Spor netværks- og sensoraktivitet med hændelsestidslinjen

Aktivitet, der registreres af din Microsoft Defender for IoT-sensorer, registreres på hændelsestidslinjen. Aktiviteten omfatter handlinger til administration af beskeder, netværkshændelser og brugerhandlinger, f.eks. brugerlogon eller brugersletning.

OT-sensorens hændelsestidslinje giver en kronologisk visning af og kontekst for al netværksaktivitet for at hjælpe med at fastslå årsagen til og effekten af hændelser. Tidslinjevisningen gør det nemt at udtrække oplysninger fra netværkshændelser og analysere beskeder og hændelser, der er observeret på netværket, mere effektivt. Med muligheden for at gemme store mængder data kan visningen af hændelsestidslinjen være en værdifuld ressource for sikkerhedsteams til at udføre undersøgelser og få en bedre forståelse af netværksaktivitet.

Brug tidslinjen for begivenheden under undersøgelser til at forstå og analysere den kæde af hændelser, der gik forud for og fulgte et angreb eller en hændelse. Den centraliserede visning af flere sikkerhedsrelaterede hændelser på den samme tidslinje hjælper med at identificere mønstre og korrelationer og gør det muligt for sikkerhedsteams hurtigt at vurdere virkningen af hændelser og reagere i overensstemmelse hermed.

Du kan finde flere oplysninger under:

Tilladelser

Før du udfører de procedurer, der er beskrevet i denne artikel, skal du sørge for, at du har adgang til en OT-sensor som en Administration- eller sikkerhedsanalytikerrolle. Du kan få flere oplysninger under Brugere i det lokale miljø og roller til OT-overvågning med Defender for IoT.

Få vist tidslinjen for begivenheden

  1. Log på sensorkonsollen, og vælg Hændelsestidslinje i menuen til venstre.

  2. Gennemse og filtrer hændelserne efter behov.

  3. Vælg en hændelsesrække for at få vist hændelsesdetaljerne i en rude til højre, hvor du også kan filtrere for at få vist hændelser på relaterede enheder. Filteret Brugerhandlinger er som standard slået til. Du kan vælge at skjule eller vise brugerhændelser efter behov.

    Det kan f.eks. være:

    Skærmbillede af hændelser på hændelsestidslinjen.

Du kan også få vist begivenhedstidslinjen for en bestemt enhed fra enhedens lager.

Sådan får du vist hændelsestidslinjen for en bestemt enhed:

  1. Gå til Enhedsoversigt i sensorkonsollen.

  2. Vælg den specifikke enhed for at åbne ruden med enhedsoplysninger, og vælg derefter Vis alle detaljer for at åbne siden med enhedsegenskaber.

  3. Vælg fanen Hændelsestidslinje for at få vist alle hændelser, der er knyttet til denne enhed, og filtrer hændelserne efter behov.

    Det kan f.eks. være:

    Skærmbillede af fanen med hændelsestidslinjen på siden med enhedsegenskaber.

Filtrer hændelser på tidslinjen

  1. På siden med begivenhedstidslinjen skal du vælge Tilføj filter for at angive de viste hændelser.

  2. Vælg filtertypen. Brug en af følgende indstillinger til at filtrere de viste enheder:

    Type Beskrivelse
    Brugerhandlinger Dette filter er som standard slået til. Vælg at vise eller skjule hændelser for brugerhandlinger.
    Dato Søg efter hændelser i et bestemt datointerval.
    Enhedsgruppe Filtrer bestemte enheder efter gruppe som defineret på enhedskortet.
    Hændelses alvorsgrad Vis kun beskeder, beskeder og meddelelser eller alle hændelser.
    Udelad enheder Søg efter og filtrer de enheder, du vil udelade.
    Medtag enheder Søg efter og filtrer de enheder, du vil medtage.
    Udelad hændelsestyper Søg efter og filtrer bestemte hændelsestyper, der skal udelades.
    Medtag hændelsestyper Søg efter og filtrer bestemte hændelsestyper, der skal inkluderes.
    Nøgleord Filtrer hændelser efter bestemte nøgleord.

  3. Vælg Anvend for at angive filteret.

Eksportér hændelsestidslinjen til CSV

Du kan eksportere hændelsestidslinjen til en CSV-fil. De eksporterede data er i overensstemmelse med de filtre, der anvendes ved eksport.

Sådan eksporterer du begivenhedstidslinjen:

På siden Hændelsestidslinje skal du vælge Eksportér i den øverste menu for at eksportere hændelsestidslinjen til en CSV-fil.

Opret en hændelse

Ud over at få vist de hændelser, som sensoren har registreret, kan du manuelt føje hændelser til tidslinjen. Denne proces er nyttig, hvis en hændelse i et eksternt system påvirker dit netværk, og du vil optage den på tidslinjen.

  1. På siden Begivenhedstidslinje skal du vælge Opret hændelse.

  2. Tilføj følgende hændelsesoplysninger i dialogboksen Opret hændelse :

    • Skriv. Angiv hændelsestypen (oplysninger, meddelelse eller besked).

    • Tidsstempel. Angiv dato og klokkeslæt for hændelsen.

    • Enhed. Vælg den enhed, som hændelsen skal være forbundet med.

    • Beskrivelse. Angiv en beskrivelse af hændelsen.

  3. Vælg Gem for at føje hændelsen til tidslinjen.

Det kan f.eks. være:

Skærmbillede af oprettelse af en ny begivenhed på tidslinjen.

Kapacitet for hændelsestidslinje

Mængden af data, der kan gemmes på hændelsestidslinjen, afhænger af forskellige faktorer, f.eks. netværkets størrelse, hyppigheden af hændelser og din sensors lagerkapacitet. De data, der er gemt på hændelsestidslinjen, kan omfatte oplysninger om netværkstrafik, sikkerhedshændelser og andre relevante datapunkter.

Det maksimale antal hændelser, der vises på hændelsestidslinjen, afhænger af den hardwareprofil, der er valgt under sensorinstallationen. Hver hardwareprofil har en maksimal kapacitet af hændelser. Du kan få flere oplysninger om den maksimale hændelseskapacitet for hver hardwareprofil under Opbevaring af OT-hændelsestidslinje.

Næste trin

Du kan finde flere oplysninger under:

  • Last updated on