Megosztás a következőn keresztül:


Microsoft Defender for IoT-riasztások

A Microsoft Defender for IoT-riasztások növelik a hálózat biztonságát és műveleteit a hálózatban naplózott események valós idejű adataival. A riasztások akkor aktiválódnak, ha az OT hálózati érzékelői olyan változásokat vagy gyanús tevékenységeket észlelnek a hálózati forgalomban, amelyekre szüksége van a figyelmére.

Példa:

Képernyőkép az Azure Portal Riasztások oldaláról.

A Riasztások lapon vagy a riasztás részleteit tartalmazó lapon megjelenő részletek segítségével kivizsgálhatja és végrehajthatja a hálózatra vonatkozó kockázatokat elhárító műveleteket, akár a kapcsolódó eszközökről, akár a riasztást kiváltó hálózati folyamatból.

Tipp.

A riasztások szervizelési lépéseivel segíthet az SOC-csapatoknak megérteni a lehetséges problémákat és megoldásokat. Javasoljuk, hogy tekintse át a javasolt szervizelési lépéseket, mielőtt frissítené a riasztási állapotot, vagy műveletet hajt végre az eszközön vagy a hálózaton.

Riasztáskezelési beállítások

Az IoT-alapú Defender-riasztások az Azure Portalon vagy az OT hálózati érzékelő konzolján érhetők el. Nagyvállalati IoT-biztonság esetén a riasztások a Microsoft 365 Defenderben a Defender által az Endpointhez készült Defender által észlelt nagyvállalati IoT-eszközökhöz is elérhetők.

Bár megtekintheti a riasztások részleteit, megvizsgálhatja a riasztási környezetet, valamint a riasztási állapotok osztályozását és kezelését bármely ilyen helyről, az egyes helyek további riasztási műveleteket is kínálnak. Az alábbi táblázat az egyes helyeken támogatott riasztásokat és a csak az adott helyről elérhető további műveleteket ismerteti:

Hely Leírás További riasztási műveletek
Azure Portalra Riasztások az összes felhőalapú OT-érzékelőtől - Kapcsolódó MITRE ATT&CK-taktikák és technikák megtekintése
– Beépített munkafüzetek használata a magas prioritású riasztások láthatóságához
– Tekintse meg a Microsoft Sentinel riasztásait, és alaposabban vizsgálja meg a Microsoft Sentinel forgatókönyveit és munkafüzeteit.
OT hálózati érzékelő konzolok Az OT-érzékelő által generált riasztások – A riasztás forrásának és céljának megtekintése az eszköztérképen
– Kapcsolódó események megtekintése az esemény ütemtervében
– Riasztások közvetlen továbbítása partnerszállítóknak
– Riasztási megjegyzések létrehozása
– Egyéni riasztási szabályok létrehozása
– Riasztások kivezetésének megszüntetése
Microsoft 365 Defender A Végponthoz készült Microsoft Defender által észlelt nagyvállalati IoT-eszközökhöz létrehozott riasztások – Riasztási adatok kezelése más Microsoft 365 Defender-adatokkal együtt, beleértve a speciális vadászatot is

Tipp.

Az azonos zónában lévő különböző érzékelőkből, 10 perces időkereten belül létrehozott riasztások, amelyek típusa, állapota, riasztási protokollja és kapcsolódó eszközei egyetlen, egységes riasztásként vannak felsorolva.

  • A 10 perces időkeret a riasztás első észlelési idején alapul.
  • Az egységesített riasztás felsorolja a riasztást észlelő összes érzékelőt.
  • A riasztások a riasztási protokollon alapulnak, és nem az eszközprotokollon alapulnak.

További információk:

A riasztási lehetőségek a tartózkodási helytől és a felhasználói szerepkörtől függően is eltérnek. További információkért tekintse meg az Azure felhasználói szerepköreit és engedélyeit , valamint a helyszíni felhasználókat és szerepköröket.

