你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
Microsoft Defender for IoT 警报
Microsoft Defender for IoT 警报通过有关记录在你网络中的事件的实时详细信息来增强网络安全性和操作。 当 OT 网络传感器检测到网络流量出现了需要注意的变化或可疑活动时,会触发警报。
例如:
使用“警报”页面或警报详细信息页面上显示的详细信息来进行调查并采取修正网络面临的任何风险的措施,这些风险可能来自触发警报的相关设备或网络进程。
提示
使用警报修正步骤来帮助你的 SOC 团队了解可能的问题和解决方法。 建议在更新警报状态或对设备或网络采取措施之前查看建议的修正步骤。
警报管理选项
Defender for IoT 警报在 Azure 门户、OT 网络传感器控制台和本地管理控制台中可用。 借助企业 IoT 安全性,还可以在 Microsoft 365 Defender 中为 Defender for Endpoint 检测到的企业 IoT 设备提供警报。
可以从这些任意位置查看警报详细信息、调查警报上下文、会审和管理警报状态,同时,每个位置还提供额外的警报操作。 下表描述了每个位置支持的警报,以及仅从该位置可用的额外操作:
| 位置 | 说明 | 额外的警报操作 |
|---|---|---|
| Azure 门户 | 来自所有云连接的 OT 传感器的警报 | - 查看相关的 MITRE ATT&CK 策略和技术 - 使用现成的工作簿查看高优先级警报 - 从 Microsoft Sentinel 查看警报并使用 Microsoft Sentinel playbook 和工作簿运行更深入的调查。 |
| OT 网络传感器控制台 | 该 OT 传感器生成的警报 | - 在“设备映射”中查看警报的源和目标 - 在“事件时间线”上查看相关事件 - 将警报直接转发给合作伙伴供应商 - 创建警报注释 - 创建自定义警报规则 - 取消获知警报 |
| 本地管理控制台 | 由连接的 OT 传感器生成的警报 | - 将警报直接转发给合作伙伴供应商 - 创建警报排除规则 |
| Microsoft 365 Defender | 为 Microsoft Defender for Endpoint 检测到的企业 IoT 设备生成的警报 | - 与其他 Microsoft 365 Defender 数据一并管理警报数据(包括高级搜寻) |
提示
在 10 分钟内,从同一区域中的不同传感器生成的任何警报(具有相同的类型、状态、警报协议和关联设备)都列为单个统一警报。
- 10 分钟的时间范围基于警报的 首次检测 时间。
- 单个统一警报列出了检测到警报的所有传感器。
- 警报是根据 警报 协议而不是设备协议组合的。
有关详细信息,请参阅:
警报选项也因你的位置和用户角色而异。 有关详细信息,请参阅 Azure 用户角色和权限以及本地用户和角色。
OT/IT 环境中的重点警报
在 OT 和 IT 网络之间部署了传感器的组织需要处理许多与 OT 和 IT 流量相关的警报。 警报数量(其中一些是无关的)可能导致警报疲劳并影响整体性能。 为了应对这些挑战,Defender for IoT 的检测策略会引导其不同的警报引擎专注于具有业务影响且与 OT 网络相关的警报,并减少与 IT 相关的低价值警报。 例如,“未经授权的 Internet 连接”警报在 OT 网络中高度相关,但在 IT 网络中的价值相对较低。
若要侧重于在这些环境中触发的警报,除恶意软件引擎外,其他所有警报引擎仅在检测到相关的 OT 子网或协议时才触发警报。 不过,若要维护指示关键场景的警报的触发,请执行以下操作:
- 无论警报是否与 OT 或 IT 设备相关,恶意软件引擎都会触发恶意软件警报。
- 其他引擎包括关键场景的例外情况。 例如,无论警报是否与 OT 或 IT 流量相关,操作引擎都会触发与传感器流量相关的警报。
在混合环境中管理 OT 警报
在混合环境中工作的用户可能会在 Azure 门户、OT 传感器和本地管理控制台上管理 Defender for IoT 中的 OT 警报。
注意
传感器控制台实时显示警报的“上次检测”字段,而 Azure 门户中的 Defender for IoT 可能需要长达一小时才能显示更新的时间。 这解释了传感器控制台中的上次检测时间与 Azure 门户中的上次检测时间不同的情况。
警报状态以其他方式在 Azure 门户和 OT 传感器之间以及在传感器和本地管理控制台之间保持完全同步。 这意味着,无论在哪个位置管理 Defender for IoT 中的警报,警报也会在其他位置更新。
在传感器或本地管理控制台上将警报状态设置为“已关闭”或“已屏蔽”会在 Azure 门户上将警报状态更新为“已关闭”。 在本地管理控制台上,“已关闭”警报状态称为“已确认”。
提示
如果使用的是 Microsoft Sentinel,建议配置集成以同时与 Microsoft Sentinel 同步警报状态,然后共同管理警报状态以及相关的 Microsoft Sentinel 事件。
有关详细信息,请参阅教程:调查和检测 IoT 设备的威胁。
企业 IoT 警报和 Microsoft Defender for Endpoint
