Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Оповещения Microsoft Defender для Интернета вещей повышают безопасность сети и операции с подробными сведениями о событиях, зарегистрированных в сети в режиме реального времени. Оповещения активируются, когда сетевые датчики OT обнаруживают изменения или подозрительные действия в сетевом трафике, который нуждается в вашем внимания.
Например:
Используйте сведения, отображаемые на странице оповещений или на странице сведений об оповещении, для изучения и принятия мер, которые устраняют любой риск для вашей сети, от связанных устройств или сетевого процесса, активировающего оповещение.
Совет
Используйте действия по исправлению оповещений, чтобы помочь командам SOC понять возможные проблемы и решения. Рекомендуется ознакомиться с рекомендациями по исправлению перед обновлением состояния оповещения или принятием действий на устройстве или сети.
Параметры управления оповещениями
Оповещения Defender для Интернета вещей доступны в портале Azure или на консолях сетевых датчиков OT. Благодаря безопасности Enterprise IoT оповещения также доступны для устройств Enterprise IoT, обнаруженных Defender для конечной точки, в Microsoft 365 Defender.
Хотя вы можете просматривать сведения об оповещении, исследовать контекст оповещения и управлять статусами оповещений из любого из этих мест, каждое место также предлагает дополнительные действия с оповещениями. В следующей таблице описываются оповещения, поддерживаемые для каждого расположения, и дополнительные действия, доступные только из этого расположения:
| Расположение | Описание | Дополнительные действия оповещений |
|---|---|---|
| Портал Azure | Оповещения от всех подключенных к облаку датчиков OT | — Просмотр связанных тактик и методов MITRE ATT&CK — Использование предустановленных рабочих книг для мониторинга оповещений с высоким приоритетом — Просмотр оповещений из Microsoft Sentinel и более глубокое расследование с использованием плейбуков и книг Microsoft Sentinel. |
| Консоли сетевых датчиков OT | Оповещения, созданные этим датчиком OT | — Просмотр источника и назначения оповещения на карте устройства — Просмотр связанных событий на временной шкале событий — переадресация оповещений непосредственно поставщикам партнеров Создавайте комментарии с оповещениями — создание настраиваемых правил генерации оповещений — отмена оповещений |
| Microsoft 365 Defender | Оповещения, создаваемые для корпоративных устройств IoT, обнаруженных Microsoft Defender для конечных точек | — управление данными оповещений вместе с другими данными Microsoft 365 Defender, включая расширенную охоту |
Совет
Все оповещения, созданные из разных датчиков в той же зоне в пределах 10-минутного интервала времени, с одинаковым типом, состоянием, протоколом оповещений и связанными устройствами, перечислены в виде единого единого оповещения.
- 10-минутный интервал времени основан на времени первого обнаружения оповещения.
- Единственное единое оповещение содержит список всех датчиков, обнаруженных оповещением.
- Оповещения объединяются на основе протокола генерации оповещений , а не протокола устройства.
Дополнительные сведения см. в разделе:
- Хранение данных оповещений
- Ускорение процессов обработки предупреждений OT
- Состояния оповещений и параметры сортировки
- Планирование сайтов и зон OT
Параметры оповещений также отличаются в зависимости от расположения и роли пользователя. Дополнительные сведения см. в статье о ролях пользователей и разрешениях Azure, а также локальных пользователей и ролей.
Агрегирование нарушений оповещений
Усталость оповещений, вызванная большим количеством идентичных оповещений, может привести к тому, что команда не сможет видеть или исправлять важные оповещения. Каждое оповещение, указанное на странице "Оповещения", является результатом нарушения сети, например непредназначенных использования кода функции Modbus. Агрегирование нарушений с теми же параметрами и требованиями к исправлению в одном списке оповещений уменьшает количество оповещений, отображаемых на странице "Оповещения". Соответствующие параметры различаются в зависимости от типа оповещения. Например, оповещение о неразрешённом использовании кода функции Modbus должно иметь одинаковые исходные и конечные IP-адреса для создания агрегированного оповещения о нарушении. Агрегированное оповещение может включать оповещения с различными кодами нарушений, такими как коды чтения и записи.
Вы скачиваете агрегированные данные о нарушении оповещений, которые перечисляют каждое оповещение с соответствующими параметрами и функциями, в виде CSV-файла на вкладке "Нарушения " сведений об оповещениях. Эти данные могут помочь командам определить шаблоны, оценить влияние и определить приоритеты ответов более эффективно на основе предложений по исправлению на вкладке " Действие". Только оповещения, имеющие тот же процесс исправления, объединяются в одно оповещение. Однако отдельные события нарушения по-прежнему можно просматривать отдельно на своих устройствах, обеспечивая дополнительную ясность.
Оповещения, которые можно агрегировать, перечислены в таблицах оповещений справочной информации политики под заголовком Агрегированные.
Группирование оповещений отображается как в консоли датчика OT, так и в портале Azure. Дополнительные сведения см. в статье об исправлении агрегированных оповещений в консоли датчика и исправлении агрегированных оповещений в портал Azure.
Специализированные оповещения в средах OT/IT
Организации, где датчики развертываются между OT и ИТ-сетями, имеют множество оповещений, связанных как с OT, так и с ИТ-трафиком. Количество оповещений, некоторые из которых являются неуместными, могут привести к усталости оповещений и повлиять на общую производительность. Чтобы устранить эти проблемы, политика обнаружения Defender для Интернета вещей управляет различными обработчиками оповещений, чтобы сосредоточиться на оповещениях с бизнес-воздействием и релевантностью для сети OT, а также сократить низкоценные ИТ-связанные оповещения. Например, оповещение о несанкционированном подключении к Интернету очень актуально в сети OT, но имеет относительно низкое значение в ИТ-сети.
Чтобы сосредоточить оповещения, активированные в этих средах, все подсистемы оповещений, кроме обработчика вредоносных программ , активируют оповещения только в том случае, если они обнаруживают связанную подсеть OT или протокол.
Однако для поддержания активации оповещений, указывающих на критические сценарии:
- Движок вредоносного ПО запускает оповещения независимо от того, связаны ли они с OT или ИТ-устройствами.
- Другие механизмы включают исключения для критических сценариев. Например, операционный механизм активирует оповещения, связанные с трафиком датчика, независимо от того, связано ли оповещение с OT или ИТ-трафиком.
Управление оповещениями OT в гибридной среде
Пользователи, работающие в гибридных средах, могут управлять оповещениями OT в Defender for IoT на портале Azure или на датчике OT.
Примечание.
Хотя консоль датчика отображает поле последнего обнаружения оповещения в режиме реального времени, Defender для Интернета вещей в портале Azure может занять до одного часа, чтобы отобразить обновленное время. Это объясняет ситуацию, когда время последнего обнаружения в консоли датчика не совпадает с временем последнего обнаружения в портале Azure.
Состояния оповещений полностью синхронизированы между порталом Azure и датчиком OT. Это означает, что независимо от того, где вы управляете оповещением в Defender для Интернета вещей, оповещение также обновляется в других расположениях.
Установка состояния оповещения на значение Закрыто или Отключить на датчике обновляет состояние оповещения на Закрыто на портале Azure.
Совет
Если вы работаете с Microsoft Sentinel, рекомендуется настроить интеграцию для синхронизации состояния оповещения с Microsoft Sentinel, а затем управлять состояниями оповещений вместе с соответствующими инцидентами Microsoft Sentinel.
Дополнительные сведения см. в руководстве по изучению и обнаружению угроз для устройств Интернета вещей.
Оповещения Enterprise IoT и Microsoft Defender для конечной точки
Если вы используете Enterprise IoT безопасность в Microsoft 365 Defender, оповещения для устройств Enterprise IoT, обнаруженных с помощью Microsoft Defender для Endpoint, доступны только в Microsoft 365 Defender. Многие сетевые обнаружения из Microsoft Defender для конечной точки относятся к устройствам Enterprise IoT, таким как оповещения, инициируемые сканированием с участием управляемых конечных точек.
Дополнительные сведения см. в разделе "Защита устройств Интернета вещей в организации " и очереди оповещений в Microsoft 365 Defender.
Ускорение рабочих процессов оповещений OT
Новые оповещения автоматически закрываются, если после первоначального обнаружения идентичный трафик не обнаруживается 90 дней. Если идентичный трафик обнаруживается в течение первых 90 дней, счетчик 90 дней сбрасывается.
В дополнение к поведению по умолчанию, может потребоваться помочь командам управления SOC и OT быстрее триажировать и устранять оповещения. Войдите в датчик OT от имени администратора , чтобы использовать следующие параметры:
Создание настраиваемых правил генерации оповещений. Только датчики ОТ.
Добавьте настраиваемые правила генерации оповещений для определенных действий в сети, которые не охватываются встроенными функциями.
Например, для среды под управлением MODBUS можно добавить правило для обнаружения любых записанных команд в регистр памяти для определенного IP-адреса и назначения Ethernet.
Дополнительные сведения см. в разделе "Создание настраиваемых правил генерации оповещений" на датчике OT.
Создать комментарии оповещений. Только датчики ОТ.
Создайте набор комментариев оповещений, которые другие пользователи датчика OT могут добавлять в отдельные оповещения, используя такие сведения, как пользовательские действия по устранению рисков, обмен данными с другими участниками команды или другие аналитические сведения или предупреждения о событии.
Участники команды могут повторно использовать эти пользовательские комментарии по мере их обработки и управления состояниями оповещений. Примечания оповещений отображаются в области комментариев на странице сведений об оповещении. Например:
Дополнительные сведения см. в разделе "Создание комментариев к оповещениям на датчике OT".
Переадресация данных оповещений в партнерские системы SIEMs, серверы системного журнала, указанные адреса электронной почты и многое другое.
Поддерживаемые датчиками OT дополнительные сведения см. в разделе "Переадресация оповещений".
Состояния оповещений и параметры сортировки
Используйте следующие статусы оповещений и параметры сортировки для управления оповещениями в Defender для IoT.
При проверке оповещения следует учитывать, что некоторые оповещения могут отражать допустимые изменения сети, такие как авторизованное устройство, пытающееся получить доступ к новому ресурсу на другом устройстве.
Хотя варианты сортировки от датчика OT доступны только для оповещений OT, варианты, доступные на портале Azure, доступны как для оповещений OT, так и для оповещений Enterprise IoT.
Используйте следующую таблицу, чтобы узнать больше о каждом состоянии оповещения и параметре сортировки.
| Статус / действие triage | Дата доступности | Описание |
|---|---|---|
| Новый | - портал Azure — сетевые датчики OT |
Новые оповещения — это оповещения, которые еще не были маршрутизированы или расследованы командой. Новый трафик, обнаруженный для одних и того же устройства, не создает новое оповещение, но добавляется в существующее оповещение. Примечание. Возможно, вы увидите нескольконовых оповещений с одинаковым именем. В таких случаях каждое отдельное оповещение активируется отдельным трафиком на разных наборах устройств. |
| Активные | — только портал Azure | Задайте для оповещения "Активный", чтобы указать, что ведется расследование, но оповещение пока не может быть закрыто или иным образом обработано. Это состояние не действует в другом месте в Defender для Интернета вещей. |
| Закрытые | - портал Azure — сетевые датчики OT |
Закройте оповещение, чтобы указать, что он полностью расследуется, и вы хотите снова быть оповещенным при следующем обнаружении того же трафика. Закрытие оповещения добавляет его на временную шкалу событий датчика. |
| Learn | - портал Azure — сетевые датчики OT Отмена оповещения доступна только на датчике OT. |
Узнайте оповещение, когда вы хотите закрыть его и добавить его в качестве разрешенного трафика, чтобы вы не были оповещены еще раз при следующем обнаружении того же трафика. Например, когда датчик обнаруживает изменения версий встроенного ПО после стандартных процедур обслуживания или при добавлении нового устройства в сеть. Обучение оповещению закрывает оповещение и добавляет элемент на временную шкалу событий датчика. Обнаруженный трафик включается в отчеты интеллектуального анализа данных, но не при вычислении других отчетов датчика OT. Оповещения об обучении доступны только для выбранных оповещений, в основном тех, которые активируются оповещениями о политике и подсистеме аномалий . |
| Немой | — сетевые датчики OT Отмена оповещения доступна только на датчике OT. |
Отключите оповещение, если вы хотите закрыть его и не увидеть снова для одного и того же трафика, но без добавления разрешенного трафика. Например, когда операционный модуль активирует оповещение, указывающее, что режим PLC был изменен на устройстве. Новый режим может указывать на то, что PLC не является безопасным, но после исследования определено, что новый режим является приемлемым. Отключение оповещения закрывает его, но не добавляет элемент на временную шкалу событий датчика. Обнаруженный трафик включен в отчёты по извлечению данных, но не учитывается при расчёте данных для других отчетов датчиков. Отключение оповещения доступно только для выбранных оповещений, в основном тех, которые активируются аномалией, нарушением протокола или операционными подсистемами. |
Триадж оповещений OT в режиме обучения
Режим обучения относится к начальному периоду после развертывания датчика OT, когда датчик OT узнает о базовом действии вашей сети, включая устройства и протоколы в сети, а также регулярные передачи файлов между определенными устройствами.
Используйте режим обучения, чтобы выполнить начальную проверку оповещений в сети, выбирая те, которые вы хотите пометить как авторизованные, ожидаемые активности. Обученный трафик не создает новые оповещения при следующем обнаружении того же трафика.
Для получения дополнительной информации см. Создание обученной базовой линии для оповещений OT.
Следующие шаги
Просмотрите типы оповещений и сообщения, которые помогут вам понять и спланировать действия по исправлению и интеграции сборников схем. Дополнительные сведения см. в разделе Типы оповещений и описания мониторинга OT.