調查事件和警示
Microsoft Defender 入口網站中的 Microsoft Defender for IoT 會顯示事件和警示,這會使用 OT) 網路中記錄於您操作技術 (事件的即時詳細數據來增強網路安全性和作業。
警示是所有事件的基礎,並且會指出您的環境中發生惡意或可疑事件。 在事件中,您會分析會影響您網路的警示、瞭解其意義,並定序辨識項,以便設計有效的補救計劃。
在 Defender 入口網站中深入瞭解 警示 和 事件 。
在本文中,您將瞭解如何調查適用於IoT的 Microsoft Defender 事件及其相關聯的警示,以及如何補救警示所引發的安全性問題。
[ 事件 ] 頁面中的警示可唯一結合 IT 和 OT 環境訊號,以偵測潛在威脅和數據外洩。 [ 事件] 頁面會顯示:
- 線上到事件和事件圖表的警示歷程記錄。 此圖表顯示其他連線到受影響 OT 裝置的裝置,也可能遭到入侵。
- 警示描述,說明偵測到的安全性問題類型。
- 解決安全性問題的補救選項。
注意事項
適用於 IoT 的 Defender 事件和警示數據只會在您設定月臺且裝置將數據傳送至 Defender 入口網站時才會出現。 瞭解如何 設定網站。
重要事項
本文討論Defender入口網站中適用於IoT的 Microsoft Defender (預覽) 。
如果您是使用適用於 IoT的傳統Defender入口網站 (Azure 入口網站) 的現有客戶,請參閱 適用於 Azure 上的適用於IoT的 Defender 檔。
深入瞭解 適用於IoT的Defender管理入口網站。
本文中的部分資訊與發行前版本產品有關,在產品正式發行前可能會大幅度修改。 Microsoft 對此處提供的資訊,不提供任何明確或隱含的瑕疵擔保。
調查警示
若要調查警示:
在 [Microsoft Defender 入口網站 ] 功能表中,選取 [ 事件 & 警示 > 事件]。
若要顯示 OT 相關事件:
- 選取 [新增篩選]。
- 選 取 [產品名稱] ,然後選取 [ 新增]。
- 選取出現的 [ 產品名稱 ] 索引標籤,然後輸入: 適用於IoT的Defender。
- 選取 [套用]。
找出並選取事件。
特定事件頁面會顯示由警示時程表、事件圖表和事件詳細數據所組成的攻擊案例。
從警示清單中選取警示。
事件圖表和事件詳細數據會顯示此警示的特定數據。
在 [ 事件 ] 面板中,檢閱資訊、閱讀 警示描述、 辨識項 和 受影響的資產 ,並遵循 警示建議的動作 來補救問題。
適用於 IoT 的 Defender 警示
適用於 IoT 的 Defender 會產生自己的唯一警示。
| 名稱 | 描述 |
|---|---|
| 因裝置遭入侵而可能造成的操作影響 | 遭入侵的裝置與操作技術通訊 (OT) 資產。 攻擊者可能會嘗試控制或中斷實體作業。 |
進階搜捕
使用 DeviceInfo 數據表中所列的 Site 屬性來撰寫進階搜捕的查詢。 這可讓您根據特定網站篩選裝置,例如,與特定站臺上惡意裝置通訊的所有裝置。
下列查詢會列出在舊金山網站具有特定IP位址的所有端點裝置。
DeviceInfo
|where Site == "SanFrancisco" and PublicIP == "192.168.1.1" and DeviceCategory == "Endpoint"
這與裝置清查和月台安全性相關。 如需詳細資訊,請參閱 進階搜捕 和 進階搜捕 DeviceInfo 架構。