Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
В этой статье описывается, как исследовать оповещение в сети OT в Microsoft Defender для Интернета вещей и реагировать на него.
Вы можете быть инженером центра управления безопасностью (SOC), использующим Microsoft Sentinel, который видел новый инцидент в рабочей области Microsoft Sentinel и продолжает работу в Defender для Интернета вещей для получения дополнительных сведений о связанных устройствах и рекомендуемых шагах по исправлению.
Кроме того, вы можете быть инженером OT, наблюдающим за операционными оповещениями непосредственно в Defender для Интернета вещей. Операционные оповещения не могут быть вредоносными, но могут указывать на оперативную активность, которая может помочь в расследовании безопасности.
Предварительные условия
Перед началом работы убедитесь, что у вас есть:
Подписка на Azure. При необходимости зарегистрируйтесь для получения бесплатной учетной записи.
Подключенный к облаку сетевой датчик OT, добавленный в Defender for IoT, при этом оповещения поступают в портал Azure.
Чтобы изучить оповещение об инциденте Microsoft Sentinel, убедитесь, что вы выполнили следующие руководства:
Страница сведений об оповещении, к которой можно перейти со страницы Оповещения Defender for IoT на портале Azure, со страницы сведений об устройстве Defender for IoT или из инцидента Microsoft Sentinel.
Изучить оповещение на портале Azure
На странице сведений об оповещении в портале Azure сначала измените состояние оповещения на Активно, чтобы указать, что оно в настоящее время расследуется.
Например, вы можете:
Важно!
Если вы выполняете интеграцию с Microsoft Sentinel, управляйте состоянием оповещений только после инцидента в Microsoft Sentinel. Статусы оповещений не синхронизируются из Microsoft Defender for IoT в Microsoft Sentinel.
После обновления состояния проверьте страницу сведений об оповещении и обратите внимание на следующие сведения, чтобы помочь в расследовании:
Сведения об исходном и целевом устройствах. Исходные и целевые устройства перечислены на вкладке Сведения об оповещении, а также в расположенной ниже области Сущности в виде сущностей Microsoft Sentinel сущности, каждая со своей страницей сущности. В области Сущности вы будете использовать ссылки в столбце Имя , чтобы открыть соответствующие страницы сведений об устройстве для дальнейшего изучения.
Сайт и(или) зона. Эти значения помогают понять географическое и сетевое расположение оповещения, а также определить, есть ли области сети, которые теперь более уязвимы для атак.
Сведения о датчике. Просмотрите сведения о датчике, SiteDisplayName и другие сведения о датчике, чтобы предоставить контекст о датчике, который активировал оповещение.
Примечание.
В некоторых случаях оповещения, отображаемые в списке оповещений, могут не коррелировать с определенными датчиками. Дополнительные сведения см. в статье Исследование оповещений, которые не коррелируют с определенными датчиками.
MITRE ATT&CK тактики и методы. Прокрутите вниз в левой области, чтобы просмотреть все сведения о MITRE ATT&CK. В дополнение к описанию тактики и методов выберите ссылки на сайт MITRE ATT&CK, чтобы узнать больше о каждой из них.
Скачайте PCAP. В верхней части страницы выберите Скачать PCAP , чтобы скачать необработанные файлы трафика для выбранного оповещения.
Изучите связанные оповещения на портале Azure
Найдите другие оповещения, активированные тем же исходным или целевым устройством. Корреляция между несколькими оповещениями может указывать на то, что устройство находится под угрозой и может быть использовано.
Например, попытка устройства подключиться к вредоносному IP-адресу вместе с другим оповещением о несанкционированных изменениях в программировании ПЛК на этом устройстве могут указывать на то, что злоумышленник уже получил контроль над устройством.
Чтобы найти связанные оповещения в Defender для Интернета вещей, выполните приведенные далее действия.
На странице Оповещения выберите оповещение , чтобы просмотреть сведения справа.
Найдите ссылки на устройства в области Сущности — либо на панели сведений справа, либо на странице сведений об оповещении. Выберите ссылку на сущность, чтобы открыть страницу сведений о связанном устройстве как для исходного, так и для целевого устройства.