Riasztási szabálysértések összesítése

Az azonos riasztások nagy száma által okozott riasztási fáradtság azt eredményezheti, hogy a csapat nem látja vagy orvosolja a létfontosságú riasztásokat. A Riasztások lapon felsorolt összes riasztás egy hálózat megsértésének eredménye, például a Modbus-függvénykód nem engedélyezett használata. Ha a szabálysértéseket ugyanazokkal a paraméterekkel és szervizelési követelményekkel összesíti egyetlen riasztási listába, csökkenti a Riasztások lapon megjelenő riasztások számát. Az egyező paraméterek a riasztás típusától függően eltérőek. A Modbus-függvénykód nem engedélyezett használatára vonatkozó riasztásnak például ugyanazzal a forrás- és cél IP-címmel kell rendelkeznie az összesített riasztások megsértésének létrehozásához. Az összesített riasztás különböző szabálysértési kódokkal, például olvasási és írási kódokkal rendelkező riasztásokat tartalmazhat.

Letölti az összesített riasztási szabálysértési adatokat, amelyek a riasztás részleteinek Szabálysértések lapján CSV-fájlként listázza az egyes riasztásokat a megfelelő paraméterekkel és funkciókkal. Ezek az adatok segíthetnek a csapatoknak a minták azonosításában, a hatás felmérésében és a válaszok hatékonyabb rangsorolásában a Művelet végrehajtása lapon található szervizelési javaslatok alapján. Csak az azonos szervizelési folyamatú riasztások lesznek összesítve egyetlen riasztásba. Az egyes szabálysértési események azonban továbbra is külön tekinthetők meg a saját eszközeiken belül, további egyértelműséget biztosítva.

Az összesíthető riasztások az Aggregált címsor alatti Riasztások hivatkozási házirendmotor riasztási tábláiban jelennek meg.

A riasztások csoportosítása megjelenik az OT-érzékelő konzolján és az Azure Portalon is. További információ: összesített riasztások szervizelése a Sensor-konzolon és az összesített riasztások szervizelése az Azure Portalon.

Szűrt riasztások OT/IT-környezetekben

Azokat a szervezeteket, amelyekben az érzékelők az OT és az informatikai hálózatok között vannak üzembe helyezve, számos riasztással foglalkoznak, amelyek mind az OT, mind az informatikai forgalomhoz kapcsolódnak. A riasztások mennyisége, amelyek némelyike irreleváns, a riasztások kifáradását okozhatja, és hatással lehet az általános teljesítményre. Ezeknek a kihívásoknak a megoldása érdekében az IoT-hez készült Defender észlelési szabályzata a különböző riasztási motorokat irányítja, hogy az üzleti hatással rendelkező és az OT-hálózat szempontjából releváns riasztásokra összpontosítson, és csökkentse az alacsony értékű informatikai riasztásokat. A jogosulatlan internetkapcsolat riasztása például nagyon fontos egy OT-hálózaton, de viszonylag alacsony az értéke egy informatikai hálózatban.

Az ezekben a környezetekben aktivált riasztások fókuszba helyezéséhez az összes riasztási motor – a Kártevőmotor kivételével – csak akkor aktiválja a riasztásokat, ha egy kapcsolódó OT-alhálózatot vagy protokollt észlelnek.

Azonban a kritikus forgatókönyveket jelző riasztások aktiválásának fenntartása:

  • A kártevőmotor a kártevő-riasztásokat aktiválja, függetlenül attól, hogy a riasztások ot vagy informatikai eszközökhöz kapcsolódnak-e.
  • A többi motor kivételeket tartalmaz a kritikus helyzetekhez. Az operatív motor például az érzékelőforgalommal kapcsolatos riasztásokat aktivál, függetlenül attól, hogy a riasztás az OT vagy az informatikai forgalomhoz kapcsolódik-e.

OT-riasztások kezelése hibrid környezetben

A hibrid környezetekben dolgozó felhasználók ot-riasztásokat kezelhetnek az Azure Portalon vagy az OT-érzékelőn futó Defender for IoT-ben.

Feljegyzés

Míg az érzékelőkonzol valós időben jeleníti meg a riasztás utolsó észlelési mezőjét, az Azure Portalon a Defender for IoT akár egy órát is igénybe vehet a frissített idő megjelenítéséhez. Ez egy olyan forgatókönyvet ismertet, amelyben az érzékelőkonzol utolsó észlelési ideje nem ugyanaz, mint az Azure Portal legutóbbi észlelési ideje.

A riasztási állapotok egyébként teljesen szinkronizálódnak az Azure Portal és az OT-érzékelő között. Ez azt jelenti, hogy függetlenül attól, hogy hol kezeli a riasztást az IoT Defenderben, a riasztás más helyeken is frissül.

