Пересылка сведений о оповещении OT в локальной среде
Оповещения Microsoft Defender для Интернета вещей повышают безопасность сети и операции с подробными сведениями о событиях, зарегистрированных в сети в режиме реального времени. Оповещения OT активируются, когда сетевые датчики OT обнаруживают изменения или подозрительные действия в сетевом трафике, который требует вашего внимания.
В этой статье описывается, как настроить датчик OT для пересылки оповещений в партнерские службы, серверы системного журнала, адреса электронной почты и многое другое. Сведения о переадресации оповещений включают такие сведения:
- Дата и время оповещения
- Подсистема, обнаружившая событие
- Заголовок оповещения и описательное сообщение
- Серьезность оповещения
- Имя и IP-адрес исходного и целевого объекта
- Обнаружен подозрительный трафик
- – отключенных датчиках;
- – сбоях при удаленном резервном копировании.
Примечание.
Правила переадресации оповещений выполняются только при активации оповещений после создания правила пересылки. Оповещения, уже созданные в системе до создания правила пересылки, не затрагиваются правилом.
Необходимые компоненты
В зависимости от того, где вы хотите создать правила пересылки оповещений, необходимо установить сетевой датчик OT с доступом к пользователю администратора.
Дополнительные сведения см. в разделе "Установка программного обеспечения мониторинга без агента OT" и локальных пользователей и ролей для мониторинга OT с помощью Defender для Интернета вещей.
Кроме того, необходимо определить параметры SMTP на датчике OT.
Дополнительные сведения см. в разделе "Настройка параметров почтового сервера SMTP" на датчике OT.
Создание правил пересылки на датчике OT
Войдите в датчик OT и выберите "Переадресация " в меню >слева + Создать новое правило.
В области "Добавление правила пересылки" введите понятное имя правила, а затем определите условия и действия правила следующим образом:
Имя Описание Минимальный уровень оповещений Выберите минимальный уровень серьезности оповещений, который требуется перенаправить.
Например, при выборе дополнительных оповещений и любых оповещений выше этого уровня серьезности перенаправляются.Обнаружен любой протокол Переключение на перенаправление оповещений из всего трафика протокола или отключение и выбор определенных протоколов, которые требуется включить. Трафик, обнаруженный любым обработчиком Переключение на перенаправление оповещений со всех подсистем аналитики или отключение и выбор определенных обработчиков, которые требуется включить. Действия Выберите тип сервера, на который нужно перенаправить оповещения, а затем определите другие необходимые сведения для этого типа сервера.
Чтобы добавить несколько серверов в одно правило, нажмите кнопку +Добавить сервер и добавьте дополнительные сведения.
Дополнительные сведения см. в разделе "Настройка действий правила пересылки оповещений".Когда вы закончите настройку правила, нажмите кнопку "Сохранить". Правило отображается на странице пересылки .
Проверьте созданное правило:
- Выберите меню параметров (...) для сообщения о отправке тестового сообщения правила>.
- Перейдите в целевую службу, чтобы убедиться, что получена информация, отправленная датчиком.
Изменение или удаление правил пересылки на датчике OT
Чтобы изменить или удалить существующее правило:
Войдите в датчик OT и выберите "Переадресация " в меню слева.
Выберите меню параметров (...) для правила, а затем выполните одно из следующих действий:
При необходимости выберите "Изменить" и обновите поля. По завершении выберите Сохранить.
Нажмите кнопку "Удалить>да", чтобы подтвердить удаление.
Настройка действий правила пересылки оповещений
В этом разделе описывается настройка параметров для поддерживаемых действий правила пересылки на датчике OT.
Действие с адресом электронной почты
Настройте действие электронной почты для пересылки данных оповещений на настроенный адрес электронной почты.
В области действий введите следующие сведения:
| Имя | Описание |
|---|---|
| Сервер | Выберите Сообщение электронной почты. |
| Эл. почта | Введите адрес электронной почты, в который вы хотите перенаправить оповещения. Каждое правило поддерживает один адрес электронной почты. |
| Часовой пояс | Выберите часовой пояс, который вы хотите использовать для обнаружения оповещений в целевой системе. |
Действия с сервером системного журнала
Настройте действие сервера Syslog для пересылки данных оповещений выбранному типу сервера Syslog.
В области действий введите следующие сведения:
| Имя | Описание |
|---|---|
| Сервер | Выберите один из следующих типов форматов системного журнала: - Сервер SYSLOG (формат CEF) - Сервер SYSLOG (формат LEEF) - Сервер SYSLOG (объект) - Сервер SYSLOG (текстовое сообщение) |
| Порт узла / | Введите имя узла и порт сервера системного журнала |
| Часовой пояс | Выберите часовой пояс, который вы хотите использовать для обнаружения оповещений в целевой системе. |
| Протокол | Поддерживается только для текстовых сообщений. Выберите TCP или UDP. |
| Включение шифрования | Поддерживается только для формата CEF. Переключение на настройку файла сертификата шифрования TLS, файла ключа и парольной фразы. |
В следующих разделах описан синтаксис выходных данных системного журнала для каждого формата.
Поля выходных данных в текстовом сообщении системного журнала
| Имя | Описание |
|---|---|
| Приоритет | Пользователь. Предупреждение |
| Сообщение | Имя платформы CyberX: имя датчика. Оповещение Microsoft Defender для Интернета вещей: название оповещения. Тип: тип оповещения. Возможные типы: Нарушение протокола, Нарушение политики, Вредоносная программа, Аномалия или Рабочее. Степень серьезности: степень серьезности оповещения. Возможные степени: Предупреждение, Незначительное, Важное или Критическое. Источник: имя исходного устройства. IP-адрес источника: IP-адрес исходного устройства. Протокол (необязательно): обнаруженный исходный протокол. Адрес (необязательно): адрес исходного протокола. Назначение: имя целевого устройства. IP-адрес назначения: IP-адрес целевого устройства. Протокол (необязательно): обнаруженный протокол назначения. Адрес (необязательно): адрес целевого протокола. Сообщение: сообщение оповещения. Группа оповещений: группа оповещений, связанная с оповещением. UUID (необязательно): оповещение UUID. |
Поля выходных данных объекта syslog
| Имя | Описание |
|---|---|
| Приоритет | User.Alert |
| Дата и время | Дата и время получения сведений компьютером сервера системного журнала. |
| Hostname (Имя узла) | IP-адрес датчика |
| Сообщение | Имя датчика: имя устройства. Время оповещения: время, когда было обнаружено оповещение: может отличаться от времени компьютера с сервером системного журнала и зависит от конфигурации часового пояса в правиле переадресации. Заголовок оповещения: заголовок оповещения. Сообщение оповещения: сообщение оповещения. Серьезность оповещения: возможны оповещения степени серьезности Предупреждение, Незначительное, Важное или Критическое. Тип оповещения: Нарушение протокола, Нарушение политики, Вредоносная программа, Аномалия или Рабочее. Протокол: протокол оповещения. Source_MAC: IP-адрес, имя, поставщик или ОС исходного устройства. Destination_MAC: IP-адрес, имя, поставщик или ОС целевого устройства. Если данные отсутствуют, значение равно N/A. alert_group: группа оповещений, связанная с оповещением. |
Поля выходных данных CEF системного журнала
| Имя | Описание |
|---|---|
| Приоритет | User.Alert |
| Дата и время | Дата и время отправки датчиком сведений в формате UTC |
| Hostname (Имя узла) | Имя узла датчика |
| Сообщение | CEF:0 Microsoft Defender для Интернета вещей и КиберX Имя датчика Версия датчика Оповещение Microsoft Defender для Интернета вещей Название оповещения Целочисленные признаки серьезности. 1=Предупреждение, 4=Дополнительный, 8=Основной или 10=Критически важный. msg = сообщение оповещения. protocol = протокол оповещения. серьезность= предупреждение, незначительный, основной или критически важный. type= нарушение протокола, нарушение политики, вредоносные программы, аномалии или операционные функции. UUID= UUID оповещения (необязательно) start= Время обнаружения оповещения. Может отличаться от времени на компьютере с сервером системного журнала и зависит от конфигурации часового пояса в правиле переадресации. src_ip= IP-адрес исходного устройства. (Необязательно) src_mac= MAC-адрес исходного устройства. (Необязательно) dst_ip= IP-адрес целевого устройства. (Необязательно) dst_mac= MAC-адрес целевого устройства. (Необязательно) cat= Группа оповещений, связанная с оповещением. |
Поля выходных данных SYSlog LEEF
| Имя | Описание |
|---|---|
| Приоритет | User.Alert |
| Дата и время | Дата и время отправки датчиком сведений в формате UTC |
| Hostname (Имя узла) | IP-адрес датчика |
| Сообщение | Имя датчика: имя устройства с Microsoft Defender для Интернета вещей. ЛИФ:1.0 Microsoft Defender для Интернета вещей Датчик Версия датчика Оповещение Microsoft Defender для Интернета вещей заголовок: заголовок оповещения. msg: сообщение оповещения. протокол: протокол оповещения. серьезность: Предупреждение, Незначительное, Важное или Критическое. тип: тип оповещения: Нарушение протокола, Нарушение политики, Вредоносная программа, Аномалия или Рабочее. начало: время оповещения. Он может отличаться от времени компьютера сервера системного журнала и зависит от конфигурации часового пояса. src_ip: IP-адрес исходного устройства. dst_ip: IP-адрес целевого устройства. cat: группа оповещений, связанная с оповещением. |
Действие NetWitness
Настройте действие NetWitness для отправки сведений об оповещении на сервер NetWitness.
