檢視和管理 OT 感應器上的警示
適用於 IoT 的 Microsoft Defender 警示會藉助您網路中所記錄事件的即時詳細資料,來增強您的網路安全性和作業。 當 OT 網路感應器在需要注意的網路流量中偵測到變更或可疑活動時,就會觸發 OT 警示。
本文說明如何在 OT 網路感應器上直接檢視適用於 IoT 的 Defender 警示。 您也可以在 Azure 入口網站或內部部署管理主控台上檢視 OT 警示。
如需詳細資訊,請參閱適用於 IoT 的 Microsoft Defender 警示。
必要條件
若要在 OT 感應器上顯示警示,則必須為感應器設定 SPAN 連接埠,並安裝適用於 IoT 的 Defender 監視軟體。 如需詳細資訊,請參閱安裝 OT 代理程式監視軟體。
若要檢視 OT 感測器上的警示,請以系統管理員、安全性分析師或檢視人員使用者身分登入您的感應器。
若要管理 OT 感測器上的警示,請以系統管理員或安全性分析師使用者身分登入您的感應器。 警示管理活動包括修改其狀態或嚴重性,學習警示、將其靜音、存取 PCAP 資料,或將預先定義的註解新增至警示。
如需詳細資訊,請參閱使用適用於 IoT 的 Defender 進行 OT 監視的內部部署使用者和角色 (部分機器翻譯)。
檢視 OT 感應器上的警示
登入您的 OT 感應器主控台,然後選取左側的 [警示] 頁面。
根據預設,方格中會顯示下列詳細資料:
名稱 描述 嚴重性 感應器指派的預先定義警示嚴重性,您可以視需要修改,包括:危急、重大、次要、警告。 名稱 警示標題 引擎 適用於 IoT 的 Defender 偵測引擎,可偵測活動並觸發警示。 上次偵測 上次偵測到警示的時間。
- 若警示狀態為 [新增],且再次顯示相同的流量,則會針對相同的警示更新上次偵測時間。
- 若警示狀態為 [已關閉],且再次顯示流量,則「不會」更新上次偵測時間,並會觸發新的警示。
附註:雖然感應器主控台即時顯示警示的 [上次偵測] 欄位,但 Azure 入口網站中適用於 IoT 的 Defender 最多可能需要一小時才能顯示更新的時間。 這說明感應器主控台中上次偵測時間與 Azure 入口網站中上次偵測時間不同的情況。狀態 警示狀態:[新增]、[作用中]、[已關閉]
如需詳細資訊,請參閱警示狀態和分級選項。來源裝置 來源裝置 IP 位址、MAC 或裝置名稱。 Id 唯一警示識別碼,與 Azure 入口網站上的識別碼相符。
注意:如果警示與偵測到相同警示感應器的其他警示合併,則 Azure 入口網站會顯示第一個產生警示感應器的警示識別碼。若要檢視詳細資料,請選取
[編輯資料行] 按鈕。在右側的 [編輯資料行] 窗格中,選取 [新增資料行] 和下列任何一個額外資料行:
名稱 描述 目的地裝置 目的地裝置 IP 位址。 第一次偵測 第一次偵測到警示活動。 識別碼 警示識別碼。 上次活動 上次變更警示的時間,包括手動更新嚴重性或狀態,或是自動變更裝置更新或刪除重複的裝置/警示
篩選顯示的警示
使用 [搜尋] 方塊、[時間範圍] 和 [新增篩選] 選項,篩選特定參數所顯示的警示,或協助找出特定警示。
例如:
![[OT 感測器警示] 頁面的螢幕快照,由群組篩選。](media/how-to-view-alerts/filter-alerts-groups.png)
依 [群組] 篩選警示,會使用您在 [裝置詳細目錄] 或 [裝置對應] 頁面中建立的任何自訂群組。
顯示的群組警示
使用右上方的 [分組依據] 功能表,根據 [嚴重性]、[名稱]、[引擎] 或 [狀態],將方格摺疊為子區段。
例如,當格線上方顯示警示總數時,您可能會想要更具體的警示計數明細資訊,例如具有特定嚴重性或狀態的警示數目。
檢視詳細資料並補救特定警示
登入 OT 感應器主控台,然後選取左側功能表上的 [警示]。
選取方格中的警示,以在右側窗格中顯示更多詳細資料。 [警示詳細資料] 窗格包含警示描述、流量來源和目的地等等。 選取 [檢視完整詳細資料] 以進一步深入鑽研。 例如:
![從 OT 感測器的 [警示] 頁面選取的警示螢幕快照。](media/alerts/alerts-on-sensor.png)