Ha egy riasztás állapotát Bezárva vagy Elnémítva értékre állítja egy érzékelőn, a riasztás állapota az Azure Portalon lezárva állapotúra frissül.

Tipp.

Ha a Microsoft Sentinellel dolgozik, javasoljuk, hogy konfigurálja az integrációt úgy, hogy szinkronizálja a riasztási állapotot a Microsoft Sentinellel, majd kezelje a riasztási állapotokat a kapcsolódó Microsoft Sentinel-incidensekkel együtt.

További információ: Oktatóanyag: Az IoT-eszközök fenyegetéseinek vizsgálata és észlelése.

Vállalati IoT-riasztások és Végponthoz készült Microsoft Defender

Ha nagyvállalati IoT-biztonságot használ a Microsoft 365 Defenderben, a Végponthoz készült Microsoft Defender által észlelt nagyvállalati IoT-eszközökre vonatkozó riasztások csak a Microsoft 365 Defenderben érhetők el. A Végponthoz készült Microsoft Defender számos hálózati alapú észlelése a nagyvállalati IoT-eszközökre vonatkozik, például a felügyelt végpontokat érintő vizsgálatok által aktivált riasztások.

További információ: IoT-eszközök biztonságossá tétele a nagyvállalatban és a Riasztások üzenetsor a Microsoft 365 Defenderben.

Az OT-riasztási munkafolyamatok felgyorsítása

Az új riasztások automatikusan le lesznek zárva, ha a kezdeti észlelés után 90 nappal nem észlelhető azonos forgalom. Ha az első 90 napon belül azonos forgalom észlelhető, a 90 napos szám alaphelyzetbe áll.

Az alapértelmezett viselkedésen kívül érdemes lehet segítenie az SOC és az OT felügyeleti csapatának a riasztások gyorsabb osztályozásában és szervizelésében. Jelentkezzen be egy OT-érzékelőbe rendszergazdai felhasználóként az alábbi lehetőségek használatához:

  • Egyéni riasztási szabályok létrehozása. Csak OT-érzékelők.

    Adjon hozzá egyéni riasztási szabályokat, amelyekkel riasztásokat aktiválhat a hálózaton olyan adott tevékenységekkel kapcsolatban, amelyekre nem terjed ki a beépített funkció.

    A MODBUS-t futtató környezetek esetében például hozzáadhat egy szabályt, amely észleli az írott parancsokat egy adott IP-címen és Ethernet-célhelyen található memóriaregisztrálásban.

    További információ: Egyéni riasztási szabályok létrehozása egy OT-érzékelőn.

  • Riasztási megjegyzések létrehozása. Csak OT-érzékelők.

    Hozzon létre egy riasztási megjegyzéskészletet, amelyet más OT-érzékelő felhasználói hozzáadhatnak az egyes riasztásokhoz, olyan részletekkel, mint például az egyéni kockázatcsökkentési lépések, a más csapattagok felé irányuló kommunikáció, vagy az eseményre vonatkozó egyéb megállapítások vagy figyelmeztetések.

    A csapattagok újra felhasználhatják ezeket az egyéni megjegyzéseket a riasztási állapotok osztályozása és kezelésekor. A riasztások megjegyzései a riasztás részletei oldalon lévő megjegyzések területén jelennek meg. Példa:

    Képernyőkép a riasztás megjegyzéseinek területéről.

    További információ: Riasztási megjegyzések létrehozása egy OT-érzékelőn.

  • Riasztási adatok továbbítása partnerrendszereknek partner SIEM-eknek, syslog-kiszolgálóknak, megadott e-mail-címeknek stb.

    Az OT-érzékelők által támogatott további információkért lásd a Riasztások továbbítása című témakört.

Riasztási állapotok és osztályozási beállítások

Az alábbi riasztási állapotokkal és osztályozási lehetőségekkel kezelheti a riasztásokat a Defender for IoT-ben.

A riasztások osztályozásakor vegye figyelembe, hogy egyes riasztások érvényes hálózati változásokat tükrözhetnek, például egy engedélyezett eszköz, amely egy másik eszközön próbál hozzáférni egy új erőforráshoz.

Bár az OT-érzékelőből származó osztályozási lehetőségek csak az OT-riasztásokhoz érhetők el, az Azure Portalon elérhető beállítások az OT- és a Nagyvállalati IoT-riasztásokhoz is elérhetők.

Az alábbi táblázat segítségével további információkat tudhat meg az egyes riasztási állapotokról és osztályozási lehetőségekről.

Állapot/osztályozási művelet Elérhető a következőn: Leírás
Új - Azure Portal

- OT hálózati érzékelők
Az új riasztások olyan riasztások, amelyeket még nem vizsgált meg vagy vizsgált meg a csapat. Az ugyanahhoz az eszközhöz észlelt új forgalom nem hoz létre új riasztást, hanem hozzáadódik a meglévő riasztáshoz.

Megjegyzés: Előfordulhat, hogy több, azonos nevű új riasztás jelenik meg. Ilyen esetekben az egyes különálló riasztásokat külön forgalom aktiválja, különböző eszközcsoportokon.
Aktív - Csak az Azure Portalon Állítson be egy aktív riasztást, amely azt jelzi, hogy vizsgálat van folyamatban, de a riasztás még nem zárható be vagy más módon nem állítható be.

Ennek az állapotnak máshol nincs hatása az IoT Defenderben.
Zárt - Azure Portal

- OT hálózati érzékelők
Zárjon be egy riasztást, amely jelzi, hogy teljes mértékben ki van vizsgálva, és a következő alkalommal, amikor ugyanazt a forgalmat észleli, ismét riasztást szeretne kapni.

A riasztás bezárása hozzáadja az érzékelő eseménysorához.
Információ - Azure Portal

- OT hálózati érzékelők

A riasztások használatának megszüntetése csak az OT-érzékelőn érhető el.
Megtudhatja, hogy mikor szeretné bezárni és engedélyezett forgalomként hozzáadni egy riasztást, hogy a rendszer ne riasztást küldjön, amikor legközelebb ugyanazt a forgalmat észleli.

Ha például az érzékelő a szokásos karbantartási eljárásokat követve észleli a belső vezérlőprogram verzióváltozásait, vagy új, várt eszközt ad hozzá a hálózathoz.

A riasztás megismerése bezárja a riasztást, és hozzáad egy elemet az érzékelő eseménysorához. Az észlelt forgalom szerepel az adatbányászati jelentésekben, más OT-érzékelős jelentések kiszámításakor azonban nem.

A tanulási riasztások csak a kiválasztott riasztásokhoz érhetők el, többnyire a Szabályzat és az Anomáliamotor riasztásai által aktivált riasztásokhoz.
Néma - OT hálózati érzékelők

A riasztások visszahangosítása csak az OT-érzékelőn érhető el.
Elnémíthat egy riasztást, ha be szeretné zárni, és nem látja újra ugyanazt a forgalmat, de a riasztás által engedélyezett forgalom hozzáadása nélkül.

Ha például az operatív motor aktivál egy riasztást, amely azt jelzi, hogy a PLC mód megváltozott egy eszközön. Az új mód azt jelezheti, hogy a PLC nem biztonságos, de a vizsgálat után megállapították, hogy az új mód elfogadható.

A riasztás elnémításával bezárul, de nem ad hozzá elemet az érzékelő eseménysorához. Az észlelt forgalom szerepel az adatbányászati jelentésekben, más érzékelőjelentések adatainak kiszámításakor azonban nem.

A riasztások elnémítása csak a kiválasztott riasztásokhoz érhető el, többnyire az anomália, a protokollmegsértés vagy az operatív motorok által aktivált riasztásokhoz.

Ot-riasztások osztályozása tanulási módban

A tanulási mód az OT-érzékelő üzembe helyezésének kezdeti időszakát jelenti, amikor az OT-érzékelő megismeri a hálózat alaptevékenységét, beleértve a hálózat eszközeit és protokolljait, valamint az adott eszközök közötti rendszeres fájlátviteleket.

A tanulási mód használatával elvégezhet egy kezdeti osztályozást a hálózaton lévő riasztásokon, és megismerheti azokat, amelyeket engedélyezettként, elvárt tevékenységként szeretne megjelölni. A tanult forgalom nem hoz létre új riasztásokat, amikor legközelebb ugyanazt a forgalmat észleli.

További információ: Az OT-riasztások tanult alapkonfigurációjának létrehozása.

Következő lépések

Tekintse át a riasztástípusokat és üzeneteket, hogy könnyebben megérthesse és megtervezhesse a szervizelési műveleteket és a forgatókönyv-integrációkat. További információ: OT monitorozási riasztástípusok és leírások.