適用於 IoT 的 Microsoft Defender 警示
適用於 IoT 的 Microsoft Defender 警示會藉助您網路中所記錄事件的即時詳細資料,來增強您的網路安全性和作業。 當 OT 網路感測器偵測到需要注意之網路流量中的變更或可疑活動時,就會觸發警示。
例如:
![Azure 入口網站 中 [警示] 頁面的螢幕快照。](media/how-to-view-manage-cloud-alerts/main-alert-page.png#lightbox)
使用 [警示] 頁面上或警示詳細數據頁面上顯示的詳細數據,調查並採取動作,從相關裝置或觸發警示的網路程式補救任何風險。
提示
使用警示補救步驟來協助SOC小組瞭解可能的問題和解決方案。 建議您先檢閱建議的補救步驟,再更新警示狀態,或在裝置或網路上採取動作。
警示管理選項
適用於 IoT 的 Defender 警示可在 Azure 入口網站、OT 網路感測器控制台和內部部署管理控制台中取得。 透過企業 IoT 安全性,Microsoft 365 Defender 中適用於端點的 Defender 偵測到的企業 IoT 裝置也會提供警示。
雖然您可以檢視警示詳細數據、調查警示內容,以及分級和管理來自這些位置的警示狀態,但每個位置也會提供額外的警示動作。 下表說明每個位置支援的警示,以及僅可從該位置取得的額外動作:
| Location | 描述 | 額外的警示動作 |
|---|---|---|
| Azure 入口網站 | 來自所有雲端連線 OT 感測器的警示 | - 檢視相關的 MITRE ATT&CK 策略和技術 - 使用現成的活頁簿來查看高優先順序警示 - 檢視來自 Microsoft Sentinel 的警示,並使用 Microsoft Sentinel 劇本和活頁簿執行更深入的調查。 |
| OT 網路感測器控制台 | 該 OT 感測器所產生的警示 | - 在裝置對應中 檢視警示的來源和目的地 - 在事件時程表上 檢視相關事件 - 直接將警示轉寄給合作夥伴廠商 - 建立警示批注 - 建立自定義警示規則 - 取消學習警示 |
| 內部部署管理主控台 | 線上 OT 感測器所產生的警示 | - 直接將警示轉寄給合作夥伴廠商 - 建立警示排除規則 |
| Microsoft 365 Defender | 針對 適用於端點的 Microsoft Defender 偵測到的企業 IoT 裝置所產生的警示 | - 與其他 Microsoft 365 Defender 數據一起管理警示數據,包括進階搜捕 |
提示
在10分鐘的時間範圍內,從相同區域中不同感測器產生的任何警示,其類型相同、狀態、警示通訊協定和相關聯的裝置都會列為單一統一警示。
- 10 分鐘的時間範圍是以警示 的第一次偵測 時間為基礎。
- 單一整合的警示會列出偵測到警示的所有感測器。
- 警示會根據 警示 通訊協議合併,而不是裝置通訊協定。
如需詳細資訊,請參閱
警示選項也會根據您的位置和使用者角色而有所不同。 如需詳細資訊,請參閱 Azure 使用者角色和許可權 和 內部部署使用者和角色。
OT/IT 環境中的焦點警示
在 OT 與 IT 網路之間部署感測器的組織會處理許多與 OT 和 IT 流量相關的警示。 部分無關緊要的警示數量可能會導致警示疲勞並影響整體效能。 為了解決這些挑戰,適用於IoT的Defender偵測原則會引導其不同的 警示引擎 專注於具有業務影響和與OT網路相關性的警示,並減少低價值IT相關警示。 例如, 未經授權的因特網連線 警示在 OT 網路中高度相關,但在 IT 網路中具有相對較低的值。
若要集中這些環境中觸發的警示,除了惡意代碼引擎以外的所有警示引擎,只有在偵測到相關的 OT 子網或通訊協定時才會觸發警示。 不過,若要維護警示觸發,指出重大案例:
- 不論警示與 OT 或 IT 裝置有關,惡意代碼引擎都會觸發惡意代碼警示。
- 其他引擎包含重大案例的例外狀況。 例如, 作業 引擎會觸發與感測器流量相關的警示,不論警示是否與 OT 或 IT 流量有關。
在混合式環境中管理 OT 警示
在混合式環境中工作的用戶可以在適用於IoT的Defender中管理 Azure 入口網站、OT 感測器和內部部署管理控制台中的OT警示。
注意
當感測器主控台即時顯示警示的 [上次偵測] 欄位時,Azure 入口網站 中的適用於IoT的Defender最多可能需要一小時的時間才能顯示更新的時間。 這說明感應器主控台中上次偵測時間與 Azure 入口網站中上次偵測時間不同的情況。
警示狀態在其他 Azure 入口網站 與 OT 感測器之間,以及感測器與內部部署管理主控台之間的完全同步處理。 這表示無論您在IoT Defender中管理警示的位置為何,警示也會在其他位置更新。
將警示狀態設定為感測器或內部部署管理控制臺上的 [已關閉] 或 [靜音] 會將警示狀態更新為 [已關閉] Azure 入口網站。 在內部部署管理控制臺上, [已關閉 ] 警示狀態稱為 [已認可]。
提示
如果您使用 Microsoft Sentinel,建議您設定整合以同步 處理警示狀態 與 Microsoft Sentinel,然後與相關的 Microsoft Sentinel 事件一起管理警示狀態。
如需詳細資訊,請參閱 教學課程:調查和偵測IoT裝置的威脅。
企業 IoT 警示和 適用於端點的 Microsoft Defender
如果您在 Microsoft 365 Defender 中使用企業 IoT 安全性,適用於端點的 Microsoft Defender 偵測到的企業 IoT 裝置警示僅適用於 Microsoft 365 Defender。 來自 適用於端點的 Microsoft Defender 的許多網路型偵測都與企業 IoT 裝置相關,例如由涉及受控端點的掃描所觸發的警示。
如需詳細資訊,請參閱 保護企業 中的IoT裝置,以及 Microsoft 365 Defender 中的警示佇列。
加速 OT 警示工作流程
如果在初始偵測 90 天后未偵測到完全相同的流量,則會自動關閉新的警示。 如果在前 90 天內偵測到相同的流量,則會重設 90 天計數。
除了預設行為之外,您可能還想要協助SOC和OT管理小組更快速地分級和補救警示。 以 管理員 使用者身分登入 OT 感測器或內部部署管理主控台,以使用下列選項:
建立自定義警示規則。 僅限 OT 感應器。
新增自訂警示規則,以觸發警示,提醒您網路上現成可用功能所未涵蓋的特定活動。
例如,針對執行 MODBUS 的環境,您可能需要新增一個規則,藉以偵測特定 IP 位址和乙太網路目的地上記憶體暫存器的任何寫入命令。
如需詳細資訊,請參閱 在 OT 感測器上建立自定義警示規則。
建立警示批注。 僅限 OT 感應器。
建立一組警示批註,讓其他 OT 感測器使用者可以新增至個別警示,其中包含自定義風險降低步驟、與其他小組成員通訊,或事件的其他深入解析或警告等詳細數據。
小組成員可以在分級和管理警示狀態時重複使用這些自定義批注。 警示批註會顯示在警示詳細數據頁面上的批注區域中。 例如:
如需詳細資訊,請參閱 在 OT 感測器上建立警示批注。
建立警示排除規則:僅限內部部署管理控制台。
如果您使用內部部署管理主控台,請定義 警示排除規則 ,以忽略多個符合特定準則的感測器的事件。 例如,您可以建立警示排除規則來忽略在特定維護期間觸發無關警示的所有事件。
