Bemærk
Adgang til denne side kræver godkendelse. Du kan prøve at logge på eller ændre mapper.
Adgang til denne side kræver godkendelse. Du kan prøve at ændre mapper.
Denne artikel er en i en række artikler, der beskriver udrulningsstien til ot-overvågning med Microsoft Defender til IoT, og beskriver, hvordan du opretter en baseline for lært trafik på din OT-sensor.
Oversigt over overvågningsprocessen med flere faser
En OT-netværkssensor starter automatisk overvågning af netværket, når det har oprettet forbindelse til netværket, og du logger på. Netværksenheder begynder at blive vist på enhedens lager, og beskeder udløses for alle sikkerheds- eller driftsmæssige hændelser, der opstår i dit netværk.
Defender for IoT anvender en overvågningsproces med tre faser, der lærer dit netværks normale trafikadfærd at kende. Disse tre faser sikrer nøjagtig registrering, samtidig med at unødvendige beskeder reduceres, f.eks.:
Oversigt over overvågningsfaserne
| Tilstand | Formål | Udløserbeskeder | Brugerhandlinger skal bruges |
|---|---|---|---|
| Læring | Opretter en grundlinje for normal netværkstrafik | Malwarebeskeder, beskeder om uregelmæssigheder, driftsbeskeder, beskeder om protokolovertrædelse | Slå manuelt fra efter 2-6 uger, eller når grundlinjen afspejler nøjagtig netværksaktivitet |
| Dynamisk | Afgrænser grundlinjen, samtidig med at du gradvist introducerer beskeder om politikovertrædelser for at sikre nøjagtighed og reducere advarselsstøj | Beskeder om overtrædelse af politik introduceres | Valgfrit: Juster indstillingerne for bestemte scenarier (f.eks. under BLÅS |
| Operationelle | Overvåger al netværkstrafik med en stabil baseline, der udløser alle beskeder for at afspejle afvigelser eller mistænkelig aktivitet | Alle typer beskeder | Ingen. Skifter automatisk, når den oprindelige plan stabiliseres |
Læringstilstand
Til at starte med kører sensoren i læringstilstand for at overvåge al din netværkstrafik og opbygge en baseline af alle normale trafikmønstre. Denne grundlinje omfatter alle enheder og protokoller i dit netværk og de almindelige filoverførsler, der sker mellem enheder. Denne proces tager normalt mellem 2 og 6 uger, afhængigt af netværkets størrelse og kompleksitet. Derudover skifter alle enheder, der registreres senere, til læringstilstand i 7 dage for at etablere deres baseline for netværkstrafik.
I læringstilstand overvåger og beskytter sensoren dit miljø ved at udløse relevante sikkerhedsbeskeder, f.eks. malware, uregelmæssigheder og driftsadvarsler. Beskeder om politikovertrædelse, som angiver afvigelser fra den oprindelige plan, udløses dog ikke, mens systemet er i læringstilstand.
Dynamisk tilstand
Når registreringsprocessen og netværkstrafikken er stabil, skal du slå læringstilstanden fra manuelt. På dette tidspunkt skifter sensoren til dynamisk tilstand. I dynamisk tilstand fortsætter sensoren med at overvåge dit netværk og validere og finjustere grundlinjen. Sensoren vurderer hver beskedkategori og hvert scenarie individuelt og ændrer dem dynamisk til driftstilstand, når deres baselines er bekræftet til at være nøjagtige. Hvis sensoren registrerer betydelige ændringer i trafikken, kan det også automatisk udvide læringstilstanden for bestemte beskeder eller scenarier.
I dynamisk tilstand introduceres beskeder om politikovertrædelse gradvist og begynder at blive vist i oversigten over beskeder.
Driftstilstand
Når sensoren identificerer, at grundlinjen er stabil og fuldfører den, skifter den automatisk til driftstilstand, overvågning af al netværkstrafik og udløsning af alle beskedtyper.
Handlingen Learn bliver relevant, når læringstilstanden er slået fra, når scenariet skifter til driftstilstand, og du vil markere bestemte handlinger som godkendt eller forventet aktivitet. Når du har lært det, genererer lignende aktivitet ikke nye beskeder i fremtiden.
Slå læringstilstanden fra manuelt , når beskedniveauet nøjagtigt afspejler din netværksaktivitet.
Du kan få flere oplysninger under Microsoft Defender for IoT-beskeder.
Forudsætninger
Du kan udføre procedurerne i denne artikel fra Azure Portal eller en OT-sensor.
Før du starter, skal du sørge for, at du har:
En OT-sensor, der er installeret, konfigureret og aktiveret, med beskeder udløst af registreret trafik.
Adgang til din OT-sensor som sikkerhedsanalytiker eller Administration bruger. Du kan få flere oplysninger under Brugere i det lokale miljø og roller til OT-overvågning med Defender for IoT.
Vigtige beskeder
Triagebeskeder mod slutningen af din installation for at oprette en indledende baseline for din netværksaktivitet.
Log på din OT-sensor, og vælg siden Beskeder .
Brug sorterings- og grupperingsindstillinger til at få vist dine vigtigste beskeder først. Gennemse hver enkelt besked for at opdatere statusser og få mere at vide om beskeder om godkendt trafik til håndkøb.
Du kan få flere oplysninger under Få vist og administrer beskeder på din OT-sensor.
Næste trin
Når læringstilstanden er slået fra, og du flytter fra læringstilstand til handlingstilstand , fortsætter du med et af følgende:
- Visualiser Microsoft Defender til IoT-data med Azure Overvåg projektmapper
- Få vist og administrer beskeder fra Azure Portal
- Administrer din enheds lagerbeholdning fra Azure Portal
Integrer Defender for IoT-data med Microsoft Sentinel for at samle dit SOC-teams sikkerhedsovervågning. Du kan finde flere oplysninger under: