共用方式為

調查及回應 OT 網路警示

  • 發行項

本文描述如何在適用於 IoT 的 Microsoft Defender 中調查和回應 OT 網路警示。

您可能是使用 Microsoft Sentinel 的安全性作業中心 (SOC) 工程師,在 Microsoft Sentinel 工作區中看到了新事件,並持續在適用於 IoT 的 Defender 中取得相關裝置和所建議補救步驟的進一步詳細資料。

或者,您可能是 OT 工程師,直接在適用於 IoT 的 Defender 中監看作業警示。 作業警示可能不是惡意的,但可以指出可協助安全性調查的作業活動。

必要條件

在開始之前,請確定您具有下列項目:

調查來自 Azure 入口網站的警示

在 Azure 入口網站的警示詳細資料頁面上,從將警示狀態變更為 [作用中] 開始,表示目前正在調查中。

例如:

Screenshot of changing an alert status on the Azure portal.

重要

如果您與 Microsoft Sentinel 整合,請務必只從 Microsoft Sentinel 中的事件管理警示狀態。 警示狀態不會從適用於 IoT 的 Defender 同步至 Microsoft Sentinel。

更新狀態之後,請檢查警示詳細資料頁面,以取得下列詳細資料來協助調查:

  • 來源和目的地裝置詳細資料。 來源和目的地裝置會列示在 [警示詳細資料] 索引標籤中,同時也會以 Microsoft Sentinel「實體」形式列示在下方的 [實體] 區域中,搭配自己的實體頁面。 在 [實體] 區域中,您將使用 [名稱] 資料行中的連結,開啟相關的裝置詳細資料頁面,進行進一步調查

  • 網站和/或區域。 這些值可協助您了解警示的地理和網路位置,以及是否有網路區域現在更容易受到攻擊。

  • MITRE ATT&CK 策略和技術。 在左窗格中向下捲動以檢視所有 MITRE ATT&CK 詳細資料。 除了策略和技術的描述之外,請選取 MITRE ATT&CK 網站的連結,以深入了解每種策略和技術。

  • 下載 PCAP。 在頁面頂端,選取 [下載 PCAP],針對選取的警示下載原始流量檔案

尋找由相同來源或目的地裝置觸發的其他警示。 多個警示之間的相互關聯可能表示裝置有風險且可能遭到惡意探索。

例如,嘗試連線到惡意 IP 的裝置,加上有關裝置上未經授權 PLC 程式設計變更的另一個警示,可能表示攻擊者已取得裝置的控制。

若要在適用於 IoT 的 Defender 中尋找相關警示

  1. 在 [警示] 頁面上,選取警示以檢視右側的詳細資料。

  2. 在 [實體] 區域中,於右側的詳細資料窗格或於警示詳細資料頁面中尋找裝置連結。 選取實體連結以開啟來源和目的地裝置的相關裝置詳細資料頁面。

  3. 在裝置詳細資料頁面上,選取 [警示] 索引標籤,以檢視該裝置的所有警示。 例如:

    Screenshot of the Alerts tab on a device details page.

調查有關 OT 感應器的警示詳細資料

已觸發警示的 OT 感應器將有更多的詳細資料來協助您進行調查。

若要在 OT 感應器上繼續您的調查

  1. 以 [檢視人員] 或 [安全性分析人員] 使用者身分登入 OT 感應器。

  2. 選取 [警示] 頁面,然後尋找您正在調查的警示。 選取 **[檢視更多詳細資料] 以開啟 OT 感應器的警示詳細資料頁面。 例如:

    Screenshot of the alert on the sensor console.

在感應器的警示詳細資料頁面上:

  • 選取 [對應檢視] 索引標籤,以檢視 OT 感應器裝置對應內的警示,包括任何連線的裝置。

  • 選取 [事件時間軸] 索引標籤,以檢視警示的完整事件時間軸,包括 OT 感應器也偵測到的其他相關活動。

  • 選取 [匯出 PDF] 以下載警示詳細資料的 PDF 摘要。

採取補救動作

採取補救動作的時機可能取決於警示的嚴重性。 例如,針對高嚴重性警示,您甚至可能想要在調查之前採取動作,例如,如果您需要立即隔離網路區域。

針對較低的嚴重性警示,或針對作業警示,您可能想要先進行完整調查,再採取動作。

若要補救警示,請使用下列適用於 IoT 的 Defender 資源:

  • 在 Azure 入口網站或 OT 感應器上的警示詳細資料頁面上,選取 [採取動作] 索引標籤,以檢視所建議步驟的詳細資料來降低風險。

  • 在 Azure 入口網站的裝置詳細資料頁面上,針對來源和目的地裝置

    • 選取 [弱點] 索引標籤,並檢查每個裝置上偵測到的弱點。

    • 選取 [建議] 索引標籤,並檢查目前適用於每個裝置的安全性建議

適用於 IoT 的 Defender 弱點資料和安全性建議可以提供您可以採取以降低風險的簡單動作,例如更新韌體或套用修補檔。 其他動作可能需要更多的規劃。

當您完成了風險降低活動並準備好關閉警示時,請務必將警示狀態更新為 [已關閉],或通知 SOC 小組進行進一步的事件管理。

注意

如果您將適用於 IoT 的 Defender 與 Microsoft Sentinel 進行整合,則您在適用於 IoT 的 Defender 中所做的警示狀態變更「不會」在 Microsoft Sentinel 中更新。 請務必將 Microsoft Sentinel 中的警示與相關事件一起管理。

定期將警示分級

定期將警示分級,以防止網路中的警示疲勞,並確保您可以及時發現並處理重要警示。

若要將警示分級

  1. 在 Azure 入口網站的適用於 IoT 的 Defender 中,移至 [警示] 頁面。 根據預設,警示會依 [上次偵測] 資料行排序,從最新警示到最舊警示,讓您可以先在網路中看到最新的警示。

  2. 使用其他篩選條件,例如 [感應器] 或 [嚴重性] 來尋找特定警示。

  3. 在您採取任何警示動作之前,請先檢查警示詳細資料並視需要進行調查。 當您準備好時,請在警示詳細資料頁面上針對特定警示採取動作,或在 [警示] 頁面上採取大量動作。

    例如,更新警示狀態或嚴重性,或了解警示來授權偵測到的流量。 如果再次偵測到相同的確切流量,不會重新觸發「已了解」警示。

    Screenshot of a Learn button on the alert details page.

針對高嚴重性警示,您可能想要立即採取動作。

下一步

使用安全性建議增強安全性狀態