Microsoft Defender for IoT-riasztások
A Microsoft Defender for IoT-riasztások növelik a hálózat biztonságát és műveleteit a hálózatban naplózott események valós idejű adataival. A riasztások akkor aktiválódnak, ha az OT hálózati érzékelői olyan változásokat vagy gyanús tevékenységeket észlelnek a hálózati forgalomban, amelyekre szüksége van a figyelmére.
Példa:
A Riasztások lapon vagy a riasztás részleteit tartalmazó lapon megjelenő részletek segítségével kivizsgálhatja és végrehajthatja a hálózatra vonatkozó kockázatokat elhárító műveleteket, akár a kapcsolódó eszközökről, akár a riasztást kiváltó hálózati folyamatból.
Tipp.
A riasztások szervizelési lépéseivel segíthet az SOC-csapatoknak megérteni a lehetséges problémákat és megoldásokat. Javasoljuk, hogy tekintse át a javasolt szervizelési lépéseket, mielőtt frissítené a riasztási állapotot, vagy műveletet hajt végre az eszközön vagy a hálózaton.
Riasztáskezelési beállítások
Az IoT-alapú Defender-riasztások az Azure Portalon vagy az OT hálózati érzékelő konzolján érhetők el. Nagyvállalati IoT-biztonság esetén a riasztások a Microsoft 365 Defenderben a Defender által az Endpointhez készült Defender által észlelt nagyvállalati IoT-eszközökhöz is elérhetők.
Bár megtekintheti a riasztások részleteit, megvizsgálhatja a riasztási környezetet, valamint a riasztási állapotok osztályozását és kezelését bármely ilyen helyről, az egyes helyek további riasztási műveleteket is kínálnak. Az alábbi táblázat az egyes helyeken támogatott riasztásokat és a csak az adott helyről elérhető további műveleteket ismerteti:
Hely | Leírás | További riasztási műveletek |
---|---|---|
Azure Portalra | Riasztások az összes felhőalapú OT-érzékelőtől | - Kapcsolódó MITRE ATT&CK-taktikák és technikák megtekintése – Beépített munkafüzetek használata a magas prioritású riasztások láthatóságához – Tekintse meg a Microsoft Sentinel riasztásait, és alaposabban vizsgálja meg a Microsoft Sentinel forgatókönyveit és munkafüzeteit. |
OT hálózati érzékelő konzolok | Az OT-érzékelő által generált riasztások | – A riasztás forrásának és céljának megtekintése az eszköztérképen – Kapcsolódó események megtekintése az esemény ütemtervében – Riasztások közvetlen továbbítása partnerszállítóknak – Riasztási megjegyzések létrehozása – Egyéni riasztási szabályok létrehozása – Riasztások kivezetésének megszüntetése |
Microsoft 365 Defender | A Végponthoz készült Microsoft Defender által észlelt nagyvállalati IoT-eszközökhöz létrehozott riasztások | – Riasztási adatok kezelése más Microsoft 365 Defender-adatokkal együtt, beleértve a speciális vadászatot is |
Tipp.
Az azonos zónában lévő különböző érzékelőkből, 10 perces időkereten belül létrehozott riasztások, amelyek típusa, állapota, riasztási protokollja és kapcsolódó eszközei egyetlen, egységes riasztásként vannak felsorolva.
- A 10 perces időkeret a riasztás első észlelési idején alapul.
- Az egységesített riasztás felsorolja a riasztást észlelő összes érzékelőt.
- A riasztások a riasztási protokollon alapulnak, és nem az eszközprotokollon alapulnak.
További információk:
- Riasztások adatmegőrzése
- Az OT-riasztási munkafolyamatok felgyorsítása
- Riasztási állapotok és osztályozási beállítások
- OT-helyek és zónák tervezése
A riasztási lehetőségek a tartózkodási helytől és a felhasználói szerepkörtől függően is eltérnek. További információkért tekintse meg az Azure felhasználói szerepköreit és engedélyeit , valamint a helyszíni felhasználókat és szerepköröket.
