Пересылка локальных оповещений OT

Microsoft Defender для оповещений Интернета вещей повышают безопасность сети и повышают эффективность операций с помощью сведений о событиях, зарегистрированных в сети в режиме реального времени. Оповещения OT активируются, когда сетевые датчики OT обнаруживают изменения или подозрительные действия в сетевом трафике, который требует вашего внимания.

В этой статье описывается настройка датчика OT для пересылки оповещений на партнерские службы, серверы системного журнала, адреса электронной почты и многое другое. Пересылаемые сведения об оповещении включают следующие сведения:

  • Дата и время оповещения
  • Подсистема, обнаруживающая событие
  • Название оповещения и описательное сообщение
  • Серьезность оповещений
  • Имя источника и назначения и IP-адрес
  • Обнаружен подозрительный трафик
  • Отключенные датчики
  • Сбои удаленного резервного копирования

Примечание.

Правила переадресации оповещений выполняются только для оповещений, активированных после создания правила переадресации. Это правило не влияет на оповещения, уже существующие в системе до создания правила переадресации.

Предварительные условия

Создание правил переадресации на датчике OT

  1. Войдите в датчик OT и выберите Переадресация в меню > слева + Создать правило.

  2. На панели Добавление правила переадресации введите понятное имя правила, а затем определите условия и действия правила следующим образом:

    Имя Описание
    Минимальный уровень оповещений Выберите минимальный уровень серьезности оповещений , который требуется переадресовать.

    Например, если вы выберете Дополнительный, перенаправляются незначительные оповещения и все оповещения, превышающие этот уровень серьезности.
    Обнаружен любой протокол Переключение на перенаправление оповещений от всего трафика протокола или отключение и выбор конкретных протоколов, которые вы хотите включить.
    Трафик, обнаруженный любым обработчиком Переключите на переадресацию оповещений со всех подсистем аналитики или отключите и выберите конкретные модули, которые вы хотите включить.
    Действия Выберите тип сервера, на который нужно переадресовать оповещения, а затем определите другие необходимые сведения для этого типа сервера.

    Чтобы добавить несколько серверов к одному правилу, выберите + Добавить сервер и добавьте дополнительные сведения.

    Дополнительные сведения см. в разделе Настройка действий правил переадресации оповещений.
  3. Завершив настройку правила, нажмите кнопку Сохранить. Правило отображается на странице Переадресация .

  4. Протестируйте созданное правило:

    1. Выберите меню параметров (...) для правила >Отправить тестовое сообщение.
    2. Перейдите в целевую службу, чтобы убедиться, что информация, отправленная датчиком, была получена.

Изменение или удаление правил переадресации на датчике OT

Чтобы изменить или удалить существующее правило, выполните приведенные далее действия.

  1. Войдите в датчик OT и выберите Переадресация в меню слева.

  2. Выберите меню параметров (...) для правила, а затем выполните одно из следующих действий:

Настройка действий правила переадресации оповещений

В этом разделе описывается настройка параметров для поддерживаемых действий правил переадресации на датчике OT.

Email адресное действие

Настройте действие Email для пересылки данных оповещений на настроенный адрес электронной почты.

В области Действия введите следующие сведения:

Имя Описание
Сервер Выберите Email.
Электронная почта Введите адрес электронной почты, на который нужно переадресовать оповещения. Каждое правило поддерживает один адрес электронной почты.
Timezone Выберите часовой пояс, который вы хотите использовать для обнаружения оповещений в целевой системе.

Действия сервера системного журнала

Настройте действие сервера Системного журнала для пересылки данных оповещений на выбранный тип сервера Syslog.

В области Действия введите следующие сведения:

Имя Описание
Сервер Выберите один из следующих типов форматов системного журнала:

- Сервер SYSLOG (формат CEF)
- СЕРВЕР SYSLOG (формат LEEF)
- СЕРВЕР SYSLOG (объект)
- Сервер SYSLOG (текстовое сообщение)
Узла / Порт Введите имя узла и порт сервера системного журнала.
Timezone Выберите часовой пояс, который вы хотите использовать для обнаружения оповещений в целевой системе.
Protocol (Протокол) Поддерживается только для текстовых сообщений. Выберите TCP или UDP.
Включение шифрования Поддерживается только для формата CEF. Включите параметр , чтобы настроить файл сертификата шифрования TLS, файл ключа и парольную фразу.

