Bemærk
Adgang til denne side kræver godkendelse. Du kan prøve at logge på eller ændre mapper.
Adgang til denne side kræver godkendelse. Du kan prøve at ændre mapper.
Microsoft Defender til IoT-beskeder forbedrer din netværkssikkerhed og dine handlinger med oplysninger i realtid om hændelser, der er logget på dit netværk. Beskeder udløses, når OT-netværkssensorer registrerer ændringer eller mistænkelig aktivitet i netværkstrafik, der kræver din opmærksomhed.
Det kan f.eks. være:
Brug de oplysninger, der vises på siden Beskeder eller på siden med beskedoplysninger, til at undersøge og udføre handlinger, der afhjælper enhver risiko for dit netværk, enten fra relaterede enheder eller den netværksproces, der udløste beskeden.
Tip
Brug trinnene til afhjælpning af advarsler for at hjælpe dine SOC-teams med at forstå mulige problemer og løsninger. Vi anbefaler, at du gennemser de anbefalede afhjælpningstrin, før du opdaterer en beskedstatus eller foretager en handling på enheden eller netværket.
Indstillinger for administration af beskeder
Defender for IoT-beskeder er tilgængelige i Azure Portal- eller OT-netværkssensorkonsollerne. Med Enterprise IoT-sikkerhed er beskeder også tilgængelige for Enterprise IoT-enheder, der registreres af Defender for Endpoint, i Microsoft 365 Defender.
Selvom du kan få vist beskedoplysninger, undersøge beskedkontekst og triage og administrere beskedstatusser fra en hvilken som helst af disse placeringer, tilbyder hver placering også ekstra beskedhandlinger. I følgende tabel beskrives de beskeder, der understøttes for hver placering, og de ekstra handlinger, der kun er tilgængelige fra den pågældende placering:
| Placering | Beskrivelse | Ekstra beskedhandlinger |
|---|---|---|
| Azure Portal | Beskeder fra alle cloudtilsluttede OT-sensorer | - Få vist relaterede MITRE ATT&CK taktik og teknikker – Brug køreklare projektmapper til synlighed i vigtige beskeder – Få vist beskeder fra Microsoft Sentinel, og kør dybere undersøgelser med Microsoft Sentinel playbooks og projektmapper. |
| OT-netværkssensorkonsoller | Beskeder genereret af den pågældende OT-sensor | - Få vist beskedens kilde og destination på enhedens kort – Få vist relaterede hændelser på hændelsestidslinjen – Videresend beskeder direkte til partnerleverandører - Opret kommentarer til beskeder – Opret brugerdefinerede regler for beskeder - Fjern beskeder |
| Microsoft 365 Defender | Beskeder genereret for Enterprise IoT-enheder, der er registreret af Microsoft Defender for Endpoint | – Administrer beskeddata sammen med andre Microsoft 365 Defender-data, herunder avanceret jagt |
Overvejelser i forbindelse med administration af beskeder
- Alle beskeder, der genereres fra forskellige sensorer i den samme zone inden for en 10-minutters tidsramme med samme type, status, beskedprotokol og tilknyttede enheder, er angivet som en enkelt samlet besked.
- Tidsrammen på 10 minutter er baseret på beskedens første registreringstid .
- Den enkelte samlede besked viser alle de sensorer, der registrerede beskeden.
- Beskeder kombineres baseret på beskedprotokollen og ikke enhedsprotokollen.
- Du kan finde flere oplysninger under:
- Beskedindstillingerne varierer også afhængigt af din placering og brugerrolle. Du kan få flere oplysninger under Azure brugerroller og -tilladelser samt brugere og roller i det lokale miljø.
- Når du får vist beskeder på beskedlisten, korrelerer nogle beskeder muligvis ikke med beskeder på bestemte sensorer. Du kan få flere oplysninger under Undersøg vigtige beskeder, der ikke er i overensstemmelse med bestemte sensorer.
