閱讀英文

建立 OT 網路流量的基準

已完成

您的汽車製造組織在全球各地設有辦事處和生產基地,並透過網路將它們連結在一起。 網站的感應器已連線,並將資料傳送至適用於 IoT 的 Microsoft Defender。 部署小組已經對感應器設定進行了微調,以確保正確識別所有裝置。 現在,您的工作是設定警示基準,以確保正常流量不會觸發系統內的警示,而是只回報可疑活動。 檢查和更新警示稱為分級流程。

適用於 IoT 的 Defender 在開始從感應器接收資料後立即自動設定為學習模式。 在這種模式下,適用於 IoT 的 Defender 開始建置警示基準,以協助識別可能影響裝置安全性的可疑網路流量。 當發現可疑流量時,適用於 IoT 的 Defender 會建立警示。 在學習模式中,您需要檢查所有警示,並確認流量是否具有潜在危險。 如果流量是正常的網路流量,則指派學習狀態,並且感應器將學習將來不標識此類流量。

建立警示基準

若要建立警示基準,請遵循分級流程:

  1. 依時間、嚴重性或其他參數篩選警示。
  2. 選取警示,開啟警示詳細資料窗格,然後分析警示資訊。
  3. 遵循補救步驟,根據警示類型進行分級和修正。
  4. 對於不太重要的警示,您可能需要建立歸併規則。
  5. 套用您的變更。

對警示進行分級

在 [警示詳細資料] 頁面中,列出了一組補救步驟,以便對警示進行分級。

  • 當警示需要安全性回應時,補救步驟會列出可用的最佳選項。
  • 如果您確定這是一般網路流量,請選取 [學習],感應器就會了解到該網路流量不應再次觸發警示。

做出這些變更被稱為分級流程。

篩選和分組警示

在適用於 IoT 的 Defender 中,選取列出感應器產生的所有警示的警示頁面。

  1. 依參數或參數混合 (如時間段、網站或區域或警示嚴重性) 篩選警示清單。 也可以使用 [分組依據] 功能對清單進行排序。

    透過方塊設定分組篩選警示螢幕擷取畫面。

  2. 選取警示,詳細資料將顯示在警示窗格中,包括警示説明、流量來源、流量目的地等。

  3. 要更詳細地分析警示,請選取 [檢視完整詳細資料]

  4. 選取多個警示,可允許您使用頂端功能表列對狀態、嚴重性或學習層級進行大量變更。

    使用方塊進行大量狀態變更的警示螢幕之螢幕擷取畫面。

分析警示

警示根據識別的安全性問題類型進行分類。 這些類別在警示頁面中稱為「名稱」

  • 在 [警示完整詳細資料] 頁面中更深入地分析警示,該頁面有兩個索引標籤,[警示詳細資料] 和 [採取行動] 索引標籤。
  • 當您檢視警示詳細資料頁面時,還會列出處理警示的建議步驟,這些步驟因警示而異。 這些稱為 [補救步驟],可在 [採取動作] 索引標籤中找到。
  • 一些 [補救步驟] 可以在適用於 IoT 的 Defender 中立即直接完成。 而其他人則需要您檢查系統的各個方面,然後下次更新警示。
  • 補救步驟有時可能包括必須全部完成的多個動作之清單,或者有時列出只能完成一個動作的選項。

您還可以下載原始流量資料的 PCAP 檔案,並使用 PCAP 檔案讀者對其進行分析,這也可能為您提供有關警示的更多資訊。 這在此課程模組範圍之外。

更新警示

完成補救步驟後,如果警示可用,您可以選取 [學習]

為要新增至警示基準的由正常網路流量觸發的警示選擇 [學習]。 這表示下次偵測到此類網路流量時,不會建立警示。 例如,當感應器偵測到韌體版本變更後續標準維護程序,或當新的預期裝置新增至網路時。 學習警示會關閉警示,並將項目新增至感應器事件時間表。 學習警示僅適用於所選警示,大多數警示由原則異常引擎警示觸發。

然後更新嚴重性狀態層級,這些層級是在建立警示時自動設定的,現在可能需要變更。

在適用於 IoT 的 Defender 中,感應器指派三個嚴重性層級,分別為:。 感應器還指派三個狀態層級,即使用中關閉。 我們建議您先開始試用關鍵層級警示。

警示螢幕的螢幕擷取畫面。

您應該根據以下説明更新狀態層級:

狀態 描述
新增 警示是小組需要進行分級或調查的警示。
使用中 將警示設定為 [作用中] 表示調查正在進行中,但警示尚無法關閉或分級。
結案 將警示設定為 [關閉] 表示調查已完成,並在下次偵測到相同流量時再次提醒您。

您應該根據以下説明更新嚴重性層級:

嚴重性 描述
表示應立即處理的惡意攻擊。
表示需要解决的重要安全性威脅。
指示與基準行為的某些偏差,該偏差可能包含安全性威脅,或不包含安全性威脅。

歸併規則可以協助您永久或在有限的時間內篩選掉不需要的警示,這樣即使觸發了警示,它們也不會出現在 [警示] 清單中。 此功能允許您專注於處理更重要的警示,不會看到次要的警示。

若要建立歸併規則,您需要為其指定名稱、時間範圍,並選擇規則適用於哪些感應器。 您也可以根據 IP 位址、MAC 識別碼、子網路或主機位址套用篩選。

儲存變更

當您變更這些警示時,將更新基準警示。 隨著學習流程的繼續,隨著感應器學習到系統中的正常流量,您收到的新警示會减少。