Поделиться через

Просмотр оповещений и управление ими на портале Azure

Оповещения Microsoft Defender для Интернета вещей повышают безопасность сети и операции с подробными сведениями о событиях, зарегистрированных в сети в режиме реального времени. В этой статье описывается, как управлять оповещениями Microsoft Defender для Интернета вещей на портале Azure, созданном сетевыми датчиками OT.

Предварительные условия

  • Чтобы иметь оповещения в Defender для Интернета вещей, необходимо подключить OT и потоковую передачу сетевых данных в Defender для Интернета вещей.

  • Для просмотра оповещений на портал Azure необходимо иметь доступ как читатель безопасности, администратор безопасности, участник или владелец

  • Чтобы управлять оповещениями на портале Azure, необходимо иметь доступ в качестве администратора безопасности, участника или владельца. Действия по управлению оповещениями включают изменение их состояния или серьезности, обучение оповещений, доступ к данным PCAP или использование правил подавления оповещений.

Дополнительные сведения см. в статье о ролях пользователей и разрешениях Azure для Defender для Интернета вещей.

Просмотр оповещений на портале Azure

  1. В Defender для Интернета вещей на портале Azure выберите слева страницу Оповещения. По умолчанию в сетке отображаются следующие сведения:

    Столбец Описание
    Серьезность Предопределенная степень серьезности оповещений, назначенная датчиком, который можно изменить по мере необходимости.
    Имя Заголовок оповещения.
    Сайт Сайт, связанный с датчиком, который обнаружил оповещение, как указано на странице Сайты и датчики.
    Двигатель Движок обнаружения Defender для Интернета вещей, который обнаружил активность и сработал сигнал.

    Примечание: Значение Micro-agent указывает, что событие было активировано платформой Defender for IoT Device Builder.
    Последнее обнаружение Время последнего обнаружения оповещения.

    — Если для оповещения указано состояние Новое и снова отображается тот же трафик, то время в столбце Последнее обнаружение обновляется для того же оповещения.
    — Если для оповещения указано состояние Закрыто и трафик снова замечен, то время Последнее обнаружениене обновляется, и активируется новое оповещение.

    Примечание: В то время как консоль датчика отображает поле «Последнее обнаружение» для оповещения в режиме реального времени, в Defender для Интернета вещей на портале Azure может потребоваться до часа, чтобы отобразить обновлённое время. Это объясняет сценарий, в котором время последнего обнаружения в консоли датчика не совпадает с временем последнего обнаружения в портале Azure.
    Состояние Состояние оповещения: Новое, Активно, Закрыто

    Дополнительные сведения см. в разделе "Состояния оповещений" и варианты сортировки.
    Исходное устройство IP-адрес, MAC-адрес или имя устройства, в котором был вызван трафик, активировающий оповещение.
    Тактика Этап MITRE ATT&CK.

    1. Чтобы просмотреть дополнительные сведения, нажмите кнопку "Изменить столбцы".

      В области "Изменить столбцы" справа выберите "Добавить столбец" и любой из следующих дополнительных столбцов:

      Столбец Описание
      Адрес исходного устройства IP-адрес исходного устройства.
      Адрес конечного устройства IP-адрес конечного устройства.
      Конечное устройство Целевой IP-адрес или MAC-адрес или имя целевого устройства.
      Первое обнаружение При первом обнаружении оповещения в сети.
      Id Уникальный идентификатор оповещения, соответствующий идентификатору в консоли датчика.

      Примечание. Если оповещение было объединено с другими оповещениями от датчиков, которые обнаружили то же оповещение, портал Azure отображает идентификатор оповещения первого датчика, создающего оповещения.
      Последнее действие Последнее обновление оповещения, включая внесение изменений вручную для уровня серьезности или состояния, а также автоматические изменения для обновлений устройств или дедупликации.
      Протокол Протокол, обнаруженный в сетевом трафике для оповещения.
      Датчик Датчик, который обнаружил оповещение.
      Зона Зона, назначенная датчику, который обнаружил оповещение.
      Категория Категория, связанная с оповещением, например операционные проблемы, пользовательские оповещения или незаконные команды.
      Тип Внутреннее имя оповещения.

Совет

Если вы видите больше оповещений, чем ожидалось, может потребоваться создать правила подавления, чтобы предотвратить активацию оповещений для законной сетевой активности. Дополнительные сведения см. в разделе "Подавление неуместных оповещений".

Отображение оповещений фильтра

Используйте поле поиска, диапазон времени и добавление параметров фильтра для фильтрации оповещений, отображаемых определенными параметрами, или для поиска определенного оповещения.

Например, фильтрация оповещений по Категориям:

Снимок экрана: параметр фильтрации по Категории на странице Оповещений портала Azure.

Отображение оповещений группы

Используйте меню Группировать по в правом верхнем углу, чтобы свернуть сетку в подразделы по определённым параметрам.

Например, в то время как общее количество оповещений отображается над сеткой, может потребоваться более конкретная информация о разбивке количества оповещений, например количество оповещений с определенной серьезностью, протоколом или сайтом.

Поддерживаемые параметры группировки включают Двигатель, Имя, Датчик, Тяжесть и Участок.

Просмотр сведений и исправление определенного оповещения

  1. На странице "Оповещения" выберите оповещение в сетке, чтобы отобразить дополнительные сведения в области справа. Область сведений об оповещении включает описание оповещения, источник трафика и назначение и многое другое.

    Выберите "Просмотреть полные сведения" , чтобы продолжить детализацию. Например:

    Снимок экрана: оповещение, выбранное на странице Оповещений портала Azure.

  2. На странице сведений об оповещении содержатся дополнительные сведения об оповещении и набор действий по исправлению на вкладке "Действие ". Например:

    Снимок экрана страницы сведений об оповещении на портале Azure.

Управление серьезностью оповещений и состоянием

Мы рекомендуем обновить уровень серьезности оповещений в Defender для Интернета вещей в портале Azure, как только вы разберетесь с оповещением, чтобы вы смогли как можно быстрее выделить приоритеты наиболее рискованных оповещений. Обязательно обновите состояние оповещения после выполнения действий по исправлению, чтобы зафиксировать прогресс.

Вы можете обновить уровень серьезности и состояния для одного оповещения или для массового выбора оповещений.

Ознакомьтесь с оповещением, указывающим Defender для Интернета вещей, что обнаруженный сетевой трафик авторизован. Обученные оповещения не активируются повторно при следующем обнаружении одного и того же трафика в вашей сети. Обучение поддерживается только для выбранных оповещений, а разобучение поддерживается только из сетевого датчика OT.

Дополнительные сведения см. в разделе "Состояния оповещений" и варианты сортировки.

  • Чтобы закрыть отдельное оповещение, выполните следующее:

    1. В Defender для Интернета вещей в портал Azure выберите страницу "Оповещения" слева и выберите оповещение в сетке.
    2. На панели сведений справа или на самой странице сведений об оповещении выберите новое состояние и (или) серьезность.

  • Чтобы управлять несколькими оповещениями в пакетном режиме, выполните приведенные далее действия:

    1. В Defender для Интернета вещей в портал Azure выберите страницу "Оповещения" слева, а затем выберите оповещения в сетке, которую вы хотите изменить.
    2. Используйте параметры Изменить состояние и (или) Изменить серьезность на панели инструментов, чтобы обновить состояние и (или) серьезность для всех выбранных оповещений.

  • Чтобы узнать одно или несколько оповещений:

    В Defender для Интернета вещей в портал Azure выберите страницу "Оповещения" слева и выполните одно из следующих действий:

    • Выберите одно или несколько обучаемых оповещений в сетке, а затем выберите " Learn " на панели инструментов.
    • На странице сведений об обучаемом оповещении на вкладке Принять меры выберите Учиться.

Доступ к данным оповещений в формате PCAP

Вы можете получить доступ к необработанным файлам трафика, также называемым файлами записи пакетов или PCAP-файлами в рамках исследования. Если вы являетесь инженером по безопасности SOC или OT, обратитесь к PCAP-файлам непосредственно из портала Azure, чтобы ускорить ваше расследование.

Чтобы получить доступ к необработанным файлам трафика для оповещения, выберите "Скачать PCAP " в левом верхнем углу страницы сведений о оповещении.

Например:

Снимок экрана: кнопка

Портал запрашивает файл с датчика, который обнаружил оповещение, и загружает его в службу хранилища Azure.

Скачивание PCAP-файла может занять несколько минут в зависимости от качества подключения датчика.

Экспорт оповещений в CSV-файл

Возможно, вам потребуется экспортировать выбранные оповещения в CSV-файл для совместного использования и составления отчетов в автономном режиме.

  1. В Defender для Интернета вещей на портале Azure выберите слева страницу Оповещения.

  2. Используйте поле поиска и параметры фильтра для отображения только оповещений, которые требуется экспортировать.

  3. На панели инструментов над сеткой выберите "Экспорт">"Подтвердить".

Файл создается, и вам будет предложено сохранить его локально.

Исправление агрегированных нарушений оповещений

Чтобы уменьшить усталость от оповещений, несколько версий одного и того же нарушения оповещения с одинаковыми параметрами перечислены как один элемент оповещения на странице "Оповещения". При изучении оповещений агрегированное оповещение определяется сообщением о нескольких нарушениях , которое отображается в IP-адресе исходного устройства. Используйте вкладку "Нарушения" для дальнейшего изучения и вкладки "Действие" для исправления оповещений.

  1. На странице "Оповещения" выберите оповещение в сетке, чтобы отобразить дополнительные сведения в области справа.

    1. Для агрегированного оповещения отображается сообщение "Несколько нарушений " под IP-адресом исходного устройства, а вкладка "Нарушения " отображается.

    Снимок экрана панели сведений об оповещениях, показывающей объединенные сообщения об оповещениях, количество нарушений и вкладку

  2. Перейдите на вкладку "Нарушения ".

  3. Выберите "Экспорт", чтобы скачать CSV-файл данных. Откройте файл и проверьте данные.

    Снимок экрана: пример данных из CSV-файла, содержащего список нескольких оповещений, составляющих содержимое агрегированного оповещения, указанного в области сведений об оповещении.

  4. Перейдите на вкладку "Предпринять действие ". Выполните действия по исправлению.

  5. При необходимости нажмите кнопку Learn. Дополнительные сведения см. в статье учебная тревога.

Следующие шаги

Оповещения Microsoft Defender для Интернета вещей