Riasztási szabálysértések összesítése
Az azonos riasztások nagy száma által okozott riasztási fáradtság azt eredményezheti, hogy a csapat nem látja vagy orvosolja a létfontosságú riasztásokat. A Riasztások lapon felsorolt összes riasztás egy hálózat megsértésének eredménye, például a Modbus-függvénykód nem engedélyezett használata. Ha a szabálysértéseket ugyanazokkal a paraméterekkel és szervizelési követelményekkel összesíti egyetlen riasztási listába, csökkenti a Riasztások lapon megjelenő riasztások számát. Az egyező paraméterek a riasztás típusától függően eltérőek. A Modbus-függvénykód nem engedélyezett használatára vonatkozó riasztásnak például ugyanazzal a forrás- és cél IP-címmel kell rendelkeznie az összesített riasztások megsértésének létrehozásához. Az összesített riasztás különböző szabálysértési kódokkal, például olvasási és írási kódokkal rendelkező riasztásokat tartalmazhat.
Letölti az összesített riasztási szabálysértési adatokat, amelyek a riasztás részleteinek Szabálysértések lapján CSV-fájlként listázza az egyes riasztásokat a megfelelő paraméterekkel és funkciókkal. Ezek az adatok segíthetnek a csapatoknak a minták azonosításában, a hatás felmérésében és a válaszok hatékonyabb rangsorolásában a Művelet végrehajtása lapon található szervizelési javaslatok alapján. Csak az azonos szervizelési folyamatú riasztások lesznek összesítve egyetlen riasztásba. Az egyes szabálysértési események azonban továbbra is külön tekinthetők meg a saját eszközeiken belül, további egyértelműséget biztosítva.
Az összesíthető riasztások az Aggregált címsor alatti Riasztások hivatkozási házirendmotor riasztási tábláiban jelennek meg.
A riasztások csoportosítása megjelenik az OT-érzékelő konzolján és az Azure Portalon is. További információ: összesített riasztások szervizelése a Sensor-konzolon és az összesített riasztások szervizelése az Azure Portalon.
Szűrt riasztások OT/IT-környezetekben
Azokat a szervezeteket, amelyekben az érzékelők az OT és az informatikai hálózatok között vannak üzembe helyezve, számos riasztással foglalkoznak, amelyek mind az OT, mind az informatikai forgalomhoz kapcsolódnak. A riasztások mennyisége, amelyek némelyike irreleváns, a riasztások kifáradását okozhatja, és hatással lehet az általános teljesítményre. Ezeknek a kihívásoknak a megoldása érdekében az IoT-hez készült Defender észlelési szabályzata a különböző riasztási motorokat irányítja, hogy az üzleti hatással rendelkező és az OT-hálózat szempontjából releváns riasztásokra összpontosítson, és csökkentse az alacsony értékű informatikai riasztásokat. A jogosulatlan internetkapcsolat riasztása például nagyon fontos egy OT-hálózaton, de viszonylag alacsony az értéke egy informatikai hálózatban.
Az ezekben a környezetekben aktivált riasztások fókuszba helyezéséhez az összes riasztási motor – a Kártevőmotor kivételével – csak akkor aktiválja a riasztásokat, ha egy kapcsolódó OT-alhálózatot vagy protokollt észlelnek.
Azonban a kritikus forgatókönyveket jelző riasztások aktiválásának fenntartása:
- A kártevőmotor a kártevő-riasztásokat aktiválja, függetlenül attól, hogy a riasztások ot vagy informatikai eszközökhöz kapcsolódnak-e.
- A többi motor kivételeket tartalmaz a kritikus helyzetekhez. Az operatív motor például az érzékelőforgalommal kapcsolatos riasztásokat aktivál, függetlenül attól, hogy a riasztás az OT vagy az informatikai forgalomhoz kapcsolódik-e.
OT-riasztások kezelése hibrid környezetben
A hibrid környezetekben dolgozó felhasználók ot-riasztásokat kezelhetnek az Azure Portalon vagy az OT-érzékelőn futó Defender for IoT-ben.
Feljegyzés
Míg az érzékelőkonzol valós időben jeleníti meg a riasztás utolsó észlelési mezőjét, az Azure Portalon a Defender for IoT akár egy órát is igénybe vehet a frissített idő megjelenítéséhez. Ez egy olyan forgatókönyvet ismertet, amelyben az érzékelőkonzol utolsó észlelési ideje nem ugyanaz, mint az Azure Portal legutóbbi észlelési ideje.
A riasztási állapotok egyébként teljesen szinkronizálódnak az Azure Portal és az OT-érzékelő között. Ez azt jelenti, hogy függetlenül attól, hogy hol kezeli a riasztást az IoT Defenderben, a riasztás más helyeken is frissül.
Ha egy riasztás állapotát Bezárva vagy Elnémítva értékre állítja egy érzékelőn, a riasztás állapota az Azure Portalon lezárva állapotúra frissül.
Tipp.
Ha a Microsoft Sentinellel dolgozik, javasoljuk, hogy konfigurálja az integrációt úgy, hogy szinkronizálja a riasztási állapotot a Microsoft Sentinellel, majd kezelje a riasztási állapotokat a kapcsolódó Microsoft Sentinel-incidensekkel együtt.
További információ: Oktatóanyag: Az IoT-eszközök fenyegetéseinek vizsgálata és észlelése.
Vállalati IoT-riasztások és Végponthoz készült Microsoft Defender
Ha nagyvállalati IoT-biztonságot használ a Microsoft 365 Defenderben, a Végponthoz készült Microsoft Defender által észlelt nagyvállalati IoT-eszközökre vonatkozó riasztások csak a Microsoft 365 Defenderben érhetők el. A Végponthoz készült Microsoft Defender számos hálózati alapú észlelése a nagyvállalati IoT-eszközökre vonatkozik, például a felügyelt végpontokat érintő vizsgálatok által aktivált riasztások.
További információ: IoT-eszközök biztonságossá tétele a nagyvállalatban és a Riasztások üzenetsor a Microsoft 365 Defenderben.
Az OT-riasztási munkafolyamatok felgyorsítása
Az új riasztások automatikusan le lesznek zárva, ha a kezdeti észlelés után 90 nappal nem észlelhető azonos forgalom. Ha az első 90 napon belül azonos forgalom észlelhető, a 90 napos szám alaphelyzetbe áll.
Az alapértelmezett viselkedésen kívül érdemes lehet segítenie az SOC és az OT felügyeleti csapatának a riasztások gyorsabb osztályozásában és szervizelésében. Jelentkezzen be egy OT-érzékelőbe rendszergazdai felhasználóként az alábbi lehetőségek használatához:
Egyéni riasztási szabályok létrehozása. Csak OT-érzékelők.
Adjon hozzá egyéni riasztási szabályokat, amelyekkel riasztásokat aktiválhat a hálózaton olyan adott tevékenységekkel kapcsolatban, amelyekre nem terjed ki a beépített funkció.
A MODBUS-t futtató környezetek esetében például hozzáadhat egy szabályt, amely észleli az írott parancsokat egy adott IP-címen és Ethernet-célhelyen található memóriaregisztrálásban.
További információ: Egyéni riasztási szabályok létrehozása egy OT-érzékelőn.
Riasztási megjegyzések létrehozása. Csak OT-érzékelők.
Hozzon létre egy riasztási megjegyzéskészletet, amelyet más OT-érzékelő felhasználói hozzáadhatnak az egyes riasztásokhoz, olyan részletekkel, mint például az egyéni kockázatcsökkentési lépések, a más csapattagok felé irányuló kommunikáció, vagy az eseményre vonatkozó egyéb megállapítások vagy figyelmeztetések.
A csapattagok újra felhasználhatják ezeket az egyéni megjegyzéseket a riasztási állapotok osztályozása és kezelésekor. A riasztások megjegyzései a riasztás részletei oldalon lévő megjegyzések területén jelennek meg. Példa:
További információ: Riasztási megjegyzések létrehozása egy OT-érzékelőn.
Riasztási adatok továbbítása partnerrendszereknek partner SIEM-eknek, syslog-kiszolgálóknak, megadott e-mail-címeknek stb.
Az OT-érzékelők által támogatott további információkért lásd a Riasztások továbbítása című témakört.
Riasztási állapotok és osztályozási beállítások
Az alábbi riasztási állapotokkal és osztályozási lehetőségekkel kezelheti a riasztásokat a Defender for IoT-ben.
A riasztások osztályozásakor vegye figyelembe, hogy egyes riasztások érvényes hálózati változásokat tükrözhetnek, például egy engedélyezett eszköz, amely egy másik eszközön próbál hozzáférni egy új erőforráshoz.
Bár az OT-érzékelőből származó osztályozási lehetőségek csak az OT-riasztásokhoz érhetők el, az Azure Portalon elérhető beállítások az OT- és a Nagyvállalati IoT-riasztásokhoz is elérhetők.
Az alábbi táblázat segítségével további információkat tudhat meg az egyes riasztási állapotokról és osztályozási lehetőségekről.
Állapot/osztályozási művelet | Elérhető a következőn: | Leírás |
---|---|---|
Új | - Azure Portal - OT hálózati érzékelők |
Az új riasztások olyan riasztások, amelyeket még nem vizsgált meg vagy vizsgált meg a csapat. Az ugyanahhoz az eszközhöz észlelt új forgalom nem hoz létre új riasztást, hanem hozzáadódik a meglévő riasztáshoz. Megjegyzés: Előfordulhat, hogy több, azonos nevű új riasztás jelenik meg. Ilyen esetekben az egyes különálló riasztásokat külön forgalom aktiválja, különböző eszközcsoportokon. |
Aktív | - Csak az Azure Portalon | Állítson be egy aktív riasztást, amely azt jelzi, hogy vizsgálat van folyamatban, de a riasztás még nem zárható be vagy más módon nem állítható be. Ennek az állapotnak máshol nincs hatása az IoT Defenderben. |
Zárt | - Azure Portal - OT hálózati érzékelők |
Zárjon be egy riasztást, amely jelzi, hogy teljes mértékben ki van vizsgálva, és a következő alkalommal, amikor ugyanazt a forgalmat észleli, ismét riasztást szeretne kapni. A riasztás bezárása hozzáadja az érzékelő eseménysorához. |
Információ | - Azure Portal - OT hálózati érzékelők A riasztások használatának megszüntetése csak az OT-érzékelőn érhető el. |
Megtudhatja, hogy mikor szeretné bezárni és engedélyezett forgalomként hozzáadni egy riasztást, hogy a rendszer ne riasztást küldjön, amikor legközelebb ugyanazt a forgalmat észleli. Ha például az érzékelő a szokásos karbantartási eljárásokat követve észleli a belső vezérlőprogram verzióváltozásait, vagy új, várt eszközt ad hozzá a hálózathoz. A riasztás megismerése bezárja a riasztást, és hozzáad egy elemet az érzékelő eseménysorához. Az észlelt forgalom szerepel az adatbányászati jelentésekben, más OT-érzékelős jelentések kiszámításakor azonban nem. A tanulási riasztások csak a kiválasztott riasztásokhoz érhetők el, többnyire a Szabályzat és az Anomáliamotor riasztásai által aktivált riasztásokhoz. |
Néma | - OT hálózati érzékelők A riasztások visszahangosítása csak az OT-érzékelőn érhető el. |
Elnémíthat egy riasztást, ha be szeretné zárni, és nem látja újra ugyanazt a forgalmat, de a riasztás által engedélyezett forgalom hozzáadása nélkül. Ha például az operatív motor aktivál egy riasztást, amely azt jelzi, hogy a PLC mód megváltozott egy eszközön. Az új mód azt jelezheti, hogy a PLC nem biztonságos, de a vizsgálat után megállapították, hogy az új mód elfogadható. A riasztás elnémításával bezárul, de nem ad hozzá elemet az érzékelő eseménysorához. Az észlelt forgalom szerepel az adatbányászati jelentésekben, más érzékelőjelentések adatainak kiszámításakor azonban nem. A riasztások elnémítása csak a kiválasztott riasztásokhoz érhető el, többnyire az anomália, a protokollmegsértés vagy az operatív motorok által aktivált riasztásokhoz. |
Ot-riasztások osztályozása tanulási módban
A tanulási mód az OT-érzékelő üzembe helyezésének kezdeti időszakát jelenti, amikor az OT-érzékelő megismeri a hálózat alaptevékenységét, beleértve a hálózat eszközeit és protokolljait, valamint az adott eszközök közötti rendszeres fájlátviteleket.
A tanulási mód használatával elvégezhet egy kezdeti osztályozást a hálózaton lévő riasztásokon, és megismerheti azokat, amelyeket engedélyezettként, elvárt tevékenységként szeretne megjelölni. A tanult forgalom nem hoz létre új riasztásokat, amikor legközelebb ugyanazt a forgalmat észleli.
További információ: Az OT-riasztások tanult alapkonfigurációjának létrehozása.
Következő lépések
Tekintse át a riasztástípusokat és üzeneteket, hogy könnyebben megérthesse és megtervezhesse a szervizelési műveleteket és a forgatókönyv-integrációkat. További információ: OT monitorozási riasztástípusok és leírások.