В области действий введите следующие сведения:
| Имя | Описание |
|---|---|
| Сервер | Выберите NetWitness. |
| Имя узла / порт | Введите имя узла и порт сервера NetWitness. |
| Часовой пояс | Введите часовой пояс, который вы хотите использовать в метке времени для обнаружения оповещений в SIEM. |
Настройка правил пересылки для интеграции партнеров
Вы можете интегрировать Defender для Интернета вещей с партнерской службой для отправки сведений об оповещении или инвентаризации устройств в другую систему безопасности или управления устройствами или взаимодействовать с брандмауэрами на стороне партнера.
Интеграция партнеров может помочь преодолеть ранее разложенные решения по безопасности, повысить видимость устройств и ускорить реагирование системы на более быстрое снижение рисков.
В таких случаях используйте поддерживаемые действия для ввода учетных данных и других сведений, необходимых для взаимодействия с интегрированными партнерскими службами.
Дополнительные сведения см. в разделе:
- Интеграция Fortinet с Microsoft Defender для Интернета вещей
- Интеграция Qradar с Microsoft Defender для Интернета вещей
Настройка групп оповещений в партнерских службах
При настройке правил пересылки для отправки данных оповещений на серверы Syslog, QRadar и ArcSight группы оповещений автоматически применяются и доступны на этих серверах партнеров.
Группы оповещений помогают командам SOC использовать эти партнерские решения для управления оповещениями на основе корпоративных политик безопасности и бизнес-приоритетов. Например, оповещения о новых обнаружениях организованы в группу обнаружения , которая включает в себя все оповещения о новых устройствах, виртуальных локальных сетях, учетных записях пользователей, MAC-адресах и т. д.
Группы оповещений отображаются в партнерских службах со следующими префиксами:
| Префикс | Служба партнера |
|---|---|
cat |
QRadar, ArcSight, Syslog CEF, Syslog LEEF |
Alert Group |
Текстовые сообщения системного журнала |
alert_group |
Объекты системного журнала |
Чтобы использовать группы оповещений в интеграции, обязательно настройте партнерские службы для отображения имени группы оповещений.
По умолчанию оповещения группируются следующим образом:
- Аномальное поведение связи
- Настраиваемые оповещения
- Удаленный доступ.
- Аномальное поведение связи по HTTP
- Обнаружение
- Команды перезапуска и остановки
- Проверка подлинности
- Изменение встроенного ПО
- Сканировать
- Несанкционированное поведение связи
- Недопустимые команды
- Датчик трафика
- Аномалии пропускной способности
- Доступ к Интернету
- Подозрение на наличие вредоносной программы
- Переполнение буфера
- Сбой при выполнении операции
- Подозрение на наличие вредоносных действий
- Сбои команд
- Проблемы с работоспособностью
- Изменения конфигурации
- Программирование
Для получения дополнительных сведений и создания настраиваемых групп оповещений обратитесь к служба поддержки Майкрософт.
Устранение неполадок с правилами пересылки
Если правила пересылки оповещений не работают должным образом, проверьте следующие сведения:
Проверка сертификата. Правила пересылки для syslog CEF, Microsoft Sentinel и QRadar поддерживают шифрование и проверку сертификатов.
Если датчики OT настроены для проверки сертификатов , а сертификат не может быть проверен, оповещения не перенаправляются.
В таких случаях датчик является клиентом и инициатором сеанса. Сертификаты обычно получают от сервера или используют асимметричное шифрование, где для настройки интеграции предоставляется конкретный сертификат.