Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
В этой статье описывается, как исследовать и реагировать на оповещение сети OT в Microsoft Defender для Интернета вещей.
Вы можете быть инженером центра безопасности (SOC), использующим Microsoft Sentinel, который заметил новый инцидент в рабочей области Microsoft Sentinel и продолжает исследование в Defender для Интернета вещей, чтобы получить дополнительные сведения о связанных устройствах и рекомендованным шагам по устранению.
Кроме того, вы можете быть инженером OT, наблюдающим за операционными оповещениями непосредственно в Defender для Интернета вещей. Операционные оповещения могут не быть вредоносными, но могут указывать на операционные действия, которые могут помочь в расследовании безопасности.
Предпосылки
Перед началом работы убедитесь, что у вас есть:
Подписка Azure. Если вам нужно, зарегистрируйте бесплатную учетную запись.
Подключенный к облаку датчик сети OT , подключенный к Defender для Интернета вещей, с потоковой передачей оповещений на портал Azure.
Чтобы изучить оповещение из инцидента Microsoft Sentinel, убедитесь, что вы выполнили следующие руководства:
Страница сведений об оповещении открывается и доступна либо со страницы оповещений Defender для Интернета вещей в портале Azure, со страницы сведений об устройстве Defender для Интернета вещей, либо из инцидента Microsoft Sentinel.
Изучение оповещения на портале Azure
На странице сведений об оповещении на портале Azure начните с изменения состояния оповещения на "Активный", указывая на то, что он в настоящее время находится под следствием.
Рассмотрим пример.
Это важно
Если вы интегрируетесь с Microsoft Sentinel, следите за тем, чтобы управлять статусом оповещений только из инцидента в Microsoft Sentinel. Состояния оповещений не синхронизируются из Defender для IoT в Microsoft Sentinel.
После обновления состояния проверьте страницу сведений об оповещении, чтобы помочь в расследовании:
Сведения о исходном и целевом устройстве. Исходные и конечные устройства перечислены на вкладке сведений об оповещении , а также в области сущностей ниже, как сущности Microsoft Sentinel с собственными страницами сущностей. В области сущностей вы будете использовать ссылки в столбце "Имя ", чтобы открыть соответствующие страницы сведений об устройстве для дальнейшего изучения.
Сайт и /или зона. Эти значения помогают понять географическое и сетевое расположение оповещения и, если существуют области сети, которые в настоящее время более уязвимы для атаки.
Тактика и методы MITRE ATT&CK. Прокрутите вниз в левой области, чтобы просмотреть все сведения о MITRE ATT&CK. Помимо описания тактики и методов, выберите ссылки на сайт MITRE ATT&CK, чтобы узнать больше о каждом из них.
Скачайте PCAP. В верхней части страницы выберите "Скачать PCAP ", чтобы скачать необработанные файлы трафика для выбранного оповещения.
Изучение связанных оповещений на портале Azure
Найдите другие оповещения, активированные тем же исходным или целевым устройством. Корреляции между несколькими оповещениями могут указывать на то, что устройство находится под угрозой и может быть использовано.
Например, устройство, пытающееся подключиться к вредоносному IP-адресу, вместе с другим оповещением о неавторизованных изменениях программирования PLC на устройстве, может указать, что злоумышленник уже получил контроль над устройством.
Чтобы найти соответствующие оповещения в Defender IoT:
На странице "Оповещения" выберите оповещение , чтобы просмотреть сведения справа.
Найдите ссылки устройства в области объектов, либо в разделе сведений справа, либо на странице деталей оповещения. Выберите ссылку сущности, чтобы открыть страницу сведений о связанном устройстве как для исходного, так и для целевого устройства.
На странице сведений об устройстве выберите вкладку "Оповещения" , чтобы просмотреть все оповещения для этого устройства. Рассмотрим пример.
Исследуйте детали оповещения с датчика OT
Датчик OT, который активировал оповещение, будет иметь дополнительные сведения, чтобы помочь в расследовании.
Чтобы продолжить исследование на датчике OT, выполните следующие действия.
Войдите в датчик OT в качестве пользователя средства просмотра или аналитика безопасности .
Выберите страницу "Оповещения" и найдите оповещение, которое вы исследуете. Выберите **«Просмотреть подробности», чтобы открыть страницу подробностей оповещения датчика OT. Рассмотрим пример.
На странице сведений об оповещении датчика:
Перейдите на вкладку "Представление карты ", чтобы просмотреть оповещение на карте устройства датчика OT, включая все подключенные устройства.
Перейдите на вкладку "Временная шкала событий" , чтобы просмотреть полную шкалу событий оповещения, включая другие связанные действия, также обнаруженные датчиком OT.
Выберите Экспорт PDF, чтобы загрузить PDF-сводку с подробностями оповещения.
Действие по исправлению
Время выполнения действий по исправлению может зависеть от серьезности оповещения. Например, для оповещений с высоким уровнем серьезности может потребоваться выполнить действия, даже прежде чем исследовать, например, если необходимо немедленно поместить в карантин область вашей сети.
Для оповещений с более низкой серьезностью или для операционных оповещений вам может понадобиться тщательно изучить их, прежде чем предпринимать какие-либо действия.
Чтобы устранить оповещение, используйте следующие ресурсы Defender для Интернета вещей:
На странице сведений об оповещении на портале Azure или датчике OT перейдите на вкладку "Принять действие ", чтобы просмотреть сведения о рекомендуемых шагах по устранению рисков.
На странице сведений об устройстве на портале Azure для исходных и целевых устройств:
Перейдите на вкладку "Уязвимости" и проверьте обнаруженные уязвимости на каждом устройстве.
Перейдите на вкладку "Рекомендации" и проверьте текущие рекомендации по безопасности для каждого устройства.
Рекомендации по безопасности и данных уязвимостей Defender для Интернета вещей могут обеспечить простые действия, которые можно предпринять для устранения рисков, таких как обновление встроенного ПО или применение исправления. Другие действия могут требовать больше планирования.
Завершив действия по устранению рисков и готовы закрыть оповещение, обязательно обновите состояние оповещения до закрытого или уведомите команду SOC для дальнейшего управления инцидентами.
Примечание.
Если вы интегрируете Defender для Интернета вещей с Microsoft Sentinel, изменения состояния оповещения, внесенные в Defender для Интернета вещей, не обновляются в Microsoft Sentinel. Не забудьте управлять оповещениями в Microsoft Sentinel вместе с соответствующим инцидентом.
Регулярная сортировка оповещений
Для предотвращения усталости от частых оповещений в сети регулярно расставляйте приоритеты для оповещений, чтобы гарантировать, что вы сможете своевременно просматривать и обрабатывать важные оповещения.
Для сортировки оповещений:
В Defender для Интернета вещей на портале Azure перейдите на страницу "Оповещения ". По умолчанию оповещения сортируются по столбцу "Последнее обнаружение " от последнего до самого старого оповещения, чтобы вы могли сначала просмотреть последние оповещения в сети.
Используйте другие фильтры, такие как сенсор или степень серьезности, чтобы найти конкретные оповещения.
Проверьте сведения об оповещении и изучите их по мере необходимости, прежде чем предпринимать какие-либо действия. Когда вы будете готовы, выполните действия на странице сведений об оповещении для определенного оповещения или на странице "Оповещения" для массовых действий.
Например, обновите состояние оповещения или серьезность или запустите оповещение для авторизации обнаруженного трафика. Оповещения зафиксированных данных не активируются снова, если обнаруживается тот же самый трафик.
Для оповещений с высокой серьезностью может потребоваться немедленно выполнить действия.