Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Microsoft Defender для оповещений Интернета вещей повышают безопасность сети и повышают эффективность операций с помощью сведений о событиях, зарегистрированных в сети в режиме реального времени. Оповещения OT активируются, когда сетевые датчики OT обнаруживают изменения или подозрительные действия в сетевом трафике, который требует вашего внимания.
В этой статье описывается настройка датчика OT для пересылки оповещений на партнерские службы, серверы системного журнала, адреса электронной почты и многое другое. Пересылаемые сведения об оповещении включают следующие сведения:
- Дата и время оповещения
- Подсистема, обнаруживающая событие
- Название оповещения и описательное сообщение
- Серьезность оповещений
- Имя источника и назначения и IP-адрес
- Обнаружен подозрительный трафик
- Отключенные датчики
- Сбои удаленного резервного копирования
Примечание.
Правила переадресации оповещений выполняются только для оповещений, активированных после создания правила переадресации. Это правило не влияет на оповещения, уже существующие в системе до создания правила переадресации.
Предварительные условия
В зависимости от того, где вы хотите создать правила генерации оповещений, необходимо установить сетевой датчик OT с доступом в качестве пользователя Администратор.
Дополнительные сведения см. в статье Установка программного обеспечения для мониторинга без агента OT и локальных пользователей и ролей для мониторинга OT с помощью Defender для Интернета вещей.
Также необходимо определить параметры SMTP на датчике OT.
Дополнительные сведения см. в разделе Настройка параметров почтового сервера SMTP на датчике OT.
Создание правил переадресации на датчике OT
Войдите в датчик OT и выберите Переадресация в меню > слева + Создать правило.
На панели Добавление правила переадресации введите понятное имя правила, а затем определите условия и действия правила следующим образом:
Имя Описание Минимальный уровень оповещений Выберите минимальный уровень серьезности оповещений , который требуется переадресовать.
Например, если вы выберете Дополнительный, перенаправляются незначительные оповещения и все оповещения, превышающие этот уровень серьезности.Обнаружен любой протокол Переключение на перенаправление оповещений от всего трафика протокола или отключение и выбор конкретных протоколов, которые вы хотите включить. Трафик, обнаруженный любым обработчиком Переключите на переадресацию оповещений со всех подсистем аналитики или отключите и выберите конкретные модули, которые вы хотите включить. Действия Выберите тип сервера, на который нужно переадресовать оповещения, а затем определите другие необходимые сведения для этого типа сервера.
Чтобы добавить несколько серверов к одному правилу, выберите + Добавить сервер и добавьте дополнительные сведения.
Дополнительные сведения см. в разделе Настройка действий правил переадресации оповещений.Завершив настройку правила, нажмите кнопку Сохранить. Правило отображается на странице Переадресация .
Протестируйте созданное правило:
- Выберите меню параметров (...) для правила >Отправить тестовое сообщение.
- Перейдите в целевую службу, чтобы убедиться, что информация, отправленная датчиком, была получена.
Изменение или удаление правил переадресации на датчике OT
Чтобы изменить или удалить существующее правило, выполните приведенные далее действия.
Войдите в датчик OT и выберите Переадресация в меню слева.
Выберите меню параметров (...) для правила, а затем выполните одно из следующих действий:
Выберите Изменить и обновите поля при необходимости. Когда все будет готово, нажмите кнопку Сохранить.
Выберите Удалить>Да , чтобы подтвердить удаление.
Настройка действий правила переадресации оповещений
В этом разделе описывается настройка параметров для поддерживаемых действий правил переадресации на датчике OT.
Email адресное действие
Настройте действие Email для пересылки данных оповещений на настроенный адрес электронной почты.
В области Действия введите следующие сведения:
| Имя | Описание |
|---|---|
| Сервер | Выберите Email. |
| Электронная почта | Введите адрес электронной почты, на который нужно переадресовать оповещения. Каждое правило поддерживает один адрес электронной почты. |
| Timezone | Выберите часовой пояс, который вы хотите использовать для обнаружения оповещений в целевой системе. |
Действия сервера системного журнала
Настройте действие сервера Системного журнала для пересылки данных оповещений на выбранный тип сервера Syslog.
В области Действия введите следующие сведения:
| Имя | Описание |
|---|---|
| Сервер | Выберите один из следующих типов форматов системного журнала: - Сервер SYSLOG (формат CEF) - СЕРВЕР SYSLOG (формат LEEF) - СЕРВЕР SYSLOG (объект) - Сервер SYSLOG (текстовое сообщение) |
| Узла / Порт | Введите имя узла и порт сервера системного журнала. |
| Timezone | Выберите часовой пояс, который вы хотите использовать для обнаружения оповещений в целевой системе. |
| Protocol (Протокол) | Поддерживается только для текстовых сообщений. Выберите TCP или UDP. |
| Включение шифрования | Поддерживается только для формата CEF. Включите параметр , чтобы настроить файл сертификата шифрования TLS, файл ключа и парольную фразу. |
В следующих разделах описывается синтаксис выходных данных системного журнала для каждого формата.
Поля вывода текстовых сообщений системного журнала
| Имя | Описание |
|---|---|
| Priority | Пользователя. Оповещение |
| Сообщение | Имя платформы CyberX: имя датчика. Microsoft Defender для оповещения Интернета вещей: название оповещения. Тип: тип оповещения. Может быть нарушение протокола, нарушение политики, вредоносная программа, аномалия или операционная. Серьезность: серьезность оповещения. Может быть предупреждением, дополнительным, основным или критическим. Источник: имя исходного устройства. Исходный IP-адрес: IP-адрес исходного устройства. Протокол (необязательно): обнаруженный исходный протокол. Адрес (необязательно): адрес исходного протокола. Назначение: имя конечного устройства. IP-адрес назначения: IP-адрес целевого устройства. Протокол (необязательно): обнаруженный целевой протокол. Адрес (необязательно): адрес протокола назначения. Сообщение: сообщение оповещения. Группа оповещений: группа оповещений, связанная с оповещением. UUID (необязательно): UUID оповещение. |
Поля выходных данных объекта syslog
| Имя | Описание |
|---|---|
| Priority | User.Alert |
| Дата и время | Дата и время получения сведений на компьютере сервера системного журнала. |
| Hostname (Имя узла) | IP-адрес датчика |
| Сообщение | Имя датчика: имя (модуль). Время оповещения. Время обнаружения оповещения. Может отличаться от времени работы компьютера с сервером системного журнала и зависит от конфигурации часового пояса правила переадресации. Заголовок оповещения: заголовок оповещения. Оповещение: сообщение оповещения. Серьезность оповещения: серьезность оповещения: Предупреждение, Дополнительный, Основной или Критический. Тип оповещения: нарушение протокола, нарушение политики, вредоносная программа, аномалия или операционная система. Протокол: протокол оповещения. Source_MAC: IP-адрес, имя, поставщик или ОС исходного устройства. Destination_MAC: IP-адрес, имя, поставщик или ОС назначения. Если данные отсутствуют, значение равно N/Д. alert_group: группа оповещений, связанная с оповещением. |
Поля выходных данных CEF системного журнала
| Имя | Описание |
|---|---|
| Priority | User.Alert |
| дата и время; | Дата и время отправки данных датчиком в формате UTC |
| Hostname (Имя узла) | Имя узла датчика |
| Сообщение |
CEF:0 Microsoft Defender для Интернета вещей и CyberX Имя датчика Версия датчика Microsoft Defender оповещений Интернета вещей Заголовок оповещения Целочисленное указание серьезности. 1=Предупреждение, 4=Минор, 8=Основной или 10=Критический. msg = сообщение оповещения. protocol = протокол оповещения. severity= Warning, Minor, Major или Critical. type= нарушение протокола, нарушение политики, вредоносная программа, аномалия или операционная. UUID = UUID оповещения (необязательно) start = время обнаружения оповещения. Может отличаться от времени компьютера сервера системного журнала и зависит от конфигурации часового пояса правила переадресации. src_ip = IP-адрес исходного устройства. (необязательно) src_mac = MAC-адрес исходного устройства. (необязательно) dst_ip = IP-адрес целевого устройства. (необязательно) dst_mac = MAC-адрес целевого устройства. (необязательно) cat = группа оповещений, связанная с оповещением. |
Поля выходных данных LEEF системного журнала
| Имя | Описание |
|---|---|
| Priority | User.Alert |
| дата и время; | Дата и время отправки данных датчиком в формате UTC |
| Hostname (Имя узла) | IP-адрес датчика |
| Сообщение | Имя датчика: имя Microsoft Defender для (модуль) Интернета вещей. LEEF:1.0 Microsoft Defender для Интернета вещей Датчик Версия датчика Microsoft Defender оповещений Интернета вещей title: заголовок оповещения. msg: сообщение оповещения. protocol: протокол оповещения. серьезность: предупреждение, дополнительный, основной или критический. type: тип оповещения: нарушение протокола, нарушение политики, вредоносная программа, аномалия или операционная. start: время оповещения. Оно может отличаться от времени компьютера сервера системного журнала и зависит от конфигурации часового пояса. src_ip: IP-адрес исходного устройства. dst_ip: IP-адрес целевого устройства. cat: группа оповещений, связанная с оповещением. |
Действие NetWitness
Настройте действие NetWitness для отправки сведений об оповещении на сервер NetWitness.
