Tworzenie poznanego punktu odniesienia alertów OT
Ten artykuł znajduje się w serii artykułów opisujących ścieżkę wdrażania monitorowania ot w usłudze Microsoft Defender dla IoT i opisano sposób tworzenia punktu odniesienia poznanego ruchu na czujniku OT.
Omówienie trybu uczenia
Czujnik sieci OT automatycznie monitoruje sieć po nawiązaniu połączenia z siecią i zalogowaniu. Urządzenia sieciowe zaczynają pojawiać się w spisie urządzeń, a alerty są wyzwalane dla wszelkich zdarzeń zabezpieczeń lub operacji występujących w sieci.
Początkowo to działanie odbywa się w trybie uczenia , który nakazuje czujnikowi OT poznanie zwykłej aktywności sieci, w tym urządzeń i protokołów w sieci, oraz zwykłych transferów plików występujących między określonymi urządzeniami. Wszelkie regularnie wykrywane działania stają się ruchem bazowym sieci.
Napiwek
Użyj czasu w trybie uczenia, aby sklasyfikować alerty i Dowiedz się , które chcesz oznaczyć jako autoryzowane, oczekiwane działanie. Poznany ruch nie generuje nowych alertów przy następnym wykryciu tego samego ruchu.
Po wyłączeniu trybu uczenia wszystkie działania, które różnią się od danych punktu odniesienia, wyzwolą alert.
Aby uzyskać więcej informacji, zobacz Alerty usługi Microsoft Defender dla IoT.
Oś czasu trybu nauki
Tworzenie planu bazowego alertów OT może potrwać od kilku dni do kilku tygodni, w zależności od rozmiaru i złożoności sieci. Zalecamy, aby po upływie 2–6 tygodni ręcznie zmienić tryb uczenia na tryb dynamiczny, gdy dzienna liczba alertów spadnie na możliwy do zarządzania poziom. W trybie dynamicznym usługa Defender dla IoT nadal monitoruje sieć pod kątem podejrzanego ruchu, wyzwalaj alerty, a także automatycznie przenosi kategorię alertów do trybu operacyjnego, jeśli ten alert nie jest wyzwalany przez określony czas.
W trybie operacyjnym wszystkie wygenerowane alerty są wyświetlane w spisie i muszą zostać skorygowane przez wykonanie akcji wymienionych w okienku szczegółów alertu. Jeśli alert został wyzwolony przez bezpieczny ruch sieciowy, musisz użyć przycisku Dowiedz się , aby dodać ten ruch do listy punktów odniesienia, aby czujnik nie wygenerował alertu dla tego w przyszłości.
Wyłącz tryb uczenia ręcznie , gdy poziom alertów dokładnie odzwierciedla aktywność sieci.
Wymagania wstępne
Procedury opisane w tym artykule można wykonać w witrynie Azure Portal lub w czujniku OT.
Przed rozpoczęciem upewnij się, że masz następujące elementy:
Czujnik OT zainstalowany, skonfigurowany i aktywowany z alertami wyzwalanymi przez wykryty ruch.
Dostęp do czujnika OT jako analityka zabezpieczeń lub użytkownika administratora . Aby uzyskać więcej informacji, zobacz Temat Użytkownicy i role lokalne na potrzeby monitorowania ot za pomocą usługi Defender dla IoT.
Klasyfikacja alertów
Klasyfikowanie alertów pod koniec wdrożenia w celu utworzenia początkowego punktu odniesienia dla aktywności sieciowej.
Zaloguj się do czujnika OT i wybierz stronę Alerty .
Użyj opcji sortowania i grupowania, aby najpierw wyświetlić najbardziej krytyczne alerty. Przejrzyj każdy alert, aby zaktualizować stany i poznać alerty dotyczące autoryzowanego ruchu OT.
Aby uzyskać więcej informacji, zobacz Wyświetlanie alertów i zarządzanie nimi w czujniku OT.
Następne kroki
Po wyłączeniu trybu uczenia został przeniesiony z trybu uczenia do trybu uczenia . Kontynuuj pracę z dowolnym z następujących elementów:
- Wizualizowanie danych usługi Microsoft Defender dla IoT za pomocą skoroszytów usługi Azure Monitor
- Wyświetlanie alertów i zarządzanie nimi w witrynie Azure Portal
- Zarządzanie spisem urządzeń w witrynie Azure Portal
Integrowanie danych usługi Defender dla IoT z usługą Microsoft Sentinel w celu ujednolicenia monitorowania zabezpieczeń zespołu SOC. Aby uzyskać więcej informacji, zobacz: