Vytvoření naučeného standardního plánu upozornění OT
Tento článek je jedním z řady článků popisujících cestu nasazení pro monitorování OT pomocí Microsoft Defender pro IoT a popisuje, jak vytvořit základní hodnoty naučeného provozu na senzoru OT.
Principy režimu učení
Síťový senzor OT začne automaticky monitorovat vaši síť po připojení k síti a přihlášení. Síťová zařízení se začnou objevovat v inventáři zařízení a aktivují se výstrahy pro všechny bezpečnostní nebo provozní incidenty, ke kterým dojde ve vaší síti.
Zpočátku k této aktivitě dochází v režimu učení , který dává vašemu senzoru OT pokyn, aby se dozvěděl o obvyklé aktivitě vaší sítě, včetně zařízení a protokolů ve vaší síti, a pravidelných přenosů souborů mezi konkrétními zařízeními. Všechny pravidelně zjištěné aktivity se stanou standardním provozem vaší sítě.
Tip
Využijte svůj čas v režimu učení k třídění výstrah a naučte se ty, které chcete označit jako autorizovanou a očekávanou aktivitu. Naučený provoz negeneruje nová upozornění při příštím zjištění stejného provozu.
Jakmile je režim učení vypnutý, všechny aktivity, které se liší od základních dat, aktivují upozornění.
Další informace najdete v tématu Microsoft Defender pro upozornění IoT.
Časová osa režimu učení
Vytvoření standardního plánu upozornění OT může v závislosti na velikosti a složitosti sítě trvat od několika dnů do několika týdnů. Režim učení se automaticky vypne, když senzor zjistí pokles nově zjištěného provozu, což je obvykle mezi 2 až 6 týdny po nasazení.
Pokud máte pocit, že aktuální upozornění přesně odrážejí vaši síťovou aktivitu, vypněte režim učení ručně.
Požadavky
Postupy v tomto článku můžete provádět z Azure Portal, senzoru OT nebo místní konzoly pro správu.
Než začnete, ujistěte se, že máte:
Nainstalovaný, nakonfigurovaný a aktivovaný senzor OT s upozorněními aktivovanými zjištěným provozem.
Přístup k senzoru OT jako bezpečnostní analytik nebo Správa uživatel. Další informace najdete v tématu Místní uživatelé a role pro monitorování OT pomocí Defenderu pro IoT.
Posouzení výstrah
Na konci nasazení vytřiďte výstrahy tak, aby se vytvořil počáteční směrný plán pro vaši síťovou aktivitu.
Přihlaste se k senzoru OT a vyberte stránku Upozornění .
Pomocí možností řazení a seskupení můžete nejprve zobrazit nejdůležitější výstrahy. Projděte si každou výstrahu a aktualizujte stavy a seznamte se s upozorněními na provoz autorizovaný OT.
Další informace najdete v tématu Zobrazení a správa výstrah na senzoru OT.
Další kroky
Po vypnutí režimu učení jste přešli z režimu učení do provozního režimu. Pokračujte některým z následujících kroků:
- Vizualizace Microsoft Defender pro data IoT pomocí sešitů Služby Azure Monitor
- Zobrazení a správa výstrah z Azure Portal
- Správa inventáře zařízení z Azure Portal
Integrace dat Defenderu for IoT se službou Microsoft Sentinel za účelem sjednocení monitorování zabezpečení týmu SOC Další informace naleznete v tématu: