Anzeigen und Verwalten von Warnungen auf Ihrem OT-Sensor

Warnungen von Microsoft Defender for IoT verbessern Ihre Netzwerksicherheit und -vorgänge mit Echtzeitdetails zu protokollierten Ereignissen in Ihrem Netzwerk. OT-Warnungen werden ausgelöst, wenn OT-Netzwerksensoren Änderungen oder verdächtige Aktivitäten im Netzwerkdatenverkehr erkennen, für die Ihre Aufmerksamkeit erforderlich ist.

In diesem Artikel wird beschrieben, wie Sie Defender for IoT-Warnungen direkt auf einem OT-Netzwerksensor anzeigen. Darüber hinaus können Sie OT-Warnungen im Azure-Portal oder an einer lokalen Verwaltungskonsole anzeigen.

Weitere Informationen finden Sie unter Warnungen in Microsoft Defender for IoT.

Voraussetzungen

  • Zum Anzeigen von Warnungen auf Ihrem OT-Sensor müssen ein SPAN-Port für Ihren Sensor konfiguriert und die Defender for IoT-Überwachungssoftware installiert sein. Weitere Informationen finden Sie unter Installieren von OT-Software für die Überwachung ohne Agents.

  • Zum Anzeigen von Warnungen auf dem OT-Sensor melden Sie sich bei Ihrem Sensor als Administrator-, Sicherheitsanalyst- oder Zuschauer-Benutzer an.

  • Zum Verwalten von Warnungen auf einem OT-Sensor melden Sie sich bei Ihrem Sensor als Administrator- oder Sicherheitsanalyst-Benutzer an. Zu den Aktivitäten zur Warnungsverwaltung gehören das Ändern der Status oder Schweregrade von Warnungen, das Lernen oder Stummschalten einer Warnung, der Zugriff auf PCAP-Daten oder das Hinzufügen vordefinierter Kommentare zu einer Warnung.

Weitere Informationen finden Sie unter Lokale Benutzer und Rollen für die OT-Überwachung mit Defender for IoT.

Anzeigen von Warnungen auf einem OT-Sensor

  1. Melden Sie sich bei der OT-Sensorkonsole an, und wählen Sie links die Seite Warnungen aus.

    Standardmäßig werden die folgenden Details im Raster angezeigt:

    Name BESCHREIBUNG
    Severity Ein vom Sensor zugewiesener vordefinierter Warnungsschweregrad, den Sie bei Bedarf ändern können, einschließlich der Werte Kritisch, Schwerwiegend, Geringfügig, Warnung.
    Name Der Titel der Warnung.
    Engine Die Erkennungs-Engine von Defender for IoT, die die Aktivität erkannt und die Warnung ausgelöst hat.
    Letzte Erkennung Der Zeitpunkt, zu dem die Warnung zuletzt erkannt wurde.

    – Wenn der Status einer Warnung Neu lautet und derselbe Datenverkehr erneut angezeigt wird, wird der Zeitpunkt für Letzte Erkennung für dieselbe Warnung aktualisiert.
    – Wenn der Status der Warnung Geschlossen lautet und der Datenverkehr erneut angezeigt wird, wird der Zeitpunkt für Letzte Erkennungnicht aktualisiert, und eine neue Warnung wird ausgelöst.

    Hinweis: Während die Sensorkonsole das Feld Letzte Erkennung einer Warnung in Echtzeit anzeigt, kann es bei Defender for IoT im Azure-Portal bis zu einer Stunde dauern, bis die aktualisierte Zeit angezeigt wird. Dies erklärt ein Szenario, in dem die letzte Erkennungszeit in der Sensorkonsole nicht mit der letzten Erkennungszeit im Azure-Portal übereinstimmt.
    Status Der Warnungsstatus: Neu, Aktiv, Geschlossen

    Weitere Informationen finden Sie unter Warnungsstatus und Selektierungsoptionen.
    Quellgerät Die IP-Quelladresse, die MAC-Adresse oder der Gerätename.
    Id Die eindeutige Warnungs-ID, die der ID im Azure-Portal entspricht.

