建立 OT 警示的獲悉基準

本文是一系列文章中的一篇，說明如何使用適用於 IoT 的 Microsoft Defender 進行 OT 監視的部署路徑，並說明如何在 OT 感應器上建立獲悉流量的基準。

了解學習模式

OT 網路感應器會在其連線到您的網路且您已登入之後，自動開始監視該網路。 網路裝置開始出現在您的裝置詳細目錄中，並針對您網路中發生的任何安全性或作業事件觸發警示。

一開始，此活動會以學習模式進行，這會指示您的 OT 感應器了解您網路的一般活動，包括網路中的裝置和通訊協定，以及特定裝置之間發生的一般檔案傳輸。 任何定期偵測到的活動都會變成您網路的基準流量。

提示

利用學習模式中的時間將警報分級，並「獲悉」您想要標示為已授權且預期的活動。 在下次偵測到相同流量時，獲悉流量就不會產生新的警示。

關閉學習模式之後，與基準資料不同的任何活動都會觸發警示。

如需詳細資訊，請參閱適用於 IoT 的 Microsoft Defender 警示。

學習模式時間表

根據您的網路大小和複雜度，建立 OT 警示基準可能需要數天到數週的時間。 當感應器偵測到新偵測到的流量減少時 (這通常是在部署後的 2-6 週之間)，學習模式會自動關閉。

如果您覺得目前的警示正確地反映您的網路活動，請在上述情況前手動關閉學習模式。

必要條件

您可以從 Azure 入口網站、OT 感應器或內部部署管理主控台執行本文中的程序。

在開始之前，請確定您具有下列項目：

• 已安裝、已設定並啟動 OT 感應器，且偵測到的流量會觸發警示。

• 以 [安全性分析人員] 或 [系統管理員] 使用者身分存取 OT 感應器。 如需詳細資訊，請參閱使用適用於 IoT 的 Defender 進行 OT 監視的內部部署使用者和角色。

警示分級

在部署結束時將警示分級，以建立網路活動的初始基準。

1. 登入您的 OT 感應器，然後選取 [警示] 頁面。

2. 使用排序和分組選項，先檢視您最重要的警示。 檢閱每個警示以更新狀態，並了解 OT 授權流量的警示。

如需詳細資訊，請參閱檢視和管理 OT 感應器上的警示。

下一步

確認並更新偵測到的裝置清查

關閉學習模式之後，您已從「學習」模式移至「作業」模式。 繼續執行下列任一項：

• 使用 Azure 監視器活頁簿將適用於 IoT 的 Microsoft Defender 資料視覺化
• 從 Azure 入口網站檢視及管理警示
• 從 Azure 入口網站管理您的裝置詳細目錄

整合適用於 IoT 的 Defender 資料與 Microsoft Sentinel，以統一 SOC 小組的安全性監視。 如需詳細資訊，請參閱

• 教學課程：使用 Microsoft Sentinel 連線適用於 IoT 的 Microsoft Defender
• 教學課程：調查和偵測 IoT 裝置的威脅