Sammenlægning af beskeder om overtrædelser
Påmindelsestræthed, der skyldes et stort antal identiske beskeder, kan medføre, at dit team ikke kan se eller afhjælpe vigtige beskeder. Hver besked, der vises på siden Beskeder, er et resultat af en netværksovertrædelse, f.eks. ikke-permitted brug af Modbus-funktionskode. Hvis du aggregerer overtrædelser med de samme parametre og afhjælpningskrav i én enkelt beskedliste, reduceres antallet af beskeder, der vises på siden Beskeder. De matchende parametre varierer afhængigt af beskedtypen. Beskeden Uppermitted Usage of Modbus Function Code skal f.eks. have de samme kilde- og destinations-IP-adresser for at producere en samlet beskedovertrædelse. Den samlede besked kan omfatte beskeder med forskellige overtrædelseskoder, f.eks. læse- og skrivekoder.
Du downloader de samlede data for overtrædelse af beskeder, der viser hver besked med de relevante parametre og funktioner som en CSV-fil under fanen Overtrædelser i beskedoplysningerne. Disse data kan hjælpe teams med at identificere mønstre, vurdere indvirkningen og prioritere svar mere effektivt baseret på afhjælpningsforslagene under fanen Udfør handling . Kun beskeder, der har den samme afhjælpningsproces, samles i en enkelt besked. Individuelle overtrædelseshændelser kan dog stadig ses separat inden for deres respektive enheder, hvilket giver yderligere klarhed.
Bemærk!
Når du har lært en besked (med indstillingen Få mere at vide under fanen Udfør handling for beskeden), udløses den samme besked muligvis igen. Dette kan ske, hvis den nye besked har andre overtrædelsesparametre end den oprindelige besked. Sådan kontrollerer du, hvilke overtrædelser der findes for en besked:
- Vælg Eksportér på fanen Overtrædelser i den Azure Portal.
- Vælg Download CSV på fanen Overtrædelser under fanen Overtrædelser i OT-sensorkonsollen.
Gruppering af beskeder vises både i OT-sensorkonsollen og i Azure Portal. Du kan få flere oplysninger under Afhjælp aggregerede beskeder i Sensorkonsol og afhjælp aggregerede beskeder i Azure Portal.
Fokuserede beskeder i OT/IT-miljøer
Organisationer, hvor sensorer udrulles mellem OT- og IT-netværk, håndterer mange vigtige beskeder, der er relateret til både OT- og it-trafik. Mængden af beskeder, hvoraf nogle er irrelevante, kan forårsage træthed i forbindelse med advarsler og påvirke den overordnede ydeevne. For at løse disse udfordringer styrer Defender for IoT's registreringspolitik sine forskellige beskedprogrammer for at fokusere på beskeder med forretningsmæssig virkning og relevans for et OT-netværk og reducere it-relaterede beskeder med lav værdi. Beskeden Uautoriseret internetforbindelse er f.eks. meget relevant i et OT-netværk, men har en relativt lav værdi i et it-netværk.
Hvis du vil fokusere på de beskeder, der udløses i disse miljøer, skal alle beskedprogrammer, undtagen malwareprogrammet , kun udløse beskeder, hvis de registrerer et relateret OT-undernet eller en relateret protokol.
Men for at bevare udløsningen af beskeder, der angiver kritiske scenarier:
- Malware-programmet udløser malwarebeskeder, uanset om beskederne er relateret til OT- eller IT-enheder.
- De andre programprogrammer omfatter undtagelser for kritiske scenarier. Handlingsprogrammet udløser f.eks. beskeder, der er relateret til sensortrafik, uanset om beskeden er relateret til OT- eller it-trafik.
Administration af OT-beskeder i et hybridmiljø
Brugere, der arbejder i hybridmiljøer, administrerer muligvis OT-beskeder i Defender for IoT på Azure Portal eller OT-sensoren.
Bemærk!
Mens sensorkonsollen viser feltet Seneste registrering for en besked i realtid, kan det tage op til én time at få vist det opdaterede klokkeslæt i Defender for IoT i Azure Portal. Dette forklarer et scenarie, hvor det seneste registreringstidspunkt i sensorkonsollen ikke er det samme som tidspunktet for sidste registrering i Azure Portal.