排除規則忽略的警示不會顯示在 Azure 入口網站、感測器或內部部署管理主控台,或事件記錄檔中。
如需詳細資訊,請參閱在內部部署管理主控台上建立警示排除規則。
將警示資料轉送給合作夥伴系統 給合作夥伴 SIEM、syslog 伺服器、指定的電子郵件位址等等。
從 OT 感測器和內部部署管理控制台支援。 如需詳細資訊,請參閱 轉寄警示資訊。
警示狀態和分級選項
使用下列警示狀態和分級選項來管理適用於IoT的Defender之間的警示。
分級警示時,請考慮某些警示可能會反映有效的網路變更,例如嘗試在另一部裝置上存取新資源的授權裝置。
雖然 OT 感測器和內部部署管理控制台的分級選項僅適用於 OT 警示,但 Azure 入口網站 上可用的選項同時適用於 OT 和企業 IoT 警示。
使用下表深入瞭解每個警示狀態和分級選項。
| 狀態/ 分級動作 | 可用日期 | 描述 |
|---|---|---|
| 新增 | - Azure 入口網站 - OT 網路感測器 - 內部部署管理主控台 |
新的 警示是尚未由小組分級或調查的警示。 針對相同裝置偵測到的新流量不會產生新的警示,但會新增至現有的警示。 在內部部署管理控制臺上,新的警示稱為「未認可」。 注意:您可能會看到多個具有相同名稱的新警示或未認可警示。 在這種情況下,每個個別的警示都會由不同裝置集上的個別流量觸發。 |
| 使用中 | - 僅限 Azure 入口網站 | 將警示設定為 [作用中 ] 表示調查正在進行中,但警示尚無法關閉或分級。 此狀態在適用於IoT的Defender中沒有作用。 |
| 結案 | - Azure 入口網站 - OT 網路感測器 - 內部部署管理主控台 |
關閉警示,指出它已完全調查,而且您想要在下一次偵測到相同流量時再次收到警示。 關閉警示會將它新增至感測器事件時間軸。 在內部部署管理控制臺上,新的警示稱為「已認可」。 |
| 了解 | - Azure 入口網站 - OT 網路感測器 - 內部部署管理主控台 只有在 OT 感測器上才能取得 警示。 |
當您想要關閉警示並新增為允許的流量時,請瞭解警示,以便在下次偵測到相同流量時再次收到警示。 例如,當感測器偵測到韌體版本變更時,會遵循標準維護程式,或當新的預期裝置新增至網路時。 學習警示會關閉警示,並將專案新增至感測器事件時間軸。 偵測到的流量會包含在數據採礦報告中,但在計算其他 OT 感測器報告時則不會。 學習警示僅適用於選取的警示,主要是由原則和異常引擎警示觸發的警示。 |
| 靜音 | - OT 網路感測器 - 內部部署管理主控台 取消靜音 警示僅適用於 OT 感測器。 |
當您想要關閉警示,而不會針對相同的流量再次看到警示,但不需要新增允許的流量時,請將警示設為靜音。 例如,當操作引擎觸發警示時,指出裝置上的 PLC 模式已變更。 新的模式可能表示PLC不安全,但在調查之後,判斷新模式是可接受的。 將警示設為靜音會關閉它,但不會將專案新增至感測器事件時間軸。 偵測到的流量會包含在數據採礦報表中,但在計算其他感測器報表的數據時則不會。 將警示設為靜音僅適用於選取的警示,主要是由異常、通訊協定違規或操作引擎觸發的警示。 |
在學習模式期間分級 OT 警示
學習模式 是指部署 OT 感測器之後的初始期間,當您的 OT 感測器瞭解網路的基準活動時,包括網路中裝置和通訊協定,以及特定裝置之間發生的一般檔案傳輸。
使用學習模式在網路中警示上執行初始分級, 瞭解 您想要標示為已授權且預期的活動。 在下次偵測到相同流量時,學習到的流量不會產生新的警示。
如需詳細資訊,請參閱 建立 OT 警示的學習基準。
下一步
檢閱警示類型和訊息,以協助您了解並規劃補救動作和劇本整合。 如需詳細資訊,請參閱 OT監視警示類型和描述。