從 Azure 入口網站檢視及管理警示
適用於 IoT 的 Microsoft Defender 警示會藉助您網路中所記錄事件的即時詳細資料,來增強您的網路安全性和作業。 本文說明如何在 Azure 入口網站上管理適用於 IoT 的 Microsoft Defender 警示,包括 OT 和企業 IoT 網路感應器所產生的警示。
在 OT 網路感應器主控台或連線的內部部署管理控制台上也可提供 OT 警示
與 Microsoft Sentinel 整合,以檢視 Microsoft Sentinel 中適用於 IoT 的 Defender 警示,並將其與安全性事件一起管理。
如果您已在 Microsoft Defender XDR 中開啟企業 IoT 安全性,則適用於端點的 Microsoft Defender 偵測到的企業 IoT 裝置警示僅可在適用於端點的 Defender 中使用。
如需詳細資訊,請參閱保護企業的 IoT 裝置,以及 Microsoft Defender XDR 中的警示佇列。
必要條件
若要在適用於 IoT 的 Defender 中擁有警示,您必須將 OT 上線,以及串流至適用於 IoT 的 Defender 的網路資料流。
若要在 Azure 入口網站上檢視警示,您必須能夠以 [安全性讀取者]、[安全性系統管理員]、[參與者] 或 [擁有者] 的身分進行存取
若要在 Azure 入口網站上管理警示,您必須能夠以 [安全性系統管理員]、[參與者] 或 [擁有者] 的身分進行存取。 警示管理活動包括修改其狀態或嚴重性、學習警示、存取 PCAP 資料,或使用警示歸併規則。
如需詳細資訊,請參閱適用於 IoT 的 Defender 的 Azure 使用者角色和權限。
在 Azure 入口網站上檢視警示
在 Azure 入口網站上的 適用於 IoT 的 Defender 中,選取左側的 [警示] 頁面。 根據預設,方格中會顯示下列詳細資料:
資料行 描述 嚴重性 感應器指派的預先定義警示嚴重性,您可以視需要進行修改。 名稱 警示標題。 站台 與偵測到警示之感應器相關聯的網站,如 [網站與感應器] 頁面上所列。 引擎 適用於 IoT 的 Defender 偵測引擎,可偵測活動並觸發警示。
附註:Micro-agent 的值表示事件是由適用於 IoT 的 Defender 裝置產生器平台觸發。上次偵測 上次偵測到警示的時間。
- 若警示狀態為 [新增],且再次顯示相同的流量,則會針對相同的警示更新上次偵測時間。
- 若警示狀態為 [已關閉],且再次顯示流量,則「不會」更新上次偵測時間,並會觸發新的警示。
附註:雖然感應器主控台即時顯示警示的 [上次偵測] 欄位,但 Azure 入口網站中適用於 IoT 的 Defender 最多可能需要一小時才能顯示更新的時間。 這說明感應器主控台中上次偵測時間與 Azure 入口網站中上次偵測時間不同的情況。狀態 警示狀態:[新增]、[作用中]、[已關閉]
如需詳細資訊,請參閱警示狀態和分級選項。來源裝置 IP 位址、MAC 位址或觸發警示流量來源的裝置名稱。 策略 MITRE ATT&CK 階段。 若要檢視詳細資料,請選取
[編輯資料行] 按鈕。在右側的 [編輯資料行] 窗格中,選取 [新增資料行] 和下列任何一個額外資料行:
資料行 描述 來源裝置位址 來源裝置的 IP 位址。 目的地裝置位址 目的地裝置的 IP 位址。 目的地裝置 目的地 IP 或 MAC 位址,或目的地裝置名稱。 第一次偵測 網路中第一次偵測到警示的時間。 Id 唯一警示識別碼,與感應器主控台上的識別碼相符。
注意:如果警示與偵測到相同警示感應器的其他警示合併,則 Azure 入口網站會顯示第一個產生警示感應器的警示識別碼。上次活動 上次變更警示的時間,包括手動更新嚴重性或狀態,或是自動變更裝置更新或刪除重複的裝置/警示 通訊協定 警示的網路流量中偵測到的通訊協定。 Sensor 偵測到警示的感應器。 區域 指派給偵測到警示的感應器的區域。 類別 與警示相關聯的類別,例如作業問題、自訂警示,或不合法的命令。 類型 警示的內部名稱。