Beskedstatusserne synkroniseres ellers fuldt ud mellem Azure Portal og OT-sensoren. Det betyder, at beskeden opdateres andre steder, uanset hvor du administrerer beskeden i Defender for IoT.
Hvis du angiver en beskedstatus til Lukket eller Slået fra på en sensor, opdateres beskedstatussen til Lukket på Azure Portal.
Tip
Hvis du arbejder med Microsoft Sentinel, anbefaler vi, at du konfigurerer integrationen til også at synkronisere beskedstatus med Microsoft Sentinel og derefter administrere beskedstatusser sammen med de relaterede Microsoft Sentinel hændelser.
Du kan finde flere oplysninger under Selvstudium: Undersøg og registrer trusler for IoT-enheder.
Virksomheds-IoT-beskeder og -Microsoft Defender for Endpoint
Hvis du bruger Enterprise IoT-sikkerhed i Microsoft 365 Defender, er beskeder for Enterprise IoT-enheder, der er registreret af Microsoft Defender for Endpoint kun tilgængelige i Microsoft 365 Defender. Mange netværksbaserede registreringer fra Microsoft Defender for Endpoint er relevante for Enterprise IoT-enheder, f.eks. beskeder, der udløses af scanninger, der involverer administrerede slutpunkter.
Du kan finde flere oplysninger under Sikring af IoT-enheder i virksomheden og køen Beskeder i Microsoft 365 Defender.
Accelererende arbejdsprocesser for OT-beskeder
Nye beskeder lukkes automatisk, hvis der ikke registreres identisk trafik 90 dage efter den første registrering. Hvis der registreres identisk trafik inden for de første 90 dage, nulstilles antallet på 90 dage.
Ud over standardfunktionsmåden kan det være en god idé at hjælpe dine SOC- og OT-administrationsteams med at sortere og afhjælpe beskeder hurtigere. Log på en OT-sensor som en Administration bruger for at bruge følgende indstillinger:
Opret brugerdefinerede regler for beskeder. Kun OT-sensorer.
Tilføj brugerdefinerede regler for beskeder for at udløse beskeder om bestemte aktiviteter på dit netværk, der ikke er dækket af klar til brug.
For et miljø, der kører MODBUS, kan du f.eks. tilføje en regel for at registrere eventuelle skrevne kommandoer i et hukommelsesregister på en bestemt IP-adresse og ethernet-destination.
Du kan få flere oplysninger under Opret brugerdefinerede påmindelsesregler på en OT-sensor.
Opret kommentarer til beskeder. Kun OT-sensorer.
Opret et sæt vigtige kommentarer, som andre brugere af OT-sensoren kan føje til individuelle beskeder med oplysninger som brugerdefinerede afhjælpningstrin, kommunikation til andre teammedlemmer eller andre indsigter eller advarsler om hændelsen.
Teammedlemmer kan genbruge disse brugerdefinerede kommentarer, når de behandler og administrerer beskedstatusser. Beskedkommentarer vises i et kommentarområde på en side med beskedoplysninger. Det kan f.eks. være:
Du kan få flere oplysninger under Opret kommentarer til beskeder på en OT-sensor.
Videresend beskeddata til partnersystemer til partner-SIEMs, syslog-servere, angivne mailadresser og meget mere.
Understøttes fra OT-sensorerne for at få flere oplysninger under Videresend beskedoplysninger.
Beskedstatusser og indstillinger for triaging
Brug følgende beskedstatusser og triagingindstillinger til at administrere beskeder på tværs af Defender for IoT.
Når du opsøger en besked, skal du overveje, at nogle beskeder kan afspejle gyldige netværksændringer, f.eks. en godkendt enhed, der forsøger at få adgang til en ny ressource på en anden enhed.
Selvom triaging-indstillinger fra OT-sensoren kun er tilgængelige for OT-beskeder, er indstillinger, der er tilgængelige på Azure Portal tilgængelige for både OT- og Enterprise IoT-beskeder.
Brug følgende tabel til at få mere at vide om hver beskedstatus og de enkelte indstillinger for triage.
| Status-/triagehandling | Tilgængelig på | Beskrivelse |
|---|---|---|
| Nye | - Azure Portal - OT-netværkssensorer |
Nye beskeder er beskeder, der endnu ikke er blevet behandlet eller undersøgt af teamet. Ny trafik, der registreres for de samme enheder, genererer ikke en ny besked, men føjes til den eksisterende besked. Bemærk! Du kan muligvis se flere nye beskeder med det samme navn. I sådanne tilfælde udløses hver enkelt besked af separat trafik på forskellige enheder. |
| Aktive | - kun Azure Portal | Indstil en besked til Aktiv for at angive, at der er en undersøgelse i gang, men at beskeden endnu ikke kan lukkes eller på anden måde behandles. Denne status har ingen effekt andre steder i Defender for IoT. |
| Lukket | - Azure Portal - OT-netværkssensorer |
Luk en besked for at angive, at den er undersøgt fuldt ud, og du vil have besked igen, næste gang den samme trafik registreres. Hvis du lukker en besked, føjes den til sensorhændelsens tidslinje. |
| Lære | - Azure Portal - OT-netværkssensorer Fjernelse af en besked er kun tilgængelig på OT-sensoren. |
Få mere at vide om en besked, når du vil lukke den og tilføje den som tilladt trafik, så du ikke får besked igen, næste gang den samme trafik registreres. Når sensoren f.eks. registrerer firmwareversionsændringer efter standardvedligeholdelsesprocedurer, eller når der føjes en ny, forventet enhed til netværket. Når du lærer en besked, lukkes beskeden, og der føjes et element til sensorhændelsens tidslinje. Registreret trafik er inkluderet i dataminingsrapporter, men ikke ved beregning af andre OT-sensorrapporter. Læringsbeskeder er kun tilgængelige for udvalgte beskeder, hovedsageligt dem, der udløses af beskeder i programmet Politik og Uregelmæssigheder . |
| Mute | - OT-netværkssensorer Slå en besked til og fra er kun tilgængelig på OT-sensoren. |
Slå en besked fra, når du vil lukke den og ikke se den igen for den samme trafik, men uden at tilføje beskeden tilladt trafik. Når handlingsprogrammet f.eks. udløser en besked, der angiver, at PLC-tilstanden blev ændret på en enhed. Den nye tilstand kan indikere, at PLC ikke er sikker, men efter undersøgelse, er det fastslået, at den nye tilstand er acceptabel. Når du slår en besked fra, lukkes den, men der føjes ikke et element til sensorhændelsens tidslinje. Registreret trafik er inkluderet i dataminingsrapporter, men ikke ved beregning af data for andre sensorrapporter. Slå en besked fra er kun tilgængelig for udvalgte beskeder, hovedsageligt dem, der udløses af programmer af typen Anomaly, Protocol Violation eller Operational . |
Triage OT-beskeder i læringstilstand
Læringstilstand refererer til den indledende periode, efter en OT-sensor er udrullet, når din OT-sensor lærer netværkets baselineaktivitet, herunder enheder og protokoller i dit netværk, og de almindelige filoverførsler, der sker mellem bestemte enheder.
Brug læringstilstand til at udføre en indledende triage på beskederne i dit netværk og lære dem, du vil markere som godkendt, forventet aktivitet. Lært trafik genererer ikke nye beskeder, næste gang den samme trafik registreres.
Du kan få flere oplysninger under Opret en lært oprindelig plan for ot-beskeder.
Undersøgelse og afhjælpning af advarsler
Undersøgelse af vigtige beskeder giver dig mulighed for at forstå konteksten for beskeden, herunder den sensor, der udløste beskeden, kilde- og destinationsenhederne og relateret aktivitet på dit OT-netværk.
Når du har undersøgt en besked og undersøgt den, kan du løse eventuelle problemer, der er identificeret under undersøgelsen.
Du kan få flere oplysninger under Undersøg og besvar en ot-netværksbesked.
Næste trin
Gennemse beskedtyper og meddelelser for at hjælpe dig med at forstå og planlægge afhjælpningshandlinger og integrationer af playbooks. Du kan få flere oplysninger under Typer og beskrivelser af ot-overvågning af beskeder.