В следующих разделах описывается синтаксис выходных данных системного журнала для каждого формата.

Поля вывода текстовых сообщений системного журнала

Имя Описание
Priority Пользователя. Оповещение
Сообщение Имя платформы CyberX: имя датчика.
Microsoft Defender для оповещения Интернета вещей: название оповещения.
Тип: тип оповещения. Может быть нарушение протокола, нарушение политики, вредоносная программа, аномалия или операционная.
Серьезность: серьезность оповещения. Может быть предупреждением, дополнительным, основным или критическим.
Источник: имя исходного устройства.
Исходный IP-адрес: IP-адрес исходного устройства.
Протокол (необязательно): обнаруженный исходный протокол.
Адрес (необязательно): адрес исходного протокола.
Назначение: имя конечного устройства.
IP-адрес назначения: IP-адрес целевого устройства.
Протокол (необязательно): обнаруженный целевой протокол.
Адрес (необязательно): адрес протокола назначения.
Сообщение: сообщение оповещения.
Группа оповещений: группа оповещений, связанная с оповещением.
UUID (необязательно): UUID оповещение.

Поля выходных данных объекта syslog

Имя Описание
Priority User.Alert
Дата и время Дата и время получения сведений на компьютере сервера системного журнала.
Hostname (Имя узла) IP-адрес датчика
Сообщение Имя датчика: имя (модуль).
Время оповещения. Время обнаружения оповещения. Может отличаться от времени работы компьютера с сервером системного журнала и зависит от конфигурации часового пояса правила переадресации.
Заголовок оповещения: заголовок оповещения.
Оповещение: сообщение оповещения.
Серьезность оповещения: серьезность оповещения: Предупреждение, Дополнительный, Основной или Критический.
Тип оповещения: нарушение протокола, нарушение политики, вредоносная программа, аномалия или операционная система.
Протокол: протокол оповещения.
Source_MAC: IP-адрес, имя, поставщик или ОС исходного устройства.
Destination_MAC: IP-адрес, имя, поставщик или ОС назначения. Если данные отсутствуют, значение равно N/Д.
alert_group: группа оповещений, связанная с оповещением.

Поля выходных данных CEF системного журнала

Имя Описание
Priority User.Alert
дата и время; Дата и время отправки данных датчиком в формате UTC
Hostname (Имя узла) Имя узла датчика
Сообщение CEF:0
Microsoft Defender для Интернета вещей и CyberX
Имя датчика
Версия датчика
Microsoft Defender оповещений Интернета вещей
Заголовок оповещения
Целочисленное указание серьезности. 1=Предупреждение, 4=Минор, 8=Основной или 10=Критический.
msg = сообщение оповещения.
protocol = протокол оповещения.
severity= Warning, Minor, Major или Critical.
type= нарушение протокола, нарушение политики, вредоносная программа, аномалия или операционная.
UUID = UUID оповещения (необязательно)
start = время обнаружения оповещения.
Может отличаться от времени компьютера сервера системного журнала и зависит от конфигурации часового пояса правила переадресации.
src_ip = IP-адрес исходного устройства. (необязательно)
src_mac = MAC-адрес исходного устройства. (необязательно)
dst_ip = IP-адрес целевого устройства. (необязательно)
dst_mac = MAC-адрес целевого устройства. (необязательно)
cat = группа оповещений, связанная с оповещением.

Поля выходных данных LEEF системного журнала

Имя Описание
Priority User.Alert
дата и время; Дата и время отправки данных датчиком в формате UTC
Hostname (Имя узла) IP-адрес датчика
Сообщение Имя датчика: имя Microsoft Defender для (модуль) Интернета вещей.
LEEF:1.0
Microsoft Defender для Интернета вещей
Датчик
Версия датчика
Microsoft Defender оповещений Интернета вещей
title: заголовок оповещения.
msg: сообщение оповещения.
protocol: протокол оповещения.
серьезность: предупреждение, дополнительный, основной или критический.
type: тип оповещения: нарушение протокола, нарушение политики, вредоносная программа, аномалия или операционная.
start: время оповещения. Оно может отличаться от времени компьютера сервера системного журнала и зависит от конфигурации часового пояса.
src_ip: IP-адрес исходного устройства.
dst_ip: IP-адрес целевого устройства.
cat: группа оповещений, связанная с оповещением.

Действие NetWitness

Настройте действие NetWitness для отправки сведений об оповещении на сервер NetWitness.

В области Действия введите следующие сведения:

Имя Описание
Сервер Выберите NetWitness.
Имя узла или порт Введите имя узла и порт сервера NetWitness.
Часовой пояс Введите часовой пояс, который вы хотите использовать в метке времени для обнаружения оповещений в SIEM.

Настройка правил переадресации для интеграции с партнерами

Вы можете интегрировать Defender для Интернета вещей с партнерской службой для отправки оповещений или сведений об инвентаризации устройств в другую систему безопасности или управления устройствами, а также для взаимодействия с брандмауэрами на стороне партнера.

Интеграция партнеров может помочь в преодолении ранее изолированных решений безопасности, улучшить видимость устройств и ускорить общесистемный ответ на более быстрое снижение рисков.

В таких случаях используйте поддерживаемые действия для ввода учетных данных и других сведений, необходимых для взаимодействия со интегрированными партнерскими службами.

Дополнительные сведения см. в разделе:

Настройка групп оповещений в службах партнеров

При настройке правил переадресации для отправки данных оповещений на серверы Syslog, QRadar и ArcSight группы оповещений применяются автоматически и доступны на этих серверах-партнерах.

Группы оповещений помогают командам SOC использовать эти партнерские решения для управления оповещениями на основе корпоративных политик безопасности и бизнес-приоритетов. Например, оповещения о новых обнаружениях организованы в группу обнаружения , которая включает оповещения о новых устройствах, виртуальных локальных сетях, учетных записях пользователей, MAC-адресах и т. д.

Группы оповещений отображаются в службах партнеров со следующими префиксами:

Prefix Служба партнеров
cat QRadar, ArcSight, Syslog CEF, Syslog LEEF
Alert Group Текстовые сообщения системного журнала
alert_group Объекты syslog

Чтобы использовать группы оповещений в интеграции, настройте партнерские службы для отображения имени группы оповещений.

По умолчанию оповещения группируются следующим образом:

  • Аномальное поведение связи
  • Пользовательские оповещения
  • Удаленный доступ
  • Аномальное поведение http-связи
  • Обнаружение
  • Команды перезапуска и остановки
  • Проверка подлинности
  • Изменение встроенного ПО
  • Проверка
  • Несанкционированное взаимодействие
  • Недопустимые команды
  • Трафик датчика
  • Аномалии пропускной способности
  • Доступ к Интернету
  • Подозрение на вредоносные программы
  • Переполнение буфера
  • Сбои операций
  • Подозрение на вредоносные действия
  • Сбои команд
  • Операционные проблемы
  • Изменения конфигурации
  • Программирования

Дополнительные сведения и создание настраиваемых групп оповещений см. в служба поддержки Майкрософт.

Устранение неполадок с правилами переадресации

Если правила генерации оповещений переадресации не работают должным образом, проверка следующие сведения:

  • Проверка сертификата. Правила пересылки для системного журнала CEF, Microsoft Sentinel и QRadar поддерживают шифрование и проверку сертификатов.

    Если датчики OT настроены для проверки сертификатов и сертификат не может быть проверен, оповещения не перенаправляются.

    В таких случаях датчик является клиентом и инициатором сеанса. Сертификаты обычно получают от сервера или используют асимметричное шифрование, где для настройки интеграции предоставляется определенный сертификат.

Дальнейшие действия