مشاركة عبر

التحقيق في الحوادث والتنبيهات

  • مقالة

يعرض Microsoft Defender for IoT في مدخل Microsoft Defender الحوادث والتنبيهات، والتي تعزز أمان الشبكة وعملياتها بتفاصيل في الوقت الحقيقي حول الأحداث المسجلة في شبكة التكنولوجيا التشغيلية (OT).

التنبيهات هي أساس جميع الحوادث وتشير إلى حدوث أحداث ضارة أو مشبوهة في بيئتك. ضمن الحادث، يمكنك تحليل التنبيهات التي تؤثر على شبكتك، وفهم ما تعنيه، وتجميع الأدلة حتى تتمكن من وضع خطة معالجة فعالة.

تعرف على المزيد حول التنبيهاتوالحوادث في مدخل Defender.

في هذه المقالة، ستتعرف على كيفية التحقيق في حادث Microsoft Defender for IoT والتنبيهات المرتبطة به، وكيفية معالجة مشكلات الأمان التي يثيرها التنبيه.

تجمع التنبيهات في صفحة الحوادث بين إشارات بيئة تكنولوجيا المعلومات وOT بشكل فريد للكشف عن التهديدات المحتملة وتسرب البيانات. تعرض صفحة الحوادث :

  • محفوظات التنبيهات المتصلة بالحادث ورسم بياني للحادث. يعرض الرسم البياني الأجهزة الأخرى المتصلة بجهاز OT المتأثر الذي قد يتم اختراقه أيضا.
  • أوصاف التنبيه، التي تشرح نوع مشكلة الأمان المكتشفة.
  • خيارات المعالجة لحل مشكلة الأمان.

ملاحظة

تظهر بيانات الحوادث والتنبيه ل Defender for IoT فقط بمجرد إعداد موقع وإرسال أجهزتك للبيانات إلى مدخل Defender. تعرف على كيفية إعداد موقع.

هام

تتناول هذه المقالة Microsoft Defender for IoT في مدخل Defender (معاينة).

إذا كنت عميلا موجودا يعمل على مدخل Defender for IoT الكلاسيكي (مدخل Microsoft Azure)، فشاهد وثائق Defender for IoT على Azure.

تعرف على المزيد حول مداخل إدارة Defender for IoT.

تتعلق بعض المعلومات الواردة في هذه المقالة بالناتج الذي تم إصداره مسبقًا والذي قد يتم تعديله بشكل كبير قبل إصداره تجاريًا. لا تقدم Microsoft أي ضمانات، يتم التعبير عنها أو تضمينها، فيما يتعلق بالمعلومات المقدمة هنا.

التحقق من التنبيهات

للتحقيق في تنبيه:

  1. في قائمة مدخل Microsoft Defender ، حدد Incidents & alerts > Incidents.

  2. لعرض الحوادث ذات الصلة ب OT:

    1. حدد إضافة عامل تصفية.
    2. حدد اسم المنتج وحدد إضافة.
    3. حدد علامة التبويب أسماء المنتجات التي تظهر واكتب: Defender for IoT.
    4. حدد تطبيق.

  3. حدد موقع حدث وحدده.

    تعرض صفحة الحادث المحددة قصة الهجوم المكونة من المخطط الزمني للتنبيه ورسم بياني للحادث وتفاصيل الحادث.

  4. حدد تنبيها من قائمة التنبيهات.

    يعرض الرسم البياني للحادث وتفاصيل الحادث بيانات محددة لهذا التنبيه.

  5. في لوحة Incident ، راجع المعلومات، واقرأ وصف التنبيهوالأدلةوالأصول المتأثرة واتبع الإجراءات الموصى بها للتنبيه لمعالجة المشكلة.

تنبيه Defender for IoT

ينشئ Defender for IoT تنبيها فريدا خاصا به.

الاسم الوصف
التأثير التشغيلي المحتمل بسبب جهاز مخترق جهاز مخترق يتصل بأصل تكنولوجيا تشغيلية (OT). قد يحاول المهاجم التحكم في العمليات الفعلية أو تعطيلها.

الصيد المتقدم

استخدم خاصية الموقع المدرجة في جدول DeviceInfo لكتابة استعلامات للتتبع المتقدم. يسمح لك هذا بتصفية الأجهزة وفقا لموقع معين، على سبيل المثال، جميع الأجهزة التي تتواصل مع الأجهزة الضارة في موقع معين.

يسرد الاستعلام التالي جميع أجهزة نقطة النهاية بعنوان IP المحدد في موقع سان فرانسيسكو.

DeviceInfo
|where Site == "SanFrancisco" and PublicIP == "192.168.1.1" and DeviceCategory == "Endpoint"

هذا مناسب لكل من مخزون الجهاز وأمان الموقع. لمزيد من المعلومات، راجع التتبع المتقدمومخطط DeviceInfo للتتبع المتقدم.