如果你在 Microsoft 365 Defender 中使用企业 IoT 安全性,则 Microsoft Defender for Endpoint 检测到的企业 IoT 设备的警报仅在 Microsoft 365 Defender 中可用。 来自 Microsoft Defender for Endpoint 的许多基于网络的检测与企业 IoT 设备相关,例如由涉及托管终结点的扫描触发的警报。
有关详细信息,请参阅保护企业中的 IoT 设备和 Microsoft 365 Defender 中的警报队列。
加速 OT 警报工作流
如果在初始检测后 90 天内未检测到相同的流量,新警报则会自动关闭。 如果在这前 90 天内检测到相同的流量,则会重置 90 天计数。
除了默认行为外,你可能还希望帮助 SOC 和 OT 管理团队更快地对警报进行会审和修正。 以“管理员”用户身份登录 OT 传感器或本地管理控制台以使用以下选项:
创建自定义警报规则。 仅限 OT 传感器。
添加自定义警报规则,以针对网络上现成功能未涵盖的特定活动触发警报。
例如,对于运行 MODBUS 的环境,可以添加一条规则来检测对特定 IP 地址和以太网目标上的内存寄存器发出的任何写入命令。
有关详细信息,请参阅在 OT 传感器上创建自定义警报规则。
创建警报注释。 仅限 OT 传感器。
创建一组警报注释,其他 OT 传感器用户可以将其添加到各个警报中,其中包含自定义缓解步骤、与其他团队成员的通信或有关事件的其他见解或警告等详细信息。
团队成员可以在会审和管理警报状态时重复使用这些自定义注释。 警报注释显示在警报详细信息页面上的注释区域中。 例如:
有关详细信息,请参阅在 OT 传感器上创建警报注释。
创建警报排除规则:仅限本地管理控制台。
如果使用本地管理控制台,请定义“警报排除规则”以忽略满足特定条件的多个传感器中的事件。 例如,可以创建一条警报排除规则,以忽略在特定维护时段期间会触发不相关警报的所有事件。
被排除规则忽略的警报不会显示在 Azure 门户、传感器、本地管理控制台或事件日志中。
有关详细信息,请参阅在本地管理控制台上创建警报排除规则。
将警报数据转发到合作伙伴系统会转发到合作伙伴 SIEM、Syslog 服务器和指定的电子邮件地址等。
受 OT 传感器和本地管理控制台的支持。 有关详细信息,请参阅转发警报信息。
警报状态和会审选项
使用以下警报状态和会审选项来管理 Defender for IoT 中的警报。
对警报进行会审时,请考虑某些警报可能反映有效的网络更改,例如已授权设备试图访问另一台设备上的新资源。
虽然来自 OT 传感器和本地管理控制台的会审选项仅适用于 OT 警报,但 Azure 门户上可用的选项适用于 OT 和企业 IoT 警报。
使用下表了解有关每个警报状态和会审选项的详细信息。
| 状态/会审操作 | 可用于 | 说明 |
|---|---|---|
| 新建 | - Azure 门户 - OT 网络传感器 - 本地管理控制台 |
新警报是尚未由团队会审或调查的警报。 为相同设备检测到的新流量不会生成新警报,但会被添加到现有警报中。 在本地管理控制台上,新警报称为“未确认”。 注意:你可能会看到多个具有相同名称的新警报或未确认警报。 在这种情况下,每个单独的警报由不同设备集上单独的流量触发。 |
| 活动 | - 仅 Azure 门户 | 将警报设置为“活动”以指示调查正在进行,但还不能关闭或以其他方式会审警报。 此状态在 Defender for IoT 中的其他位置不起作用。 |
| 已解决 | - Azure 门户 - OT 网络传感器 - 本地管理控制台 |
关闭警报以指示它已完全经过调查,并且你希望在下次检测到相同流量时再次收到警报。 关闭警报会将其添加到传感器事件时间线。 在本地管理控制台上,新警报称为“已确认”。 |
| Learn | - Azure 门户 - OT 网络传感器 - 本地管理控制台 取消获知警报仅适用于 OT 传感器。 |
想要关闭警报时会获知警报,并将其添加为允许的流量,这样下次检测到相同流量时就不会再次收到警报。 例如,当传感器检测到遵循标准维护程序的固件版本更改时,或者当新的预期设备添加到网络时。 获知警报会关闭警报,并会在传感器事件时间线中添加一项。 检测到的流量包含在数据挖掘报告中,但在计算其他 OT 传感器报告时不包含。 获知警报仅适用于选定的警报,主要是那些由策略和异常引擎警报触发的警报。 |
| 静音 | - OT 网络传感器 - 本地管理控制台 取消屏蔽警报仅适用于 OT 传感器。 |
当你想要关闭警报并且不想再看到针对相同流量的警报时,可以屏蔽警报,但这不会添加警报允许的流量。 例如,当操作引擎触发指示设备上更改了 PLC 模式的警报时。 新模式可能表明 PLC 不安全,但经过调查,确定了新模式是可接受的。 屏蔽警报会将其关闭,但不会在传感器事件时间线中添加一项。 检测到的流量包含在数据挖掘报告中,但在计算其他传感器报告的数据时不会包含。 屏蔽警报仅适用于选定的警报,主要是那些由异常、协议违反或操作引擎触发的警报。 |
在学习模式下会审 OT 警报
学习模式是指部署 OT 传感器后的初始时段,在该模式下,OT 传感器会了解网络的基线活动(包括网络中的设和协议以及特定设备之间发生的常规文件传输)。
使用学习模式对网络中的警报执行初始会审,了解要标记为授权的预期活动。 下次检测到相同的流量时,已学习的流量不会生成新警报。
有关详细信息,请参阅创建已学习的 OT 警报基线。
后续步骤
查看警报类型和消息,以帮助了解和规划修正操作和 playbook 集成。 有关详细信息,请参阅 OT 监视警报类型和说明。