Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Microsoft Defender per gli avvisi IoT migliorano la sicurezza di rete e le operazioni con dettagli in tempo reale sugli eventi registrati nella rete. Gli avvisi vengono attivati quando i sensori di rete OT rilevano modifiche o attività sospette nel traffico di rete che richiede l'attenzione dell'utente.
Ad esempio:
Usare i dettagli visualizzati nella pagina Avvisi o in una pagina dei dettagli dell'avviso per analizzare e intervenire per correggere eventuali rischi per la rete, da dispositivi correlati o dal processo di rete che ha attivato l'avviso.
Consiglio
Usare la procedura di correzione degli avvisi per aiutare i team soc a comprendere i possibili problemi e soluzioni. È consigliabile esaminare i passaggi di correzione consigliati prima di aggiornare lo stato di un avviso o intervenire sul dispositivo o sulla rete.
Opzioni di gestione degli avvisi
Gli avvisi di Defender per IoT sono disponibili nelle console dei sensori di rete portale di Azure o OT. Con la sicurezza IoT aziendale, gli avvisi sono disponibili anche per i dispositivi Enterprise IoT rilevati da Defender per endpoint, in Microsoft 365 Defender.
Anche se è possibile visualizzare i dettagli degli avvisi, analizzare il contesto dell'avviso e valutare e gestire gli stati degli avvisi da una di queste posizioni, ogni posizione offre anche azioni di avviso aggiuntive. Nella tabella seguente vengono descritti gli avvisi supportati per ogni posizione e le azioni aggiuntive disponibili solo da tale posizione:
| Posizione | Descrizione | Azioni di avviso aggiuntive |
|---|---|---|
| Portale di Azure | Avvisi da tutti i sensori OT connessi al cloud | - Visualizzare le tattiche e le tecniche correlate di MITRE ATT&CK - Usare cartelle di lavoro predefinite per la visibilità sugli avvisi con priorità elevata - Visualizzare gli avvisi da Microsoft Sentinel ed eseguire indagini più approfondite con Microsoft Sentinel playbook e cartelle di lavoro. |
| Console dei sensori di rete OT | Avvisi generati da tale sensore OT | - Visualizzare l'origine e la destinazione dell'avviso nella mappa del dispositivo - Visualizzare gli eventi correlati nella sequenza temporale degli eventi - Inoltrare gli avvisi direttamente ai fornitori partner - Creare commenti di avviso - Creare regole di avviso personalizzate - Annullare l'individuazione degli avvisi |
| Microsoft 365 Defender | Avvisi generati per i dispositivi IoT aziendali rilevati da Microsoft Defender per endpoint | - Gestire i dati degli avvisi insieme ad altri dati di Microsoft 365 Defender, inclusa la ricerca avanzata |
Considerazioni sulla gestione degli avvisi
- Tutti gli avvisi generati da sensori diversi nella stessa zona entro un intervallo di tempo di 10 minuti, con lo stesso tipo, stato, protocollo di avviso e dispositivi associati, sono elencati come un singolo avviso unificato.
- L'intervallo di tempo di 10 minuti si basa sulla prima ora di rilevamento dell'avviso.
- Il singolo avviso unificato elenca tutti i sensori che hanno rilevato l'avviso.
- Gli avvisi vengono combinati in base al protocollo di avviso e non al protocollo del dispositivo.
- Per altre informazioni, vedere:
- Le opzioni di avviso variano anche a seconda della posizione e del ruolo utente. Per altre informazioni, vedere Azure ruoli utente e autorizzazioni eutenti e ruoli locali.
- Quando si visualizzano gli avvisi nell'elenco degli avvisi, alcuni avvisi potrebbero non essere correlati agli avvisi su sensori specifici. Per altre informazioni, vedere Analizzare gli avvisi che non sono correlati a sensori specifici.
