Просмотр оповещений и управление ими на портале Azure
Оповещения Microsoft Defender для Интернета вещей повышают безопасность сети и операции с подробными сведениями о событиях, зарегистрированных в сети в режиме реального времени. В этой статье описывается управление оповещениями Microsoft Defender для Интернета вещей на портал Azure, включая оповещения, созданные датчиками сети OT и Enterprise IoT.
Оповещения OT также доступны в каждой консоли сетевого датчика OT или подключенном локальном консоль управления
Интеграция с Microsoft Sentinel для просмотра оповещений Defender для Интернета вещей в Microsoft Sentinel и управления ими вместе с инцидентами безопасности.
Если в Microsoft Defender XDR включена безопасность Enterprise IoT, оповещения для устройств Enterprise IoT, обнаруженных Microsoft Defender для конечной точки, доступны только в Defender для конечной точки.
Дополнительные сведения см. в разделе "Защита устройств Интернета вещей в организации " и очереди оповещений в XDR в Microsoft Defender.
Необходимые компоненты
Чтобы иметь оповещения в Defender для Интернета вещей, необходимо подключить OT и потоковую передачу сетевых данных в Defender для Интернета вещей.
Для просмотра оповещений на портал Azure необходимо иметь доступ как читатель безопасности, администратор безопасности, участник или владелец
Чтобы управлять оповещениями в портал Azure, необходимо иметь доступ к администратору безопасности, участнику или владельцу. Действия по управлению оповещениями включают изменение их состояния или серьезности, обучение оповещений, доступ к данным PCAP или использование правил подавления оповещений.
Дополнительные сведения см. в статье о ролях пользователей и разрешениях Azure для Defender для Интернета вещей.
Просмотр оповещений в портал Azure
В Defender для Интернета вещей на портал Azure выберите страницу "Оповещения" слева. По умолчанию в сетке отображаются следующие сведения:
Столбец Описание Уровень серьезности Предопределенная степень серьезности оповещений, назначенная датчиком, который можно изменить по мере необходимости. Имя Заголовок оповещения. Сайт Сайт, связанный с датчиком, который обнаружил оповещение, как указано на странице Сайты и датчики. Двигатель Модуль обнаружения Defender для Интернета вещей, который обнаружил действие и активировал оповещение.
Примечание. Значение микроагента указывает, что событие было активировано платформой Defender для Устройств IoT.Последнее обнаружение Время последнего обнаружения оповещения.
— Если для оповещения указано состояние Новое и снова отображается тот же трафик, то время в столбце Последнее обнаружение обновляется для того же оповещения.
— Если для оповещения указано состояние Закрыто и трафик снова отображается, то время в столбце Последнее обнаружение не обновляется и активируется новое оповещение.
Примечание. В то время как консоль датчика отображает поле последнего обнаружения оповещения в режиме реального времени, Defender для Интернета вещей в портал Azure может занять до одного часа, чтобы отобразить обновленное время. Это объясняет сценарий, в котором время последнего обнаружения в консоли датчика не совпадает с временем последнего обнаружения в портал Azure.Состояние Состояние оповещения: Новое, Активно, Закрыто
Дополнительные сведения см. в разделе "Состояния оповещений" и параметров сортировки.Исходное устройство IP-адрес, MAC-адрес или имя устройства, в котором был вызван трафик, активировающий оповещение. Тактика Этап MITRE ATT&CK. Чтобы просмотреть дополнительные сведения, нажмите кнопку
"Изменить столбцы".В области "Изменить столбцы" справа выберите "Добавить столбец" и любой из следующих дополнительных столбцов:
Столбец Description Адрес исходного устройства IP-адрес исходного устройства. Адрес конечного устройства IP-адрес конечного устройства. Конечное устройство Целевой IP-адрес или MAC-адрес или имя целевого устройства. Первое обнаружение При первом обнаружении оповещения в сети. Id Уникальный идентификатор оповещения, выровненный с идентификатором в консоли датчика.
Примечание. Если оповещение было объединено с другими оповещениями от датчиков, которые обнаружили то же оповещение, портал Azure отображает идентификатор оповещения первого датчика, создающего оповещения.Последнее действие Последний раз, когда оповещение было изменено, включая обновления вручную для серьезности или состояния, или автоматические изменения для обновлений устройств или дедупликации устройств или оповещений Протокол Протокол, обнаруженный в сетевом трафике для оповещения. Датчик Датчик, который обнаружил оповещение. Зона Зона, назначенная датчику, который обнаружил оповещение. Категория Категория, связанная с оповещением, например операционные проблемы, пользовательские оповещения или незаконные команды. Тип Внутреннее имя оповещения.
Совет
Если вы видите больше оповещений, чем ожидалось, может потребоваться создать правила подавления, чтобы предотвратить активацию оповещений для законной сетевой активности. Дополнительные сведения см. в разделе "Подавление неуместных оповещений".
Отображение оповещений фильтра
Используйте поле поиска, диапазон времени и добавление параметров фильтра для фильтрации оповещений, отображаемых определенными параметрами, или для поиска определенного оповещения.
Например, фильтрация оповещений по Категориям:
Отображение оповещений группы
Используйте группу по меню в правом верхнем углу, чтобы свернуть сетку в подразделы в соответствии с определенными параметрами.
Например, в то время как общее количество оповещений отображается над сеткой, может потребоваться более конкретная информация о разбивке количества оповещений, например количество оповещений с определенной серьезностью, протоколом или сайтом.
Поддерживаемые параметры группировки включают подсистему, имя, датчик, серьезность и сайт.
Просмотр сведений и исправление определенного оповещения
На странице "Оповещения" выберите оповещение в сетке, чтобы отобразить дополнительные сведения в области справа. Область сведений об оповещении включает описание оповещения, источник трафика и назначение и многое другое.
Выберите "Просмотреть полные сведения" , чтобы продолжить детализацию. Например:
На странице сведений об оповещении содержатся дополнительные сведения об оповещении и набор действий по исправлению на вкладке "Действие ". Например:
Управление серьезностью оповещений и состоянием
Мы рекомендуем обновить уровень серьезности оповещений в Defender для Интернета вещей в портал Azure сразу после того, как вы выполнили оповещение, чтобы вы могли определить приоритеты наиболее рискованных оповещений как можно скорее. Обязательно обновите состояние оповещения после выполнения действий по исправлению, чтобы запись хода выполнения была записана.
Вы можете обновить уровень серьезности и состояния для одного оповещения или для массового выбора оповещений.
Ознакомьтесь с оповещением, указывающим Defender для Интернета вещей, что обнаруженный сетевой трафик авторизован. Оповещения обучились не активируются повторно при следующем обнаружении того же трафика в сети. Обучение поддерживается только для выбранных оповещений, и отмена обучения поддерживается только из сетевого датчика OT.
Дополнительные сведения см. в разделе "Состояния оповещений" и параметров сортировки.
Чтобы закрыть отдельное оповещение, выполните следующее:
- В Defender для Интернета вещей в портал Azure выберите страницу "Оповещения" слева и выберите оповещение в сетке.
- На панели сведений справа или на самой странице сведений об оповещении выберите новое состояние и (или) серьезность.
Чтобы управлять несколькими оповещениями в пакетном режиме, выполните приведенные далее действия:
- В Defender для Интернета вещей в портал Azure выберите страницу "Оповещения" слева, а затем выберите оповещения в сетке, которую вы хотите изменить.
- Используйте параметры
Изменить состояние и (или) 
Изменить серьезность на панели инструментов, чтобы обновить состояние и (или) серьезность для всех выбранных оповещений.
Чтобы узнать одно или несколько оповещений:
В Defender для Интернета вещей в портал Azure выберите страницу "Оповещения" слева и выполните одно из следующих действий:
- Выберите одно или несколько обучаемых оповещений в сетке, а затем выберите "
Learn " на панели инструментов. - На странице сведений об оповещении для обучаемого оповещения на вкладке "Действие " выберите " Learn".
- Выберите одно или несколько обучаемых оповещений в сетке, а затем выберите "
Доступ к данным PCAP оповещений
Вы можете получить доступ к необработанным файлам трафика, также называемым файлами записи пакетов или PCAP-файлами в рамках исследования. Если вы являетесь инженером безопасности SOC или OT, обратитесь к PCAP-файлам непосредственно из портал Azure, чтобы помочь вам быстрее исследовать.
Чтобы получить доступ к необработанным файлам трафика для оповещения, выберите "Скачать PCAP " в левом верхнем углу страницы сведений о оповещении.
Например:
Портал запрашивает файл с датчика, который обнаружил оповещение, и загружает его в службу хранилища Azure.
Скачивание PCAP-файла может занять несколько минут в зависимости от качества подключения датчика.
Экспорт оповещений в CSV-файл
Может потребоваться экспортировать выбор оповещений в CSV-файл для автономного общего доступа и отчетов.
В Defender для Интернета вещей на портал Azure выберите страницу "Оповещения" слева.
Используйте поле поиска и параметры фильтра для отображения только оповещений, которые требуется экспортировать.
На панели инструментов над сеткой выберите "Экспорт>подтверждения".
Файл создается, и вам будет предложено сохранить его локально.