В области Действия введите следующие сведения:
| Имя | Описание |
|---|---|
| Сервер | Выберите NetWitness. |
| Имя узла или порт | Введите имя узла и порт сервера NetWitness. |
| Часовой пояс | Введите часовой пояс, который вы хотите использовать в метке времени для обнаружения оповещений в SIEM. |
Настройка правил переадресации для интеграции с партнерами
Вы можете интегрировать Defender для Интернета вещей с партнерской службой для отправки оповещений или сведений об инвентаризации устройств в другую систему безопасности или управления устройствами, а также для взаимодействия с брандмауэрами на стороне партнера.
Интеграция партнеров может помочь в преодолении ранее изолированных решений безопасности, улучшить видимость устройств и ускорить общесистемный ответ на более быстрое снижение рисков.
В таких случаях используйте поддерживаемые действия для ввода учетных данных и других сведений, необходимых для взаимодействия со интегрированными партнерскими службами.
Дополнительные сведения см. в разделе:
- Интеграция Fortinet с Microsoft Defender для Интернета вещей
- Интеграция Qradar с Microsoft Defender для Интернета вещей
Настройка групп оповещений в службах партнеров
При настройке правил переадресации для отправки данных оповещений на серверы Syslog, QRadar и ArcSight группы оповещений применяются автоматически и доступны на этих серверах-партнерах.
Группы оповещений помогают командам SOC использовать эти партнерские решения для управления оповещениями на основе корпоративных политик безопасности и бизнес-приоритетов. Например, оповещения о новых обнаружениях организованы в группу обнаружения , которая включает оповещения о новых устройствах, виртуальных локальных сетях, учетных записях пользователей, MAC-адресах и т. д.
Группы оповещений отображаются в службах партнеров со следующими префиксами:
| Prefix | Служба партнеров |
|---|---|
cat |
QRadar, ArcSight, Syslog CEF, Syslog LEEF |
Alert Group |
Текстовые сообщения системного журнала |
alert_group |
Объекты syslog |
Чтобы использовать группы оповещений в интеграции, настройте партнерские службы для отображения имени группы оповещений.
По умолчанию оповещения группируются следующим образом:
- Аномальное поведение связи
- Пользовательские оповещения
- Удаленный доступ
- Аномальное поведение http-связи
- Обнаружение
- Команды перезапуска и остановки
- Проверка подлинности
- Изменение встроенного ПО
- Проверка
- Несанкционированное взаимодействие
- Недопустимые команды
- Трафик датчика
- Аномалии пропускной способности
- Доступ к Интернету
- Подозрение на вредоносные программы
- Переполнение буфера
- Сбои операций
- Подозрение на вредоносные действия
- Сбои команд
- Операционные проблемы
- Изменения конфигурации
- Программирования
Дополнительные сведения и создание настраиваемых групп оповещений см. в служба поддержки Майкрософт.
Устранение неполадок с правилами переадресации
Если правила генерации оповещений переадресации не работают должным образом, проверка следующие сведения:
Проверка сертификата. Правила пересылки для системного журнала CEF, Microsoft Sentinel и QRadar поддерживают шифрование и проверку сертификатов.
Если датчики OT настроены для проверки сертификатов и сертификат не может быть проверен, оповещения не перенаправляются.
В таких случаях датчик является клиентом и инициатором сеанса. Сертификаты обычно получают от сервера или используют асимметричное шифрование, где для настройки интеграции предоставляется определенный сертификат.