Aggregazione delle violazioni degli avvisi
L'affaticamento degli avvisi causato da un numero elevato di avvisi identici potrebbe causare la mancata visualizzazione o la correzione degli avvisi vitali da parte del team. Ogni avviso elencato nella pagina Avvisi è il risultato di una violazione di rete, ad esempio l'utilizzo non consentito del codice della funzione Modbus. L'aggregazione di violazioni con gli stessi parametri e requisiti di correzione in un unico elenco di avvisi riduce il numero di avvisi visualizzati nella pagina Avvisi. I parametri corrispondenti variano a seconda del tipo di avviso. Ad esempio, l'avviso Utilizzo non consentito del codice funzione Modbus deve avere gli stessi indirizzi IP di origine e di destinazione per generare una violazione di avviso aggregata. L'avviso aggregato può includere avvisi con codici di violazione diversi, ad esempio codici di lettura e scrittura.
Scaricare i dati aggregati sulle violazioni degli avvisi, che elencano ogni avviso con i parametri e le funzioni pertinenti, come file CSV nella scheda Violazioni dei dettagli dell'avviso. Questi dati possono aiutare i team a identificare i modelli, valutare l'impatto e assegnare priorità alle risposte in modo più efficace in base ai suggerimenti di correzione nella scheda Azione . Solo gli avvisi con lo stesso processo di correzione vengono aggregati in un singolo avviso. Tuttavia, i singoli eventi di violazione possono comunque essere visualizzati separatamente all'interno dei rispettivi dispositivi, fornendo ulteriore chiarezza.
Nota
Dopo aver appreso un avviso (con l'opzione Learn nella scheda Esegui azione dell'avviso), lo stesso avviso potrebbe essere attivato di nuovo. Ciò può verificarsi se il nuovo avviso ha parametri di violazione diversi rispetto all'avviso originale. Per verificare quali violazioni esistono per un avviso:
- Nella portale di Azure selezionare Esporta nella scheda Violazioni dell'avviso.
- Nella console del sensore OT selezionare Scarica CSV nella scheda Violazioni dell'avviso.
Il raggruppamento degli avvisi viene visualizzato sia nella console del sensore OT che nella portale di Azure. Per altre informazioni, vedere Correggere gli avvisi aggregati nella console sensore e correggere gli avvisi aggregati in portale di Azure.
Avvisi incentrati negli ambienti OT/IT
Le organizzazioni in cui i sensori vengono distribuiti tra reti OT e IT gestiscono molti avvisi, correlati sia al traffico OT che it. La quantità di avvisi, alcuni dei quali irrilevanti, può causare affaticamento degli avvisi e influire sulle prestazioni complessive. Per risolvere questi problemi, i criteri di rilevamento di Defender per IoT indirizzano i diversi motori di avviso per concentrarsi sugli avvisi con impatto aziendale e rilevanza per una rete OT e ridurre gli avvisi correlati all'IT di basso valore. Ad esempio, l'avviso di connettività Internet non autorizzato è altamente rilevante in una rete OT, ma ha un valore relativamente basso in una rete IT.
Per concentrare gli avvisi attivati in questi ambienti, tutti i motori di avviso, ad eccezione del motore Malware , attivano gli avvisi solo se rilevano una subnet o un protocollo OT correlato.
Tuttavia, per gestire l'attivazione di avvisi che indicano scenari critici:
- Il motore malware attiva gli avvisi malware indipendentemente dal fatto che gli avvisi siano correlati a dispositivi OT o IT.
- Gli altri motori includono eccezioni per scenari critici. Ad esempio, il motore operativo attiva gli avvisi relativi al traffico del sensore, indipendentemente dal fatto che l'avviso sia correlato al traffico OT o IT.
Gestione degli avvisi OT in un ambiente ibrido
Gli utenti che lavorano in ambienti ibridi possono gestire gli avvisi OT in Defender per IoT nel portale di Azure o nel sensore OT.
Nota
Mentre la console del sensore visualizza il campo Ultimo rilevamento di un avviso in tempo reale, Defender per IoT nel portale di Azure potrebbe richiedere fino a un'ora per visualizzare l'ora aggiornata. Questo spiega uno scenario in cui l'ultimo tempo di rilevamento nella console del sensore non è lo stesso dell'ultimo rilevamento nel portale di Azure.
Gli stati degli avvisi sono altrimenti completamente sincronizzati tra il portale di Azure e il sensore OT. Ciò significa che, indipendentemente dalla posizione in cui si gestisce l'avviso in Defender per IoT, l'avviso viene aggiornato anche in altre posizioni.
L'impostazione di uno stato di avviso su Chiuso o Disattivato in un sensore aggiorna lo stato dell'avviso su Chiuso nel portale di Azure.
Consiglio
Se si usa Microsoft Sentinel, è consigliabile configurare l'integrazione per sincronizzare anche lo stato degli avvisi con Microsoft Sentinel e quindi gestire gli stati degli avvisi insieme agli eventi imprevisti Microsoft Sentinel correlati.
Per altre informazioni, vedere Esercitazione: Analizzare e rilevare le minacce per i dispositivi IoT.
Avvisi e Microsoft Defender per endpoint IoT aziendali
Se si usa la sicurezza IoT aziendale in Microsoft 365 Defender, gli avvisi per i dispositivi Enterprise IoT rilevati da Microsoft Defender per endpoint sono disponibili solo in Microsoft 365 Defender. Molti rilevamenti basati sulla rete da Microsoft Defender per endpoint sono pertinenti ai dispositivi IoT aziendali, ad esempio avvisi attivati da analisi che coinvolgono endpoint gestiti.
Per altre informazioni, vedere Protezione dei dispositivi IoT nell'organizzazione e la coda avvisi in Microsoft 365 Defender.
Accelerazione dei flussi di lavoro degli avvisi OT
I nuovi avvisi vengono chiusi automaticamente se non viene rilevato alcun traffico identico 90 giorni dopo il rilevamento iniziale. Se viene rilevato traffico identico entro i primi 90 giorni, il conteggio di 90 giorni viene reimpostato.
Oltre al comportamento predefinito, potrebbe essere utile aiutare i team di gestione SOC e OT a valutare e correggere gli avvisi più velocemente. Accedere a un sensore OT come utente Amministrazione per usare le opzioni seguenti:
Creare regole di avviso personalizzate. Solo sensori OT.
Aggiungere regole di avviso personalizzate per attivare avvisi per attività specifiche nella rete che non sono coperte dalla funzionalità predefinita.
Ad esempio, per un ambiente che esegue MODBUS, è possibile aggiungere una regola per rilevare eventuali comandi scritti in un registro di memoria in un indirizzo IP e una destinazione Ethernet specifici.
Per altre informazioni, vedere Creare regole di avviso personalizzate in un sensore OT.
Creare commenti di avviso. Solo sensori OT.
Creare un set di commenti di avviso che altri utenti del sensore OT possono aggiungere ai singoli avvisi, con dettagli come passaggi di mitigazione personalizzati, comunicazioni con altri membri del team o altre informazioni dettagliate o avvisi sull'evento.
I membri del team possono riutilizzare questi commenti personalizzati durante la valutazione e la gestione degli stati degli avvisi. I commenti di avviso vengono visualizzati in un'area commenti in una pagina dei dettagli dell'avviso. Ad esempio:
Per altre informazioni, vedere Creare commenti di avviso su un sensore OT.
Inoltrare i dati di avviso ai sistemi partner ai SIEM partner, ai server syslog, agli indirizzi di posta elettronica specificati e altro ancora.
Supportato dai sensori OT, per altre informazioni, vedere Inoltrare le informazioni sugli avvisi.
Stati degli avvisi e opzioni di valutazione
Usare gli stati degli avvisi e le opzioni di valutazione seguenti per gestire gli avvisi in Defender per IoT.
Quando si valuta un avviso, si consideri che alcuni avvisi potrebbero riflettere modifiche di rete valide, ad esempio un dispositivo autorizzato che tenta di accedere a una nuova risorsa in un altro dispositivo.
Anche se le opzioni di valutazione del sensore OT sono disponibili solo per gli avvisi OT, le opzioni disponibili nel portale di Azure sono disponibili sia per gli avvisi OT che per gli avvisi IoT aziendali.
Usare la tabella seguente per altre informazioni su ogni opzione di valutazione e stato degli avvisi.
| Azione di valutazione/stato | Disponibile su | Descrizione |
|---|---|---|
| New | - portale di Azure - Sensori di rete OT |
I nuovi avvisi sono avvisi che non sono stati ancora individuati o analizzati dal team. Il nuovo traffico rilevato per gli stessi dispositivi non genera un nuovo avviso, ma viene aggiunto all'avviso esistente. Nota: potrebbero essere visualizzati più nuovi avvisi con lo stesso nome. In questi casi, ogni avviso separato viene attivato da traffico separato, in diversi set di dispositivi. |
| Attivazione | - solo portale di Azure | Impostare un avviso su Attivo per indicare che è in corso un'indagine, ma che l'avviso non può ancora essere chiuso o valutato in altro modo. Questo stato non ha alcun effetto altrove in Defender per IoT. |
| Chiuso | - portale di Azure - Sensori di rete OT |
Chiudere un avviso per indicare che è completamente analizzato e si vuole ricevere nuovamente un avviso la volta successiva in cui viene rilevato lo stesso traffico. La chiusura di un avviso lo aggiunge alla sequenza temporale degli eventi del sensore. |
| Learn | - portale di Azure - Sensori di rete OT L'annullamento dell'apprendimento di un avviso è disponibile solo nel sensore OT. |
Informazioni su un avviso quando si vuole chiuderlo e aggiungerlo come traffico consentito, in modo da non ricevere più avvisi la volta successiva in cui viene rilevato lo stesso traffico. Ad esempio, quando il sensore rileva le modifiche alla versione del firmware seguendo le procedure di manutenzione standard o quando un nuovo dispositivo previsto viene aggiunto alla rete. L'apprendimento di un avviso chiude l'avviso e aggiunge un elemento alla sequenza temporale dell'evento del sensore. Il traffico rilevato è incluso nei report di data mining, ma non durante il calcolo di altri report del sensore OT. Gli avvisi di apprendimento sono disponibili solo per gli avvisi selezionati, per lo più quelli attivati dagli avvisi del motore dei criteri e delle anomalie . |
| Muto | - Sensori di rete OT L'annullamento dell'attivazione di un avviso è disponibile solo nel sensore OT. |
Disattivare l'audio di un avviso quando si vuole chiuderlo e non visualizzare più lo stesso traffico, ma senza aggiungere il traffico consentito per l'avviso. Ad esempio, quando il motore operativo attiva un avviso che indica che la modalità PLC è stata modificata in un dispositivo. La nuova modalità potrebbe indicare che il PLC non è sicuro, ma dopo l'indagine è stato determinato che la nuova modalità è accettabile. La modifica di un avviso lo chiude, ma non aggiunge un elemento alla sequenza temporale degli eventi del sensore. Il traffico rilevato è incluso nei report di data mining, ma non durante il calcolo dei dati per altri report del sensore. La modifica di un avviso è disponibile solo per gli avvisi selezionati, per lo più quelli attivati dai motori anomalia, violazione del protocollo o operativo . |
Valutare gli avvisi OT durante la modalità di apprendimento
La modalità di apprendimento si riferisce al periodo iniziale dopo la distribuzione di un sensore OT, quando il sensore OT apprende l'attività di base della rete, inclusi i dispositivi e i protocolli nella rete e i normali trasferimenti di file che si verificano tra dispositivi specifici.
Usare la modalità di apprendimento per eseguire una valutazione iniziale sugli avvisi nella rete, apprendendo quelli che si desidera contrassegnare come attività autorizzata prevista. Il traffico appreso non genera nuovi avvisi la volta successiva che viene rilevato lo stesso traffico.
Per altre informazioni, vedere Creare una baseline appresa degli avvisi OT.
Analisi e correzione degli avvisi
L'analisi degli avvisi consente di comprendere il contesto dell'avviso, incluso il sensore che ha attivato l'avviso, i dispositivi di origine e di destinazione e l'attività correlata nella rete OT.
Dopo aver valutato e esaminato un avviso, è possibile eseguire azioni correttive per risolvere eventuali problemi identificati durante l'indagine.
Per altre informazioni, vedere Analizzare e rispondere a un avviso di rete OT.
Passaggi successivi
Esaminare i tipi di avviso e i messaggi per comprendere e pianificare le azioni correttive e le integrazioni dei playbook. Per altre informazioni, vedere Tipi e descrizioni degli avvisi di monitoraggio OT.