共用方式為

從 Azure 入口網站檢視及管理警示

  • 發行項

適用於 IoT 的 Microsoft Defender 警示會藉助您網路中所記錄事件的即時詳細資料,來增強您的網路安全性和作業。 本文說明如何在 Azure 入口網站上管理適用於 IoT 的 Microsoft Defender 警示,包括 OT 和企業 IoT 網路感應器所產生的警示。

必要條件

  • 若要在適用於 IoT 的 Defender 中擁有警示,您必須將 OT 上線,以及串流至適用於 IoT 的 Defender 的網路資料流。

  • 若要在 Azure 入口網站上檢視警示,您必須能夠以 [安全性讀取者]、[安全性系統管理員]、[參與者] 或 [擁有者] 的身分進行存取

  • 若要在 Azure 入口網站上管理警示,您必須能夠以 [安全性系統管理員]、[參與者] 或 [擁有者] 的身分進行存取。 警示管理活動包括修改其狀態或嚴重性、學習警示、存取 PCAP 資料,或使用警示歸併規則。

如需詳細資訊,請參閱適用於 IoT 的 Defender 的 Azure 使用者角色和權限

在 Azure 入口網站上檢視警示

  1. 在 Azure 入口網站上的 適用於 IoT 的 Defender 中,選取左側的 [警示] 頁面。 根據預設,方格中會顯示下列詳細資料:

    資料行 描述
    嚴重性 感應器指派的預先定義警示嚴重性,您可以視需要進行修改
    名稱 警示標題。
    站台 與偵測到警示之感應器相關聯的網站,如 [網站與感應器] 頁面上所列。
    引擎 適用於 IoT 的 Defender 偵測引擎,可偵測活動並觸發警示。

    附註Micro-agent 的值表示事件是由適用於 IoT 的 Defender 裝置產生器平台觸發。
    上次偵測 上次偵測到警示的時間。

    - 若警示狀態為 [新增],且再次顯示相同的流量,則會針對相同的警示更新上次偵測時間。
    - 若警示狀態為 [已關閉],且再次顯示流量,則「不會」更新上次偵測時間,並會觸發新的警示。

    附註:雖然感應器主控台即時顯示警示的 [上次偵測] 欄位,但 Azure 入口網站中適用於 IoT 的 Defender 最多可能需要一小時才能顯示更新的時間。 這說明感應器主控台中上次偵測時間與 Azure 入口網站中上次偵測時間不同的情況。
    狀態 警示狀態:[新增]、[作用中]、[已關閉]

    如需詳細資訊,請參閱警示狀態和分級選項
    來源裝置 IP 位址、MAC 位址或觸發警示流量來源的裝置名稱。
    策略 MITRE ATT&CK 階段

    1. 若要檢視詳細資料,請選取 [編輯資料行] 按鈕。

      在右側的 [編輯資料行] 窗格中,選取 [新增資料行] 和下列任何一個額外資料行:

      資料行 描述
      來源裝置位址 來源裝置的 IP 位址。
      目的地裝置位址 目的地裝置的 IP 位址。
      目的地裝置 目的地 IP 或 MAC 位址,或目的地裝置名稱。
      第一次偵測 網路中第一次偵測到警示的時間。
      Id 唯一警示識別碼,與感應器主控台上的識別碼相符。

      注意:如果警示與偵測到相同警示感應器的其他警示合併,則 Azure 入口網站會顯示第一個產生警示感應器的警示識別碼。
      上次活動 上次變更警示的時間,包括手動更新嚴重性或狀態,或是自動變更裝置更新或刪除重複的裝置/警示
      通訊協定 警示的網路流量中偵測到的通訊協定。
      Sensor 偵測到警示的感應器。
      區域 指派給偵測到警示的感應器的區域。
      類別 與警示相關聯的類別,例如作業問題自訂警示,或不合法的命令
      類型 警示的內部名稱。

提示

如果您看到的警示超出預期,您可能需要建立歸併規則,以防止合法的網路活動觸發警示。 如需詳細資訊,請參閱隱藏不相關的警示

篩選顯示的警示

使用 [搜尋] 方塊、[時間範圍] 和 [新增篩選] 選項,篩選特定參數所顯示的警示,或協助找出特定警示。

例如,依 [類別] 篩選警示:

Screenshot of the Category filter option in Alerts page in the Azure portal.