提示
如果您看到的警示超出預期,您可能需要建立歸併規則,以防止合法的網路活動觸發警示。 如需詳細資訊,請參閱隱藏不相關的警示。
篩選顯示的警示
使用 [搜尋] 方塊、[時間範圍] 和 [新增篩選] 選項,篩選特定參數所顯示的警示,或協助找出特定警示。
例如,依 [類別] 篩選警示:
顯示的群組警示
使用右上方的 [分組依據] 功能表,根據特定參數將格線摺疊成子區段。
例如,當格線上方顯示警示總數時,您可能需要更具體的警示計數明細資訊,例如具有特定嚴重性、通訊協定或網站的警示數目。
支援的分組選項包括 [引擎]、[名稱]、[感應器]、[嚴重性] 和 [網站]。
檢視詳細資料並補救特定警示
在 [警示] 頁面上,選取方格中的警示,以在右側窗格中顯示更多詳細資料。 [警示詳細資料] 窗格包含警示描述、流量來源和目的地等等。
選取 [檢視完整詳細資料] 以進一步深入鑽研。 例如:
[警示詳細資料] 頁面提供更多關於警示的詳細資料,而 [採取動作] 索引標籤上提供一組補救步驟。例如:
管理警示嚴重性和狀態
建議您在分級警示後立即更新 Azure 入口網站中適用於 IoT 的 Defender 警示嚴重性,以便可以儘快排定風險最高的警示優先順序。 請務必在採取補救步驟後更新您的警示狀態,以便記錄進度。
您可以更新單一警示或選取大量警示的嚴重性和狀態。
學習警示,以對適用於 IoT 的 Defender 指出偵測到的網路流量已獲授權。 下次在您的網路上偵測到相同的流量時,就不會再次觸發已學習過的警示。 只有選取的警示才支援學習,而僅從 OT 網路感應器支援未學習。
如需詳細資訊,請參閱警示狀態和分級選項。
若要管理單一警示:
- 在 Azure 入口網站中適用於 IoT 的 Defender 中,選取左側的 [警示] 頁面,然後在方格中選取警示。
- 在右側的詳細資料窗格或在警示詳細資料頁面中,選取新的狀態和/或嚴重性。
若要大量管理多個警示:
- 在 Azure 入口網站中適用於 IoT 的 Defender 中,選取左側的 [警示] 頁面,然後在您要修改的方格中選取警示。
- 使用工具列中的
[變更狀態] 和/或 
[變更嚴重性] 選項,更新所選全部警示的狀態和/或嚴重性。
若要了解一或多個警示:
在 Azure 入口網站中適用於 IoT 的 Defender 中,選取左側的 [警示] 頁面,然後執行下列其中之一:
- 在方格中選取一或多個可學習的警示,然後在工具列中選取
[學習]。 - 在可學習警示的警示詳細資料頁面上 [採取動作] 索引標籤中,選取 [學習]。
- 在方格中選取一或多個可學習的警示,然後在工具列中選取
存取警示 PCAP 資料
您在調查中可能需要存取原始流量檔案,也稱為封包擷取檔案,或 PCAP 檔案。 如果您是 SOC 或 OT 安全性工程師,請直接從 Azure 入口網站存取 PCAP 檔案,以協助您更快速進行調查。
若要存取警示的原始流量檔案 ,請選取警示詳細資料頁面左上角的 [下載 PCAP]。
例如:
入口網站會向偵測到警示的感應器要求檔案,並將該檔案下載到您的 Azure 儲存體。
視感應器的連線品質而定,下載 PCAP 檔案可能會需要幾分鐘的時間。
將警示匯出成 CSV 檔案
您可能需要將警示選取範圍匯出成 CSV 檔案,以供離線共用和報告。
在 Azure 入口網站上的 適用於 IoT 的 Defender 中,選取左側的 [警示] 頁面。
使用搜尋方塊和篩選選項,以僅顯示您要匯出的警示。
在方格上方的工具列中,選取 [匯出]>[確認]。
系統會產生檔案,並提示您將其儲存在本機。
下一步
意見反映
即將推出:我們會在 2024 年淘汰 GitHub 問題,並以全新的意見反應系統取代並作為內容意見反應的渠道。 如需更多資訊,請參閱:https://aka.ms/ContentUserFeedback。
提交及檢視以下的意見反映: