Inoltrare informazioni sugli avvisi OT locali
Gli avvisi di Microsoft Defender per IoT migliorano la sicurezza e le operazioni di rete con dettagli in tempo reale sugli eventi registrati nella rete. Gli avvisi OT vengono attivati quando i sensori di rete OT rilevano modifiche o attività sospette nel traffico di rete che richiede attenzione.
Questo articolo descrive come configurare il sensore OT per inoltrare avvisi a servizi partner, server syslog, indirizzi di posta elettronica e altro ancora. Le informazioni sugli avvisi inoltrati includono dettagli come:
- Data e ora dell'avviso
- Motore che ha rilevato l'evento
- Titolo dell'avviso e messaggio descrittivo
- Gravità dell'avviso
- Nome e indirizzo IP di origine e di destinazione
- Rilevato traffico sospetto
- Sensori disconnessi
- Errori di backup remoti
Nota
L'inoltro delle regole di avviso viene eseguito solo sugli avvisi attivati dopo la creazione della regola di inoltro. Gli avvisi già presenti nel sistema prima della creazione della regola di inoltro non sono interessati dalla regola.
Prerequisiti
A seconda della posizione in cui si desidera creare le regole di avviso di inoltro, è necessario avere installato un sensore di rete OT, con accesso come utente amministratore.
Per altre informazioni, vedere Installare software di monitoraggio senza agente OT e utenti e ruoli locali per il monitoraggio OT con Defender per IoT.
È anche necessario definire le impostazioni SMTP nel sensore OT.
Per altre informazioni, vedere Configurare le impostazioni del server di posta SMTP in un sensore OT.
Creare regole di inoltro in un sensore OT
Accedere al sensore OT e selezionare Inoltro nel menu >a sinistra + Crea nuova regola.
Nel riquadro Aggiungi regola di inoltro immettere un nome significativo per la regola e quindi definire le condizioni e le azioni delle regole come indicato di seguito:
Nome Descrizione Livello di avviso minimo Selezionare il livello di gravità minimo dell'avviso da inoltrare.
Ad esempio, se si seleziona Minore, vengono inoltrati avvisi secondari e qualsiasi avviso superiore a questo livello di gravità.Qualsiasi protocollo rilevato Attivare o disattivare l'inoltro degli avvisi da tutto il traffico del protocollo o disattivare e selezionare i protocolli specifici da includere. Traffico rilevato da qualsiasi motore Attivare o disattivare l'attivazione degli avvisi per inoltrare gli avvisi da tutti i motori di analisi o disattivare e selezionare i motori specifici da includere. Azioni Selezionare il tipo di server a cui si desidera inoltrare gli avvisi e quindi definire eventuali altre informazioni necessarie per tale tipo di server.
Per aggiungere più server alla stessa regola, selezionare + Aggiungi server e aggiungere altri dettagli.
Per altre informazioni, vedere Configurare le azioni delle regole di inoltro degli avvisi.Al termine della configurazione della regola, selezionare Salva. La regola è elencata nella pagina Inoltro.
Testare la regola creata:
- Selezionare il menu delle opzioni (...) per la regola> Invia messaggio di test.
- Passare al servizio di destinazione per verificare che le informazioni inviate dal sensore siano state ricevute.
Modificare o eliminare regole di inoltro in un sensore OT
Per modificare o eliminare una regola esistente:
Accedere al sensore OT e selezionare Inoltra nel menu a sinistra.
Selezionare il menu delle opzioni (...) per la regola e quindi eseguire una delle operazioni seguenti:
Selezionare Modifica e aggiornare i campi in base alle esigenze. Al termine, seleziona Salva.
Selezionare Elimina>sì per confermare l'eliminazione.
Configurare le azioni delle regole di inoltro degli avvisi
Questa sezione descrive come configurare le impostazioni per le azioni delle regole di inoltro supportate in un sensore OT.
Azione indirizzo di posta elettronica
Configurare un'azione Email per inoltrare i dati degli avvisi all'indirizzo di posta elettronica configurato.
Nell'area Azioni immettere i dettagli seguenti:
| Nome | Descrizione |
|---|---|
| Server | Seleziona E-mail. |
| Immettere l'indirizzo di posta elettronica a cui si desidera inoltrare gli avvisi. Ogni regola supporta un singolo indirizzo di posta elettronica. | |
| FusoOrario | Selezionare il fuso orario da usare per il rilevamento degli avvisi nel sistema di destinazione. |
Azioni del server Syslog
Configurare un'azione del server Syslog per inoltrare i dati degli avvisi al tipo selezionato di server Syslog.
Nell'area Azioni immettere i dettagli seguenti:
| Nome | Descrizione |
|---|---|
| Server | Selezionare uno dei tipi di formati syslog seguenti: - Server SYSLOG (formato CEF) - Server SYSLOG (formato LEEF) - Server SYSLOG (oggetto) - Server SYSLOG (SMS) |
| Porta host / | Immettere il nome host e la porta del server syslog |
| FusoOrario | Selezionare il fuso orario da usare per il rilevamento degli avvisi nel sistema di destinazione. |
| Protocollo | Supportato solo per i messaggi di testo. Selezionare TCP o UDP. |
| Abilitare la crittografia | Supportato solo per il formato CEF. Attiva/disattiva per configurare un file di certificato di crittografia TLS, un file di chiave e una passphrase. |
Le sezioni seguenti descrivono la sintassi di output syslog per ogni formato.
Campi di output del messaggio di testo Syslog
| Nome | Descrizione |
|---|---|
| Priorità | Utente. Alert |
| Message | Nome della piattaforma CyberX: nome del sensore. Avviso di Microsoft Defender per IoT: titolo dell'avviso. Tipo: tipo di avviso. Può essere violazione del protocollo, violazione dei criteri, malware, anomalia o operativo. Gravità: gravità dell'avviso. Può essere Avviso, Secondario, Principale o Critico. Origine: nome del dispositivo di origine. IP di origine: indirizzo IP del dispositivo di origine. Protocollo (facoltativo): protocollo di origine rilevato. Indirizzo (facoltativo): indirizzo del protocollo di origine. Destinazione: nome del dispositivo di destinazione. IP di destinazione: indirizzo IP del dispositivo di destinazione. Protocollo (facoltativo): protocollo di destinazione rilevato. Indirizzo (facoltativo): indirizzo del protocollo di destinazione. Messaggio: messaggio dell'avviso. Gruppo di avvisi: gruppo di avvisi associato all'avviso. UUID (facoltativo): UUID dell'avviso. |
Campi di output dell'oggetto Syslog
| Nome | Descrizione |
|---|---|
| Priorità | User.Alert |
| Data e ora | Data e ora in cui il computer del server syslog ha ricevuto le informazioni. |
| Hostname (Nome host) | IP del sensore |
| Message | Nome sensore: nome dell'appliance. Ora avviso: ora in cui è stato rilevato l'avviso: può variare dall'ora del computer del server syslog e dipende dalla configurazione del fuso orario della regola di inoltro. Titolo avviso: titolo dell'avviso. Messaggio di avviso: messaggio dell'avviso. Gravità dell'avviso: gravità dell'avviso: avviso, minore, principale o critico. Tipo di avviso: violazione del protocollo, violazione dei criteri, malware, anomalia o operativo. Protocollo: protocollo dell'avviso. Source_MAC: indirizzo IP, nome, fornitore o sistema operativo del dispositivo di origine. Destination_MAC: indirizzo IP, nome, fornitore o sistema operativo della destinazione. Se mancano dati, il valore è N/A. alert_group: gruppo di avvisi associato all'avviso. |
Campi di output CEF syslog
| Nome | Descrizione |
|---|---|
| Priorità | User.Alert |
| Data e ora | Data e ora in cui il sensore ha inviato le informazioni, in formato UTC |
| Hostname (Nome host) | Nome host del sensore |
| Message | CEF:0 Microsoft Defender per IoT/CyberX Nome sensore Versione del sensore Avviso di Microsoft Defender per IoT Titolo avviso Indicazione integer di gravità. 1=Avviso, 4=Minore, 8=Maggiore o 10=Critico. msg= Messaggio dell'avviso. protocol= Protocollo dell'avviso. severity= Warning, Minor, Major o Critical. type= Violazione del protocollo, Violazione dei criteri, Malware, Anomalia o Operativo. UUID= UUID dell'avviso (facoltativo) start= Ora in cui è stato rilevato l'avviso. Può variare a seconda dell'ora del computer del server syslog e dipende dalla configurazione del fuso orario della regola di inoltro. src_ip= indirizzo IP del dispositivo di origine. (Facoltativo) src_mac= indirizzo MAC del dispositivo di origine. (Facoltativo) dst_ip= indirizzo IP del dispositivo di destinazione. (opzionale) dst_mac= indirizzo MAC del dispositivo di destinazione. (opzionale) cat= Gruppo di avvisi associato all'avviso. |
Campi di output LEEF syslog
| Nome | Descrizione |
|---|---|
| Priorità | User.Alert |
| Data e ora | Data e ora in cui il sensore ha inviato le informazioni, in formato UTC |
| Hostname (Nome host) | IP del sensore |
| Message | Nome sensore: nome dell'appliance Microsoft Defender per IoT. LEEF:1.0 Microsoft Defender per IoT Sensore Versione del sensore Avviso di Microsoft Defender per IoT title: titolo dell'avviso. msg: messaggio dell'avviso. protocollo: protocollo dell'avviso. gravità: avviso, secondario, principale o critico. type: tipo di avviso: Violazione del protocollo, Violazione dei criteri, Malware, Anomalia o Operativo. start: ora dell'avviso. Potrebbe essere diverso dall'ora del computer del server syslog e dipende dalla configurazione del fuso orario. src_ip: indirizzo IP del dispositivo di origine. dst_ip: indirizzo IP del dispositivo di destinazione. cat: gruppo di avvisi associato all'avviso. |
Azione NetWitness
Configurare un'azione NetWitness per inviare informazioni sugli avvisi a un server NetWitness.
Nell'area Azioni immettere i dettagli seguenti:
| Nome | Descrizione |
|---|---|
| Server | Selezionare NetWitness. |
| Nome host/Porta | Immettere il nome host e la porta del server NetWitness. |
| Fuso orario | Immettere il fuso orario che si vuole usare nel timestamp per il rilevamento degli avvisi nel siem. |
Configurare le regole di inoltro per le integrazioni dei partner
È possibile integrare Defender per IoT con un servizio partner per inviare informazioni sull'inventario di avvisi o dispositivi a un altro sistema di gestione dei dispositivi o di sicurezza o per comunicare con i firewall lato partner.
Le integrazioni dei partner possono aiutare a colmare le soluzioni di sicurezza precedentemente silocate, migliorare la visibilità dei dispositivi e accelerare la risposta a livello di sistema per attenuare più rapidamente i rischi.
In questi casi, usare azioni supportate per immettere le credenziali e altre informazioni necessarie per comunicare con i servizi partner integrati.
Per altre informazioni, vedi:
Configurare gruppi di avvisi nei servizi partner
Quando si configurano le regole di inoltro per inviare dati di avviso a server Syslog, QRadar e ArcSight, i gruppi di avvisi vengono applicati automaticamente e sono disponibili in tali server partner.
I gruppi di avvisi aiutano i team SOC a usare queste soluzioni partner per gestire gli avvisi in base ai criteri di sicurezza aziendali e alle priorità aziendali. Ad esempio, gli avvisi relativi ai nuovi rilevamenti sono organizzati in un gruppo di individuazione , che include tutti gli avvisi relativi a nuovi dispositivi, VLAN, account utente, indirizzi MAC e altro ancora.
I gruppi di avvisi vengono visualizzati nei servizi partner con i prefissi seguenti:
| Prefisso | Servizio partner |
|---|---|
cat |
QRadar, ArcSight, Syslog CEF, Syslog LEEF |
Alert Group |
Messaggi di testo Syslog |
alert_group |
Oggetti Syslog |
Per usare i gruppi di avvisi nell'integrazione, assicurarsi di configurare i servizi partner per visualizzare il nome del gruppo di avvisi.
Per impostazione predefinita, gli avvisi vengono raggruppati come segue:
- Comportamento di comunicazione anomalo
- Avvisi personalizzati
- Accesso remoto
- Comportamento anomalo della comunicazione HTTP
- Individuazione
- Comandi di riavvio e arresto
- Autenticazione
- Modifica del firmware
- Scansione
- Comportamento di comunicazione non autorizzato
- Comandi non validi
- Traffico del sensore
- Anomalie della larghezza di banda
- Accesso a Internet
- Sospetto di malware
- Overflow del buffer
- Errori dell'operazione
- Sospetto di attività dannose
- Errori dei comandi
- Problemi operativi
- Modifiche alla configurazione
- Programmazione
Per altre informazioni e per creare gruppi di avvisi personalizzati, contattare supporto tecnico Microsoft.
Risolvere i problemi relativi alle regole di inoltro
Se le regole di avviso di inoltro non funzionano come previsto, controllare i dettagli seguenti:
Convalida del certificato. Le regole di inoltro per Syslog CEF, Microsoft Sentinel e QRadar supportano la crittografia e la convalida dei certificati.
Se i sensori OT sono configurati per convalidare i certificati e il certificato non può essere verificato, gli avvisi non vengono inoltrati.
In questi casi, il sensore è il client e l'iniziatore della sessione. I certificati vengono in genere ricevuti dal server o usano la crittografia asimmetrica, in cui viene fornito un certificato specifico per configurare l'integrazione.