顯示的群組警示

使用右上方的 [分組依據] 功能表,根據特定參數將格線摺疊成子區段。

例如,當格線上方顯示警示總數時,您可能需要更具體的警示計數明細資訊,例如具有特定嚴重性、通訊協定或網站的警示數目。

支援的分組選項包括 [引擎]、[名稱]、[感應器]、[嚴重性] 和 [網站]

檢視詳細資料並補救特定警示

  1. 在 [警示] 頁面上,選取方格中的警示,以在右側窗格中顯示更多詳細資料。 [警示詳細資料] 窗格包含警示描述、流量來源和目的地等等。

    選取 [檢視完整詳細資料] 以進一步深入鑽研。 例如:

    Screenshot of an alert selected from Alerts page in the Azure portal.

  2. [警示詳細資料] 頁面提供更多關於警示的詳細資料,而 [採取動作] 索引標籤上提供一組補救步驟。例如:

    Screenshot of the alert details page on the Azure portal.

管理警示嚴重性和狀態

建議您在分級警示後立即更新 Azure 入口網站中適用於 IoT 的 Defender 警示嚴重性,以便可以儘快排定風險最高的警示優先順序。 請務必在採取補救步驟後更新您的警示狀態,以便記錄進度。

您可以更新單一警示或選取大量警示的嚴重性和狀態。

學習警示,以對適用於 IoT 的 Defender 指出偵測到的網路流量已獲授權。 下次在您的網路上偵測到相同的流量時,就不會再次觸發已學習過的警示。 只有選取的警示才支援學習,而僅從 OT 網路感應器支援未學習

如需詳細資訊,請參閱警示狀態和分級選項

  • 若要管理單一警示

    1. 在 Azure 入口網站中適用於 IoT 的 Defender 中,選取左側的 [警示] 頁面,然後在方格中選取警示。
    2. 在右側的詳細資料窗格或在警示詳細資料頁面中,選取新的狀態和/或嚴重性。

  • 若要大量管理多個警示

    1. 在 Azure 入口網站中適用於 IoT 的 Defender 中,選取左側的 [警示] 頁面,然後在您要修改的方格中選取警示。
    2. 使用工具列中的 [變更狀態] 和/或 [變更嚴重性] 選項,更新所選全部警示的狀態和/或嚴重性。

  • 若要了解一或多個警示

    在 Azure 入口網站中適用於 IoT 的 Defender 中,選取左側的 [警示] 頁面,然後執行下列其中之一:

    • 在方格中選取一或多個可學習的警示,然後在工具列中選取 [學習]
    • 在可學習警示的警示詳細資料頁面上 [採取動作] 索引標籤中,選取 [學習]

存取警示 PCAP 資料

您在調查中可能需要存取原始流量檔案,也稱為封包擷取檔案,或 PCAP 檔案。 如果您是 SOC 或 OT 安全性工程師,請直接從 Azure 入口網站存取 PCAP 檔案,以協助您更快速進行調查。

若要存取警示的原始流量檔案 ,請選取警示詳細資料頁面左上角的 [下載 PCAP]

例如:

Screenshot of the Download PCAP button.

入口網站會向偵測到警示的感應器要求檔案,並將該檔案下載到您的 Azure 儲存體。

視感應器的連線品質而定,下載 PCAP 檔案可能會需要幾分鐘的時間。

將警示匯出成 CSV 檔案

您可能需要將警示選取範圍匯出成 CSV 檔案,以供離線共用和報告。

  1. 在 Azure 入口網站上的 適用於 IoT 的 Defender 中,選取左側的 [警示] 頁面。

  2. 使用搜尋方塊和篩選選項,以僅顯示您要匯出的警示。

  3. 在方格上方的工具列中,選取 [匯出]>[確認]

系統會產生檔案,並提示您將其儲存在本機。

下一步

適用於 IoT 的 Microsoft Defender 警示