Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Microsoft Defender für IoT-Warnungen verbessern Ihre Netzwerksicherheit und -vorgänge mit Echtzeitdetails zu in Ihrem Netzwerk protokollierten Ereignissen. Warnungen werden ausgelöst, wenn OT-Netzwerksensoren Änderungen oder verdächtige Aktivitäten im Netzwerkdatenverkehr erkennen, die Ihre Aufmerksamkeit erfordern.
Zum Beispiel:
Verwenden Sie die Details, die auf der Seite Warnungen oder auf einer Seite mit warnungsdetails angezeigt werden, um zu untersuchen und Maßnahmen zu ergreifen, die alle Risiken für Ihr Netzwerk beseitigen, entweder von verwandten Geräten oder dem Netzwerkprozess, der die Warnung ausgelöst hat.
Tipp
Verwenden Sie Schritte zur Warnungsbehebung, um Ihren SOC-Teams zu helfen, mögliche Probleme und Lösungen zu verstehen. Es wird empfohlen, die empfohlenen Korrekturschritte zu überprüfen, bevor Sie eine Warnung status aktualisieren oder Maßnahmen auf dem Gerät oder Netzwerk ergreifen.
Optionen für die Warnungsverwaltung
Defender für IoT-Warnungen sind in den Azure-Portal- oder OT-Netzwerksensorkonsolen verfügbar. Mit Enterprise IoT-Sicherheit sind Warnungen auch für Enterprise IoT-Geräte verfügbar, die von Defender für Endpunkt in Microsoft 365 Defender erkannt werden.
Sie können Warnungsdetails anzeigen, den Warnungskontext untersuchen und Warnungsstatus von jedem dieser Standorte selektieren und verwalten, aber jeder Standort bietet auch zusätzliche Warnungsaktionen. In der folgenden Tabelle werden die für jeden Standort unterstützten Warnungen und die zusätzlichen Aktionen beschrieben, die nur von diesem Standort aus verfügbar sind:
| Standort | Beschreibung | Zusätzliche Warnungsaktionen |
|---|---|---|
| Azure-Portal | Warnungen von allen mit der Cloud verbundenen OT-Sensoren | - Anzeigen verwandter MITRE ATT&CK-Taktiken und -Techniken – Verwenden von vordefinierten Arbeitsmappen für den Einblick in Warnungen mit hoher Priorität – Zeigen Sie Warnungen aus Microsoft Sentinel an, und führen Sie tiefergehende Untersuchungen mit Microsoft Sentinel Playbooks und Arbeitsmappen durch. |
| OT-Netzwerksensorkonsolen | Von diesem OT-Sensor generierte Warnungen | – Anzeigen der Quelle und des Ziels der Warnung in der Geräteübersicht – Anzeigen verwandter Ereignisse im ereignisbezogenen Zeitleiste - Weiterleiten von Warnungen direkt an Partneranbieter – Erstellen von Warnungskommentaren – Erstellen von benutzerdefinierten Warnungsregeln – Verlernen von Warnungen |
| Microsoft 365 Defender | Generierte Warnungen für Enterprise IoT-Geräte, die von Microsoft Defender for Endpoint erkannt wurden | – Verwalten von Warnungsdaten zusammen mit anderen Microsoft 365 Defender-Daten, einschließlich der erweiterten Suche |
Überlegungen zur Warnungsverwaltung
- Alle Warnungen, die von unterschiedlichen Sensoren in derselben Zone innerhalb eines Zeitraums von 10 Minuten mit demselben Typ, status, Demselben Warnungsprotokoll und den zugehörigen Geräten generiert werden, werden als eine einzelne, einheitliche Warnung aufgeführt.
- Der Zeitraum von 10 Minuten basiert auf dem Zeitpunkt der ersten Erkennung der Warnung.
- Die einzelne, einheitliche Warnung listet alle Sensoren auf, die die Warnung erkannt haben.
- Warnungen werden basierend auf dem Warnungsprotokoll und nicht auf dem Geräteprotokoll kombiniert.
- Weitere Informationen finden Sie unter:
- Die Warnungsoptionen unterscheiden sich auch je nach Standort und Benutzerrolle. Weitere Informationen finden Sie unter Azure Benutzerrollen und -berechtigungen sowie unter Lokale Benutzer und Rollen.
- Wenn Sie Warnungen in der Warnungsliste anzeigen, korrelieren einige Warnungen möglicherweise nicht mit Warnungen auf bestimmten Sensoren. Weitere Informationen finden Sie unter Untersuchen von Warnungen, die nicht mit bestimmten Sensoren korrelieren.
Aggregieren von Warnungsverstößen
Warnungsermüdung, die durch eine große Anzahl identischer Warnungen verursacht wird, kann dazu führen, dass Ihr Team wichtige Warnungen nicht sehen oder beheben kann. Jede Warnung, die auf der Seite Warnungen aufgeführt ist, ist das Ergebnis einer Netzwerkverletzung, z. B . der Nicht ausgegebene Verwendung des Modbus-Funktionscodes. Durch das Aggregieren von Verstößen mit denselben Parametern und Wartungsanforderungen in einer einzigen Warnungsauflistung wird die Anzahl der Warnungen reduziert, die auf der Seite Warnungen angezeigt werden. Die übereinstimmenden Parameter unterscheiden sich je nach Warnungstyp. Beispielsweise muss die Warnung Verwendung des Modbus-Funktionscodes ohne Commit nicht über die gleichen Quell- und Ziel-IP-Adressen verfügen, um eine aggregierte Warnungsverletzung zu erzeugen. Die aggregierte Warnung kann Warnungen mit unterschiedlichen Verletzungscodes enthalten, z. B. Lese- und Schreibcodes.
Sie laden die aggregierten Warnungsverletzungsdaten, die jede Warnung mit den relevanten Parametern und Funktionen auflistet, als CSV-Datei auf der Registerkarte Verstöße der Warnungsdetails herunter. Diese Daten können Teams dabei helfen, Muster zu identifizieren, Auswirkungen zu bewerten und Antworten basierend auf den Korrekturvorschlägen auf der Registerkarte Aktion ausführen effektiver zu priorisieren. Nur Warnungen, die denselben Korrekturprozess aufweisen, werden zu einer einzelnen Warnung aggregiert. Einzelne Verletzungsereignisse können jedoch weiterhin separat auf ihren jeweiligen Geräten angezeigt werden, um zusätzliche Klarheit zu schaffen.
Hinweis
Nachdem Sie eine Warnung gelernt haben (mit der Option Learn auf der Registerkarte Aktion ausführen der Warnung), wird die gleiche Warnung möglicherweise erneut ausgelöst. Dies kann passieren, wenn die neue Warnung andere Verletzungsparameter aufweist als die ursprüngliche Warnung. So überprüfen Sie, welche Verstöße für eine Warnung vorhanden sind:
- Wählen Sie im Azure-Portal auf der Registerkarte Verstöße der Warnung die Option Exportieren aus.
- Wählen Sie in der OT-Sensorkonsole auf der Registerkarte Verstöße der Warnung die Option CSV herunterladen aus.
Die Warnungsgruppierung wird sowohl in der OT-Sensorkonsole als auch im Azure-Portal angezeigt. Weitere Informationen finden Sie unter Beheben von aggregierten Warnungen in der Sensorkonsole und Korrigieren aggregierter Warnungen in Azure-Portal.
Fokussierte Warnungen in OT-/IT-Umgebungen
Organisationen, in denen Sensoren zwischen OT- und IT-Netzwerken bereitgestellt werden, verarbeiten viele Warnungen im Zusammenhang mit OT- und IT-Datenverkehr. Die Anzahl der Warnungen, von denen einige irrelevant sind, kann zu Warnungsermüdung führen und sich auf die Gesamtleistung auswirken. Um diese Herausforderungen zu bewältigen, steuert die Erkennungsrichtlinie von Defender für IoT die verschiedenen Warnungs-Engines , um sich auf Warnungen mit geschäftlichen Auswirkungen und relevanz für ein OT-Netzwerk zu konzentrieren und IT-bezogene Warnungen mit geringem Wert zu reduzieren. Beispielsweise ist die Warnung "Nicht autorisierte Internetkonnektivität " in einem OT-Netzwerk sehr relevant, hat aber in einem IT-Netzwerk einen relativ geringen Wert.
Um die in diesen Umgebungen ausgelösten Warnungen zu konzentrieren, lösen alle Warnungs-Engines mit Ausnahme der Malware-Engine Warnungen nur dann aus, wenn sie ein verwandtes OT-Subnetz oder -Protokoll erkennen.
Um jedoch das Auslösen von Warnungen aufrechtzuerhalten, die auf kritische Szenarien hinweisen:
- Die Malware-Engine löst Schadsoftwarewarnungen aus, unabhängig davon, ob sich die Warnungen auf OT- oder IT-Geräte beziehen.
- Die anderen Engines enthalten Ausnahmen für kritische Szenarien. Beispielsweise löst die Betriebs-Engine Warnungen im Zusammenhang mit Sensordatenverkehr aus, unabhängig davon, ob sich die Warnung auf OT- oder IT-Datenverkehr bezieht.
Verwalten von OT-Warnungen in einer Hybridumgebung
Benutzer, die in Hybridumgebungen arbeiten, verwalten möglicherweise OT-Warnungen in Defender für IoT auf dem Azure-Portal oder dem OT-Sensor.
Hinweis
Während die Sensorkonsole das Feld Letzte Erkennung einer Warnung in Echtzeit anzeigt, kann Defender für IoT im Azure-Portal bis zu einer Stunde dauern, bis die aktualisierte Zeit angezeigt wird. Dies erklärt ein Szenario, in dem die letzte Erkennungszeit in der Sensorkonsole nicht mit der letzten Erkennungszeit im Azure-Portal identisch ist.
Warnungsstatus werden ansonsten vollständig zwischen dem Azure-Portal und dem OT-Sensor synchronisiert. Dies bedeutet, dass die Warnung unabhängig davon, wo Sie die Warnung in Defender für IoT verwalten, auch an anderen Orten aktualisiert wird.
Wenn Sie eine Warnung status auf einem Sensor auf Geschlossen oder Stummgeschaltet festlegen, wird die Warnung auf dem Azure-Portal status auf Geschlossen aktualisiert.
Tipp
Wenn Sie mit Microsoft Sentinel arbeiten, empfiehlt es sich, die Integration so zu konfigurieren, dass auch Warnungs-status mit Microsoft Sentinel synchronisiert werden und dann warnungsstatus zusammen mit den zugehörigen Microsoft Sentinel Incidents verwaltet werden.
Weitere Informationen finden Sie unter Tutorial: Untersuchen und Erkennen von Bedrohungen für IoT-Geräte.
Enterprise IoT-Warnungen und Microsoft Defender for Endpoint
Wenn Sie Enterprise IoT-Sicherheit in Microsoft 365 Defender verwenden, sind Warnungen für Enterprise IoT-Geräte, die von Microsoft Defender for Endpoint erkannt wurden, nur in Microsoft 365 Defender verfügbar. Viele netzwerkbasierte Erkennungen von Microsoft Defender for Endpoint sind für Enterprise IoT-Geräte relevant, z. B. Warnungen, die durch Überprüfungen mit verwalteten Endpunkten ausgelöst werden.
Weitere Informationen finden Sie unter Schützen von IoT-Geräten im Unternehmen und warnungswarteschlange in Microsoft 365 Defender.
Beschleunigen von OT-Warnungsworkflows
Neue Warnungen werden automatisch geschlossen, wenn 90 Tage nach der ersten Erkennung kein identischer Datenverkehr erkannt wird. Wenn innerhalb dieser ersten 90 Tage identischer Datenverkehr erkannt wird, wird die 90-Tage-Anzahl zurückgesetzt.
Zusätzlich zum Standardverhalten können Sie Ihren SOC- und OT-Verwaltungsteams helfen, Warnungen schneller zu selektieren und zu beheben. Melden Sie sich bei einem OT-Sensor als Admin Benutzer an, um die folgenden Optionen zu verwenden:
Erstellen sie benutzerdefinierte Warnungsregeln. Nur OT-Sensoren.
Fügen Sie benutzerdefinierte Warnungsregeln hinzu, um Warnungen für bestimmte Aktivitäten in Ihrem Netzwerk auszulösen, die nicht von sofort einsatzbereiten Funktionen abgedeckt werden.
Für eine Umgebung, in der MODBUS ausgeführt wird, können Sie beispielsweise eine Regel hinzufügen, um alle geschriebenen Befehle in einem Speicherregister für eine bestimmte IP-Adresse und ein bestimmtes Ethernet-Ziel zu erkennen.
Weitere Informationen finden Sie unter Erstellen benutzerdefinierter Warnungsregeln für einen OT-Sensor.
Erstellen sie Warnungskommentare. Nur OT-Sensoren.
Erstellen Sie eine Reihe von Warnungskommentaren, die andere OT-Sensorbenutzer einzelnen Warnungen hinzufügen können, mit Details wie benutzerdefinierten Entschärfungsschritten, Kommunikation mit anderen Teammitgliedern oder anderen Erkenntnissen oder Warnungen zum Ereignis.
Teammitglieder können diese benutzerdefinierten Kommentare wiederverwenden, wenn sie Warnungsstatus selektieren und verwalten. Warnungskommentare werden in einem Kommentarbereich auf einer Warnungsdetailseite angezeigt. Zum Beispiel:
Weitere Informationen finden Sie unter Erstellen von Warnungskommentaren für einen OT-Sensor.
Weiterleiten von Warnungsdaten an Partnersysteme an Partner-SIEMs, Syslog-Server, angegebene E-Mail-Adressen und mehr.
Unterstützt von den OT-Sensoren, weitere Informationen finden Sie unter Weiterleiten von Warnungsinformationen.
Warnungsstatus und Selektierungsoptionen
Verwenden Sie die folgenden Warnungsstatus und Selektierungsoptionen, um Warnungen in Defender für IoT zu verwalten.
Berücksichtigen Sie beim Selektieren einer Warnung, dass einige Warnungen gültige Netzwerkänderungen widerspiegeln können, z. B. ein autorisiertes Gerät, das versucht, auf eine neue Ressource auf einem anderen Gerät zuzugreifen.
Während die Selektierungsoptionen des OT-Sensors nur für OT-Warnungen verfügbar sind, stehen optionen auf dem Azure-Portal sowohl für OT- als auch für Enterprise IoT-Warnungen zur Verfügung.
Verwenden Sie die folgende Tabelle, um mehr über die einzelnen Warnungen status und Selektierungsoptionen zu erfahren.
| Status-/Selektierungsaktion | Verfügbar auf | Beschreibung |
|---|---|---|
| New | – Azure-Portal – OT-Netzwerksensoren |
Neue Warnungen sind Warnungen, die noch nicht selektiert oder vom Team untersucht wurden. Neuer Datenverkehr, der für dieselben Geräte erkannt wird, generiert keine neue Warnung, sondern wird der vorhandenen Warnung hinzugefügt. Hinweis: Möglicherweise werden mehrere Neue Warnungen mit demselben Namen angezeigt. In solchen Fällen wird jede separate Warnung durch separaten Datenverkehr auf verschiedenen Geräten ausgelöst. |
| Active | - nur Azure-Portal | Legen Sie eine Warnung auf Aktiv fest, um anzugeben, dass eine Untersuchung im Gange ist, die Warnung aber noch nicht geschlossen oder anderweitig selektiert werden kann. Diese status hat an anderer Stelle in Defender für IoT keine Auswirkungen. |
| Closed | – Azure-Portal – OT-Netzwerksensoren |
Schließen Sie eine Warnung, um anzugeben, dass sie vollständig untersucht wurde und Sie erneut benachrichtigt werden möchten, wenn derselbe Datenverkehr das nächste Mal erkannt wird. Beim Schließen einer Warnung wird sie dem Sensorereignis Zeitleiste hinzugefügt. |
| Learn | – Azure-Portal – OT-Netzwerksensoren Das Erlernen einer Warnung ist nur auf dem OT-Sensor verfügbar. |
Lernen Sie eine Warnung kennen, wenn Sie sie schließen und als zulässigen Datenverkehr hinzufügen möchten, damit Sie nicht erneut benachrichtigt werden, wenn derselbe Datenverkehr das nächste Mal erkannt wird. Beispielsweise, wenn der Sensor Änderungen der Firmwareversion nach Standardwartungsverfahren erkennt oder wenn dem Netzwerk ein neues, erwartetes Gerät hinzugefügt wird. Durch das Erlernen einer Warnung wird die Warnung geschlossen und dem Sensorereignis ein Element Zeitleiste hinzugefügt. Erkannter Datenverkehr ist in Data Mining-Berichten enthalten, aber nicht bei der Berechnung anderer OT-Sensorberichte. Lernwarnungen sind nur für ausgewählte Warnungen verfügbar, hauptsächlich für Warnungen, die durch Richtlinien- und Anomalie-Engine-Warnungen ausgelöst werden. |
| Mute | – OT-Netzwerksensoren Das Aufheben der Stummschaltung einer Warnung ist nur auf dem OT-Sensor verfügbar. |
Schalten Sie eine Warnung stumm, wenn Sie sie schließen möchten, und sehen Sie sie nicht erneut für denselben Datenverkehr, aber ohne hinzufügen der Warnung zulässigen Datenverkehr. Beispielsweise, wenn die Betriebs-Engine eine Warnung auslöst, die angibt, dass der SPS-Modus auf einem Gerät geändert wurde. Der neue Modus weist möglicherweise darauf hin, dass die SPS nicht sicher ist, aber nach der Untersuchung wird festgestellt, dass der neue Modus akzeptabel ist. Durch das Stummschalten einer Warnung wird sie geschlossen, dem Sensorereignis Zeitleiste jedoch kein Element hinzugefügt. Erkannter Datenverkehr ist in Data Mining-Berichten enthalten, aber nicht beim Berechnen von Daten für andere Sensorberichte. Das Stummschalten einer Warnung ist nur für ausgewählte Warnungen verfügbar, hauptsächlich für Warnungen, die durch die Engines Anomalie, Protokollverletzung oder Betriebsvorgänge ausgelöst werden. |
Selektieren von OT-Warnungen während des Lernmodus
Der Lernmodus bezieht sich auf den ersten Zeitraum nach der Bereitstellung eines OT-Sensors, in dem Ihr OT-Sensor die baseline-Aktivität Ihres Netzwerks, einschließlich der Geräte und Protokolle in Ihrem Netzwerk, und die regulären Dateiübertragungen zwischen bestimmten Geräten lernt.
Verwenden Sie den Lernmodus, um eine anfängliche Selektierung der Warnungen in Ihrem Netzwerk durchzuführen, um diejenigen zu lernen , die Sie als autorisierte, erwartete Aktivität markieren möchten. Der gelernte Datenverkehr generiert keine neuen Warnungen, wenn derselbe Datenverkehr das nächste Mal erkannt wird.
Weitere Informationen finden Sie unter Erstellen einer gelernten Baseline von OT-Warnungen.
Untersuchung und Wartung von Warnungen
Die Warnungsuntersuchung ermöglicht Es Ihnen, den Kontext der Warnung zu verstehen, einschließlich des Sensors, der die Warnung ausgelöst hat, der Quell- und Zielgeräte sowie der zugehörigen Aktivitäten in Ihrem OT-Netzwerk.
Nachdem Sie eine Warnung selektiert und untersucht haben, können Sie Korrekturmaßnahmen ergreifen, um alle probleme zu beheben, die während der Untersuchung identifiziert wurden.
Weitere Informationen finden Sie unter Untersuchen und Reagieren auf eine OT-Netzwerkwarnung.
Nächste Schritte
Überprüfen Sie Warnungstypen und -meldungen, um Wartungsaktionen und Playbookintegrationen zu verstehen und zu planen. Weitere Informationen finden Sie unter OT-Überwachungswarnungstypen und -beschreibungen.