На странице сведений об устройстве выберите вкладку Оповещения , чтобы просмотреть все оповещения для этого устройства. Например, вы можете:
Изучение оповещений, которые не коррелируют с определенным датчиком
В некоторых случаях оповещения в портал Azure могут не коррелировать с оповещениями на конкретном датчике. Оповещение может быть вызвано конфигурацией определенного датчика, например устройством, помеченным как сканер в одном датчике, но не в другом. В результате оповещения могут отображаться только на датчике с соответствующей конфигурацией, даже если другие датчики также видят тот же трафик.
В этом сценарии можно проверка поля Sensor, SiteDisplayName и SensorZone на вкладке Сведения об оповещении, чтобы определить датчик, создающий оповещение. Затем вы можете просмотреть конфигурацию и контекст этого датчика, чтобы понять, почему было активировано оповещение.
Изучите сведения об оповещении на датчике OT
Датчик OT, который активировал оповещение, будет содержать дополнительные сведения, которые помогут вашему расследованию.
Чтобы продолжить исследование на датчике OT, выполните следующие действия:
Войдите в датчик OT в качестве пользователя средства просмотра или аналитика безопасности .
Выберите страницу Оповещения и найдите оповещение, которое вы расследуете. Выберите **Просмотреть дополнительные сведения**, чтобы открыть страницу сведений об оповещении OT-датчика. Например, вы можете:
На странице сведений об оповещении датчика:
Перейдите на вкладку Представление карты , чтобы просмотреть оповещение на карте устройств датчика OT, включая все подключенные устройства.
Перейдите на вкладку Временная шкала события, чтобы просмотреть полную временная шкала события оповещения, включая другие связанные действия, также обнаруженные датчиком OT.
Выберите Экспорт PDF , чтобы скачать сводку по подробным сведениям об оповещении в формате PDF.
Действие по исправлению
Время выполнения действий по исправлению может зависеть от серьезности оповещения. Например, для оповещений с высоким уровнем серьезности может потребоваться принять меры еще до изучения, например, если необходимо немедленно поместить в карантин область вашей сети.
Для оповещений с более низкой степенью серьезности или для рабочих оповещений может потребоваться полное изучение перед выполнением действий.
Чтобы исправить оповещение, используйте следующие ресурсы Defender для Интернета вещей:
На странице сведений об оповещении на портал Azure или датчике OT выберите вкладку Предпринять действие, чтобы просмотреть сведения о рекомендуемых шагах по снижению риска.
На странице сведений об устройстве в портале Azure, как для исходного, так и для целевого устройства:
Выберите вкладку Уязвимости и проверьте наличие обнаруженных уязвимостей на каждом устройстве.
Перейдите на вкладку Рекомендации и проверьте наличие актуальных рекомендаций по безопасности для каждого устройства.
Данные об уязвимостях и рекомендации по безопасности Defender для Интернета вещей предоставляют простые действия, которые можно предпринять для снижения рисков, например обновление встроенного ПО или применение исправления. Другие действия могут потребовать дополнительного планирования.
Когда вы завершите действия по устранению рисков и готовы закрыть оповещение, обязательно обновите состояние оповещения на Закрыто или сообщите команде SOC о дальнейшем управлении инцидентами.
Примечание.
Если вы интегрируете Defender для Интернета вещей с Microsoft Sentinel, изменения состояния оповещений, внесенные в Defender для Интернета вещей, не обновляются в Microsoft Sentinel. Обязательно управляйте оповещениями в Microsoft Sentinel вместе с соответствующим инцидентом.
Регулярное рассмотрение оповещений
Регулярно просматривайте оповещения, чтобы предотвратить усталость от оповещений в сети и обеспечить своевременную обработку важных оповещений.
Для рассмотрения оповещений выполните приведенные далее действия.
На портале Azure в Defender для Интернета вещей перейдите на страницу Оповещения. По умолчанию оповещения сортируются по столбцу Последнее обнаружение от последнего до самого старого, чтобы вы могли сначала просмотреть последние оповещения в сети.
Используйте другие фильтры, такие как Датчик или Серьезность , для поиска определенных оповещений.
Проверьте сведения об оповещении и при необходимости проведите расследование, прежде чем выполнять какие-либо действия с оповещением. Когда будете готовы, выполните действие на странице сведений о конкретном оповещении или на странице Оповещения для массовых действий.
Например, обновите состояние оповещения или уровень серьезности или изучите оповещение, чтобы авторизовать обнаруженный трафик. Выученные оповещения не срабатывают повторно, если снова обнаруживается точно такой же трафик.
Для оповещений с высоким уровнем серьезности может потребоваться немедленно принять меры.