Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Microsoft Defender для Интернета вещей на портале Microsoft Defender отображаются инциденты и оповещения, которые повышают безопасность сети и повышают эффективность операций с помощью сведений о событиях, зарегистрированных в сети операционной технологии (OT).
Оповещения лежат в основе всех инцидентов и указывают на возникновение вредоносных или подозрительных событий в вашей среде. В инциденте вы анализируете оповещения, влияющие на вашу сеть, понимаете, что они означают, и собираете доказательства, чтобы можно было разработать эффективный план исправления.
Дополнительные сведения об оповещениях и инцидентах см. на портале Defender.
Из этой статьи вы узнаете, как исследовать Microsoft Defender для инцидента Интернета вещей и связанных с ним оповещений, а также как устранить проблемы безопасности, вызванные оповещением.
Оповещения на странице Инциденты уникальным образом объединяют сигналы среды ИТ и OT для обнаружения потенциальных угроз и утечек данных. На странице Инциденты отображается:
- Журнал оповещений, связанных с инцидентом, и граф инцидентов. На диаграмме показаны другие устройства, подключенные к затронутму устройству OT, которые также могут быть скомпрометированы.
- Описания оповещений, в которых объясняется тип обнаруженной проблемы с безопасностью.
- Варианты исправления для решения проблемы безопасности.
Примечание.
Данные об инцидентах и оповещениях для Defender для Интернета вещей отображаются только после настройки сайта и отправки данных на портал Defender устройствами. Узнайте, как настроить сайт.
Важно!
В этой статье рассматриваются Microsoft Defender для Интернета вещей на портале Defender (предварительная версия).
Некоторые функции пока недоступны на портале Defender. Если вы заинтересованы в этих функциях или являетесь существующим клиентом, работающим над портал Azure, см. документацию По Defender для Интернета вещей в Azure.
Дополнительные сведения о порталах управления Defender для Интернета вещей.
Некоторые сведения относятся к предварительно выпущенному продукту, который может быть существенно изменен перед выпуском. Корпорация Майкрософт не дает явных или подразумеваемых гарантий относительно предоставленных здесь сведений.
Исследование оповещений
Чтобы исследовать оповещение, выполните приведенные далее действия.
В меню портала Microsoft Defender выберите Инциденты & оповещения Инциденты>.
Чтобы отобразить инциденты, связанные с OT, выполните приведенные выше действия.
- Выберите Добавить фильтр.
- Выберите Название продукта и нажмите кнопку Добавить.
- Выберите вкладку Названия продуктов и введите Defender для Интернета вещей.
- Нажмите Применить.
Найдите и выберите инцидент.
На странице конкретного инцидента показана история атаки, составленная из временная шкала оповещения, графа инцидентов и сведений об инциденте.
Выберите оповещение из списка оповещений.
Граф инцидентов и сведения об инциденте отображают конкретные данные для этого оповещения.
На панели Инциденты просмотрите сведения, прочитайте описание оповещения, доказательства и затронутые ресурсы и следуйте рекомендациям по предупреждению, чтобы устранить проблему.
Оповещение Defender для Интернета вещей
Defender для Интернета вещей создает собственное уникальное оповещение.
| Имя | Описание |
|---|---|
| Возможное влияние на работу из-за скомпрометированного устройства | Скомпрометированное устройство взаимодействует с ресурсом операционной технологии (OT). Злоумышленник может попытаться контролировать или нарушить физические операции. |
Расширенная охота
Используйте свойство Site , указанное в таблице DeviceInfo , для написания запросов для расширенного поиска. Это позволяет фильтровать устройства по определенному сайту, например все устройства, которые взаимодействовали с вредоносными устройствами на определенном сайте.
В следующем запросе перечислены все конечные устройства с определенным IP-адресом на сайте Сан-Франциско.
DeviceInfo
|where Site == "SanFrancisco" and PublicIP == "192.168.1.1" and DeviceCategory == "Endpoint"
Это относится как к инвентаризации устройств, так и к безопасности сайта. Дополнительные сведения см. в разделах Расширенная охота и Схема DeviceInfo для расширенной охоты.