Visualizzare e gestire gli avvisi nella console di gestione locale (legacy)
Importante
Defender per IoT consiglia ora di usare i servizi cloud Microsoft o l'infrastruttura IT esistente per il monitoraggio centrale e la gestione dei sensori e prevede di ritirare la console di gestione localeil 1° gennaio 2025.
Per ulteriori informazioni, vedere Implementare la gestione dei sensori OT ibrida o isolata.
Gli avvisi di Microsoft Defender per IoT migliorano la sicurezza e le operazioni di rete con dettagli in tempo reale sugli eventi registrati nella rete. Gli avvisi OT vengono attivati quando i sensori di rete OT rilevano modifiche o attività sospette nel traffico di rete che richiede attenzione.
Questo articolo descrive come visualizzare gli avvisi di Defender per IoT in una console di gestione locale, che aggrega gli avvisi da tutti i sensori OT connessi. È anche possibile visualizzare gli avvisi OT nel portale di Azure o un sensore di rete OT .
Prerequisiti
Prima di eseguire le procedure descritte in questo articolo, assicurarsi di disporre di:
Una console di gestione locale installata, attivata e configurata. Per visualizzare gli avvisi in base alla posizione o alla zona, assicurarsi di aver configurato siti e zone nella console di gestione locale.
Uno o più sensori OT installati, configurati, attivati, e connessi alla console di gestione locale. Per visualizzare gli avvisi per zona, assicurarsi che ogni sensore sia assegnato a una zona specifica.
Accesso alla console di gestione locale con uno dei ruoli utente seguenti :
Per visualizzare gli avvisi nella console di gestione locale, accedere come utente amministratore, analista di sicurezzao visualizzatore.
Per gestire gli avvisi nella console di gestione locale, accedere come utente amministratore o utente analista della sicurezza. Le attività di gestione includono riconoscimento o disattivazione di un avviso, a seconda del tipo di avviso.
Visualizzare gli avvisi nella console di gestione locale
Accedi alla console di gestione locale e seleziona Avvisi nel menu a sinistra.
Gli avvisi vengono visualizzati in una tabella semplice, che mostra il sensore che ha attivato l'avviso e i dettagli dell'avviso in due colonne.
Selezionare una riga di avviso per espandere i dettagli completi.
In una riga di avviso espansa eseguire una delle operazioni seguenti per visualizzare più contesto sull'avviso:
Selezionare OPEN SENSOR per aprire il sensore che ha generato l'avviso e continuare l'indagine. Per altre informazioni, vedere Visualizzare e gestire gli avvisi nel sensore OT.
Selezionare MOSTRA DISPOSITIVI per visualizzare i dispositivi interessati in una mappa di zona. Per altre informazioni, vedere Creare siti e zone OT in una console di gestione locale.
Nota
Nella console di gestione locale Gli avvisi nuovi vengono chiamati non riconosciuti e gli avvisi chiusi vengono chiamati riconosciuto. Per altre informazioni, vedere Stati di allerta e opzioni di triage.
Filtrare gli avvisi visualizzati
Nella parte superiore della pagina avvisi, utilizzare le opzioni ricerca gratuita, siti, zone, dispositivie sensori per filtrare gli avvisi visualizzati secondo parametri specifici o per individuare un avviso specifico.
Gli avvisi riconosciuti non sono elencati per default. Selezionare Mostra avvisi riconosciuti per includerli nell'elenco.
Selezionare Cancella per rimuovere tutti i filtri.
Visualizzare gli avvisi in base alla posizione
Per visualizzare gli avvisi provenienti dai sensori OT connessi nell'intera rete globale, utilizzare la mappa Enterprise View su una console di gestione in locale.
Accedere alla console di gestione locale e selezionare Enterprise View. La visualizzazione mappa predefinita mostra i siti nelle rispettive posizioni nel mondo.
(Facoltativo) Usare i menu Tutti i siti
e Tutte le aree nella parte superiore della pagina per filtrare la mappa e visualizzare solo siti specifici o solo aree specifiche.Dal menu visualizzazione predefinita nella parte superiore della pagina, selezionare una delle seguenti opzioni per approfondire tipi specifici di avvisi:
- gestione dei rischi. Evidenzia gli avvisi di rischio del sito, consentendo di classificare in ordine di priorità le attività di mitigazione e pianificare i miglioramenti della sicurezza.
- risposta agli eventi imprevisti Evidenzia tutti gli avvisi attivi (non riconosciuti) in ogni sito.
- Attività dannosa. Evidenzia gli avvisi malware, che richiedono un'azione immediata.
- Avvisi operativi. Evidenzia avvisi operativi, come arresti di PLC e caricamenti di firmware o programmi.
In qualsiasi visualizzazione, tranne la visualizzazione predefinita , i tuoi siti vengono visualizzati in rosso, giallo o verde. I siti rossi hanno avvisi che richiedono un'azione immediata, i siti gialli hanno avvisi che giustificano l'indagine e i siti verdi non richiedono alcuna azione.
Selezionare un sito rosso o giallo e quindi selezionare il pulsante
avvisi per un specifico sensore OT per visualizzare gli avvisi attuali di quel sensore. Per esempio:
Si apre la pagina degli avvisi , filtrata automaticamente sugli avvisi selezionati.
Visualizzare gli avvisi per zona
Per visualizzare gli avvisi dai sensori OT connessi per una zona specifica, usare la pagina di gestione siti in una console di gestione locale.
Accedi alla tua console di gestione locale e seleziona Gestione siti.
Individuare il sito e la zona da visualizzare usando le opzioni di filtro nella parte superiore in base alle esigenze:
- connettività: selezionare questa opzione per visualizzare solo tutti i sensori OT o solo i sensori connessi/disconnessi.
- Stato di aggiornamento: selezionare per visualizzare tutti i sensori OT o solo quelli con un determinato stato di aggiornamento software .
- Business Unit: selezionare questa opzione per visualizzare tutti i sensori OT o solo quelli di una Business Unit specifica .
- Regione: Seleziona per visualizzare tutti i sensori OT, oppure solo quelli di una regione specifica.
Selezionare il pulsante
degli avvisi relativo a un sensore OT specifico per visualizzare gli avvisi correnti di quel sensore.
Gestire lo stato degli avvisi e lo smistamento degli avvisi
Usare le opzioni seguenti per gestire lo stato degli avvisi nella console di gestione locale, a seconda del tipo di avviso:
Per riconoscere o annullare riconoscimento di un avviso: in una riga di avviso espansa selezionare RICONOSCI o ANNULLA RICONOSCIMENTO in base alle esigenze.
Per disattivare o riattivare l'audio di un avviso : in una riga di avviso espansa passare il puntatore del mouse sulla parte superiore della riga e selezionare il pulsante Disattivao pulsante Riattiva in base alle esigenze.
Per ulteriori informazioni, vedere Stato degli avvisi e opzioni di triage.
Esportare gli avvisi in un file CSV
È possibile esportare una selezione di avvisi in un file CSV per la condivisione e la creazione di report offline.
Accedi alla console di gestione locale e seleziona la pagina Avvisi.
Usare le opzioni di ricerca e filtro per visualizzare solo gli avvisi da esportare.
Selezionare Esporta.
Il file CSV viene generato e viene richiesto di salvarlo in locale.