Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Dieser Artikel enthält eine Reihe von Artikeln, in denen der Bereitstellungspfad für die OT-Überwachung mit Microsoft Defender für IoT beschrieben wird, und es wird beschrieben, wie Sie eine Baseline für gelernten Datenverkehr auf Ihrem OT-Sensor erstellen.
Übersicht über den mehrstufigen Überwachungsprozess
Ein OT-Netzwerksensor beginnt automatisch mit der Überwachung Ihres Netzwerks, nachdem eine Verbindung mit dem Netzwerk hergestellt und Sie sich angemeldet haben. Netzwerkgeräte werden in Ihrem Gerätebestand angezeigt, und Warnungen werden für Sicherheits- oder Betriebsvorfälle ausgelöst, die in Ihrem Netzwerk auftreten.
Defender für IoT verwendet einen dreistufigen Überwachungsprozess, der das normale Datenverkehrsverhalten Ihres Netzwerks lernt. Diese drei Phasen gewährleisten eine genaue Erkennung bei gleichzeitiger Reduzierung unnötiger Warnungen:
Zusammenfassung der Überwachungsphasen
| Modus | Zweck | Auslösen von Warnungen | Benutzeraktionen erforderlich |
|---|---|---|---|
| Lernen | Erstellt eine Baseline für normalen Netzwerkdatenverkehr | Schadsoftwarewarnungen, Anomaliewarnungen, Betriebswarnungen, Warnungen zu Protokollverletzungen | Manuelles Deaktivieren nach 2–6 Wochen oder wenn die Baseline die genaue Netzwerkaktivität widerspiegelt |
| Dynamisch | Optimiert die Baseline und führt nach und nach Warnungen gegen Richtlinienverstöße ein, um genauigkeitssicher zu gewährleisten und Warnungsgeräusche zu reduzieren. | Richtlinienverletzungswarnungen werden eingeführt | Optional: Einstellungen für bestimmte Szenarien anpassen (z. B. während POCs) |
| Betrieblich | Überwacht den gesamten Netzwerkdatenverkehr mit einer stabilen Baseline und löst alle Warnungen aus, um Abweichungen oder verdächtige Aktivitäten widerzuspiegeln. | Alle Arten von Warnungen | None. Automatische Übergänge, wenn sich die Baseline stabilisiert |
Lernmodus
Zunächst wird der Sensor im Lernmodus ausgeführt, um den gesamten Netzwerkdatenverkehr zu überwachen und eine Baseline aller normalen Datenverkehrsmuster zu erstellen. Diese Baseline umfasst alle Geräte und Protokolle in Ihrem Netzwerk sowie die regulären Dateiübertragungen zwischen Geräten. Dieser Prozess dauert normalerweise zwischen 2 und 6 Wochen, je nach Netzwerkgröße und Komplexität. Darüber hinaus wechseln alle später ermittelten Geräte für 7 Tage in den Lernmodus, um ihre Baseline für den Netzwerkdatenverkehr festzulegen.
Im Lernmodus überwacht und schützt der Sensor Ihre Umgebung, indem er relevante Sicherheitswarnungen wie Schadsoftware, Anomalien und Betriebswarnungen auslöst. Richtlinienverletzungswarnungen, die auf Abweichungen von der Baseline hinweisen, werden jedoch nicht ausgelöst, während sich das System im Lernmodus befindet.
Dynamischer Modus
Sobald der Ermittlungsprozess und der Netzwerkdatenverkehr stabil sind, sollten Sie den Lernmodus manuell deaktivieren. An diesem Punkt wechselt der Sensor in den dynamischen Modus. Im dynamischen Modus überwacht der Sensor weiterhin Ihr Netzwerk und überprüft und optimiert die Baseline. Der Sensor bewertet jede Warnungskategorie und jedes Szenario einzeln und ändert sie dynamisch in den Betriebsmodus, wenn ihre Baselines als genau bestätigt werden. Wenn der Sensor erhebliche Änderungen im Datenverkehr erkennt, kann er den Lernmodus auch automatisch für bestimmte Warnungen oder Szenarien erweitern.
Im dynamischen Modus werden Nach und nach Warnungen gegen Richtlinienverstöße eingeführt, die im Warnungsbestand angezeigt werden.
Betriebsmodus
Sobald der Sensor festgestellt hat, dass die Baseline stabil ist, wechselt er automatisch in den Betriebsmodus, überwacht den gesamten Netzwerkdatenverkehr und löst alle Warnungstypen aus.
Die Learn-Aktion wird relevant, nachdem der Lernmodus deaktiviert wurde, wenn das Szenario in den Betriebsmodus wechselt und Sie bestimmte Vorgänge als autorisierte oder erwartete Aktivität kennzeichnen möchten. Sobald sie gelernt haben, werden ähnliche Aktivitäten in Zukunft keine neuen Warnungen generieren.
Deaktivieren Sie den Lernmodus manuell , wenn die Ebene der Warnungen Ihre Netzwerkaktivität genau widerspiegelt.
Weitere Informationen finden Sie unter Microsoft Defender für IoT-Warnungen.
Voraussetzungen
Sie können die Verfahren in diesem Artikel über den Azure-Portal oder einen OT-Sensor ausführen.
Bevor Sie beginnen, stellen Sie sicher, dass Sie über Folgendes verfügen:
Ein OT-Sensor, der installiert, konfiguriert und aktiviert ist und warnungen durch erkannten Datenverkehr ausgelöst wird.
Zugriff auf Ihren OT-Sensor als Sicherheitsanalyst oder Admin Benutzer. Weitere Informationen finden Sie unter Lokale Benutzer und Rollen für die OT-Überwachung mit Defender für IoT.
Selektierungswarnungen
Selektieren Sie Warnungen gegen Ende Ihrer Bereitstellung, um eine anfängliche Baseline für Ihre Netzwerkaktivität zu erstellen.
Melden Sie sich bei Ihrem OT-Sensor an, und wählen Sie die Seite Warnungen aus .
Verwenden Sie Sortier- und Gruppierungsoptionen, um ihre wichtigsten Warnungen zuerst anzuzeigen. Überprüfen Sie jede Warnung, um Status zu aktualisieren, und lernen Sie Warnungen für OT-autorisierten Datenverkehr kennen.
Weitere Informationen finden Sie unter Anzeigen und Verwalten von Warnungen auf Ihrem OT-Sensor.
Nächste Schritte
Nachdem der Lernmodus deaktiviert wurde und Sie vom Lernmodus zum Betriebsmodus wechseln, fahren Sie mit einer der folgenden Aktionen fort:
- Visualisieren von Microsoft Defender für IoT-Daten mit Azure Monitor-Arbeitsmappen
- Anzeigen und Verwalten von Warnungen im Azure-Portal
- Verwalten Ihres Gerätebestands über die Azure-Portal
Integrieren Sie Defender für IoT-Daten in Microsoft Sentinel, um die Sicherheitsüberwachung Ihres SOC-Teams zu vereinheitlichen. Weitere Informationen finden Sie unter: