [Webhook]。 |
| URL | 輸入 Webhook 伺服器 URL。 |
| 索引鍵/值 | 輸入索引鍵/值組,視需要自訂 HTTP 標頭。 支援的字元包括: - 索引鍵只能包括字母、數字、虛線及底線。 - 值只能包括一個前置和/或一個後置空格。 |
擴充的 Webhook
僅支援從內部部署管理主控台
設定 [擴充的 Webhook] 動作,將下列額外資料傳送至您的 Webhook 伺服器:
- sensorID
- sensorName
- zoneID
- zoneName
- siteID
- siteName
- sourceDeviceAddress
- destinationDeviceAddress
- remediationSteps
- handled
- additionalInformation
在 [動作] 區域中,輸入下列詳細資料:
| 名稱 | 描述 |
|---|---|
| Server | 選取 [擴充的 Webhook]。 |
| URL | 輸入端點資料 URL。 |
| 索引鍵/值 | 輸入索引鍵/值組,視需要自訂 HTTP 標頭。 支援的字元包括: - 索引鍵只能包括字母、數字、虛線及底線。 - 值只能包括一個前置和/或一個後置空格。 |
NetWitness 動作
設定 [NetWitness] 動作,將警示資訊傳送至 NetWitness 伺服器。
在 [動作] 區域中,輸入下列詳細資料:
| 名稱 | 描述 |
|---|---|
| Server | 選取 [NetWitness]。 |
| 主機名稱/連接埠 | 輸入 NetWitness 伺服器的主機名稱和連接埠。 |
| 時區 | 輸入您想要在 SIEM 上警示偵測的時間戳記中使用的時區。 |
設定合作夥伴整合的轉送規則
您可以將適用於 IoT 的 Defender 與合作夥伴服務整合,將警示或裝置清查資訊傳送到另一個安全性或裝置管理系統,或與合作夥伴端防火牆通訊。
合作夥伴整合可協助橋接先前的孤立安全性解決方案、增強裝置可見度,並加速全系統回應,以更快速地降低風險。
在這種情況下,使用支援的 [動作] 來輸入與整合合作夥伴服務通訊所需的認證和其他資訊。
如需詳細資訊,請參閱
在合作夥伴服務中設定警示群組
當您設定轉送規則以將警示資料傳送至 Syslog 伺服器、QRadar 和 ArcSight 時,會自動套用警示群組,而且可在這些合作夥伴伺服器中使用。
警示群組可協助使用這些合作夥伴解決方案的 SOC 小組,根據企業安全性原則和商業優先順序來管理警示。 例如,關於新偵測的警示會組織成探索群組,其中包含有關新裝置、VLAN、使用者帳戶、MAC 位址等項目的任何警示。
警示群組會出現在具有下列前置詞的合作夥伴服務中:
| Prefix | 合作夥伴服務 |
|---|---|
cat |
QRadar、ArcSight、Syslog CEF、Syslog LEEF |
Alert Group |
Syslog 簡訊 |
alert_group |
Syslog 物件 |
若要在整合中使用警示群組,請務必設定合作夥伴服務以顯示警示群組名稱。
根據預設,警示會分組如下:
- 異常通訊行為
- 自訂警示
- 遠端存取
- 異常 HTTP 通訊行為
- 探索
- 重新開機和停止命令
- 驗證
- 韌體變更
- 掃描
- 未經授權的通訊行為
- 不合法的命令
- 感應器流量
- 頻寬異常
- 網際網路存取
- 惡意程式碼的疑慮
- 緩衝區溢位
- 作業失敗
- 惡意活動的疑慮
- 命令失敗
- 作業問題
- 組態變更
- 程式設計
如需詳細資訊以及建立自訂警示群組,請連絡 Microsoft 支援服務。
針對轉送規則進行疑難排解
如果您的轉送警示規則未如預期般運作,請檢查下列詳細資料:
憑證驗證。 Syslog CEF、Microsoft Sentinel 和 QRadar 的轉送規則支援加密和憑證驗證。
如果您的 OT 感應器或內部部署管理主控台設定為驗證憑證卻無法驗證憑證,則不會轉送警示。
在這些情況下,感應器或內部部署管理主控台是工作階段的用戶端和啟動器。 憑證通常是從伺服器接收,或使用提供特定憑證來設定整合的非對稱式加密。
警示排除規則。 如果您的內部部署管理主控台上已設定排除規則,您的感應器可能會忽略您嘗試轉送的警示。 如需詳細資訊,請參閱在內部部署管理主控台上建立警示排除規則。