[警示詳細資料] 頁面提供更多關於警示的詳細資料,而 [採取動作] 索引標籤上提供一組補救步驟。
使用下列索引標籤來取得與內容更為相關的深入解析:
對應檢視。 在地圖檢視中檢視來源和目的地裝置,以及與感應器連線的其他裝置。
事件時間軸。 檢視事件與其他相關裝置上的其他最近活動。 篩選選項以自訂顯示的資料。 例如:
管理警示狀態和分級警示
請務必在採取補救步驟後更新您的警示狀態,以便記錄進度。 您可以更新單一警示或選取大量警示的狀態。
學習警示,以對適用於 IoT 的 Defender 指出偵測到的網路流量已獲授權。 下次在您的網路上偵測到相同的流量時,就不會再次觸發已學習過的警示。 當學習無法使用,而且您想要忽略網路上的特定案例時,請將警示靜音。
如需詳細資訊,請參閱警示狀態和分級選項。
若要管理警示狀態:
登入您的 OT 感應器主控台,然後選取左側的 [警示] 頁面。
在要更新其狀態的方格中選取一或多個警示。
使用工具列
[變更狀態] 按鈕或右側詳細資料窗格中的 [狀態] 選項來更新警示狀態。警示詳細資料頁面上也提供
[狀態] 選項。
若要了解一或多個警示:
登入您的 OT 感應器主控台,然後選取左側的 [警示] 頁面,接著執行下列其中一項動作:
- 在方格中選取一或多個可學習的警示,然後在工具列中選取
[學習]。 - 在警示詳細資料頁面上的 [採取動作] 索引標籤中,選取 [學習]。
- 在方格中選取一或多個可學習的警示,然後在工具列中選取
若要將警示靜音:
- 登入您的 OT 感應器主控台,然後選取左側的 [警示] 頁面。
- 找出您想要靜音的警示,並開啟其警示詳細資料頁面。
- 在 [採取動作] 索引標籤上,開啟 [警示靜音] 選項。
若要解除警示或將其設為靜音:
- 登入您的 OT 感應器主控台,然後選取左側的 [警示] 頁面。
- 找出您已學習或靜音的警示,並開啟其警示詳細資料頁面。
- 在 [採取動作] 索引標籤上,關閉 [警示學習] 或 [警示靜音] 選項。
解除警示或將其設為靜音之後,每當感應器察覺到選取的流量組合時,就會重新觸發警示。
存取警示 PCAP 資料
您在調查中可能需要存取原始流量檔案,也稱為封包擷取檔案,或 PCAP 檔案。
若要存取警示的原始流量檔案 ,請從警示詳細資料頁面左上角選取 [下載 PCAP]:
例如:
PCAP 檔案已下載,並且您的瀏覽器會提示您將其開啟或儲存於本機。
將警示以 CSV 或 PDF 匯出
您可能需要將警示選取範圍匯出成 CSV 或 PDF 檔案,以供離線共用和報告。
- 從主要 [警示] 頁面將警示匯出為 CSV 檔案。 一次或大量匯出警示。
- 從主要 [警示] 頁面或警示詳細資料頁面,將警示逐一匯出為 PDF 檔案。
若要將警示以 CSV 檔案匯出:
登入您的 OT 感應器主控台,然後選取左側的 [警示] 頁面。
使用搜尋方塊和篩選選項,以僅顯示您要匯出的警示。
在方格上方的工具列中,選取 [匯出為 CSV]。
系統會產生檔案,並提示您將其開啟或儲存在本機。
若要將警示匯出為 PDF 檔案:
登入您的 OT 感應器主控台,然後選取左側的 [警示] 頁面,接著執行下列其中一項動作:
- 在 [警示] 頁面上,選取警示,然後從方格上方的工具列選取 [匯出為 PDF]。
- 在警示詳細資料頁面上,選取 [匯出為 PDF]。
系統會產生檔案,並提示您將其儲存在本機。
新增警示註解
警示註解可提高小組成員之間的溝通和記錄資料的效率,從而協助您加快調查和補救流程。
如果管理員已建立自訂註解供小組新增至警示中,則可從警示詳細資料頁面的 [註解] 區段中加以新增。
登入您的 OT 感應器主控台,然後選取左側的 [警示] 頁面。
找出您要新增註解的警示,然後開啟警示詳細資料頁面。
從 [選擇註解 ] 清單中,選取您要新增的註解,然後選取 [新增]。 例如:
![感測器上警示詳細數據頁面上 [批注] 區段的螢幕快照。](media/alerts/add-comment-sensor.png)
如需詳細資訊,請參閱加速 OT 警示工作流程。