    Hinweis: Wenn die Warnung mit anderen Warnungen von Sensoren zusammengeführt wurde, welche dieselbe Warnung erkannt haben, zeigt das Azure-Portal die Warnungs-ID des ersten Sensors an, der die Warnungen generiert hat.
    1. Zum Anzeigen weiterer Details wählen Sie die Schaltfläche Spalten bearbeiten aus.

      Wählen Sie im Bereich Spalten bearbeiten auf der rechten Seite Spalte hinzufügen und eine der folgenden zusätzlichen Spalten aus:

      Name Beschreibung
      Zielgerät Die IP-Adresse des Zielgeräts
      Erste Erkennung Der Zeitpunkt, zu dem die Warnungsaktivität zum ersten Mal erkannt wurde
      ID Die Warnungs-ID
      Letzte Aktivität Zeitpunkt der letzten Änderung der Warnung, einschließlich manueller Aktualisierungen für Schweregrad oder Status oder automatisierter Änderungen für Geräteupdates oder Geräte-/Warnungsdeduplizierung.

Filtern der angezeigten Warnungen

Verwenden Sie das Suchfeld sowie die Optionen Zeitbereich und Filter hinzufügen, um die angezeigten Warnungen nach bestimmten Parametern zu filtern oder um eine bestimmte Warnung leichter zu finden.

Beispiel:

Screenshot: Seite „Warnungen“ des OT-Sensors, die nach Gruppen gefiltert ist.

Beim Filtern von Warnungen nach Gruppen werden alle benutzerdefinierten Gruppen verwendet, die Sie möglicherweise im Gerätebestand oder auf den Seiten zur Gerätezuordnung erstellt haben.

Gruppieren der angezeigten Warnungen

Verwenden Sie das Menü Gruppieren nach oben rechts, um das Raster basierend auf Schweregrad, Name, Engine oder Status auf Unterabschnitte zu reduzieren.

Wenn beispielsweise die Gesamtzahl der Warnungen oberhalb des Rasters angezeigt wird, kann es sinnvoll sein, spezifischere Informationen zur Aufschlüsselung der Warnungsanzahl anzuzeigen, z. B. die Anzahl der Warnungen mit einem bestimmten Schweregrad oder Status.

Anzeigen von Details und Beheben einer bestimmten Warnung

  1. Melden Sie sich beim OT-Sensor an, und wählen Sie im Menü auf der linken Seite Warnungen aus.

  2. Wählen Sie eine Warnung im Raster aus, um weitere Details im Bereich auf der rechten Seite anzuzeigen. Der Warnungsdetailbereich enthält die Warnungsbeschreibung, die Quelle und das Ziel des Datenverkehrs und vieles mehr. Wählen Sie Vollständige Details anzeigen aus, um noch weitere Details anzuzeigen. Beispiel:

    Screenshot einer Warnung, die auf der Seite „Warnungen“ auf einem OT-Sensor ausgewählt ist.

  3. Die Seite mit den Warnungsdetails enthält weitere Details zur Warnung und eine Reihe von Wartungsschritten auf der Registerkarte Maßnahme ergreifen.

    Verwenden Sie die folgenden Registerkarten, um mehr Erkenntnisse zum Kontext zu gewinnen:

    • Kartenansicht. Zeigen Sie die Quell- und Zielgeräte in einer Kartenansicht mit anderen Geräten an, die mit Ihrem Sensor verbunden sind.

    • Zeitskala der Ereignisse. Zeigen Sie das Ereignis zusammen mit anderen aktuellen Aktivitäten auf den zugehörigen Geräten an. Filtern Sie mit Optionen zum Anpassen der angezeigten Daten. Beispiel:

      Screenshot einer Ereigniszeitachse auf einer Warnungsdetailseite.

Verwalten von Status und Selektion von Warnungen

Achten Sie darauf, den Warnungsstatus zu aktualisieren, nachdem Sie Wartungsschritte ausgeführt haben, damit der Fortschritt aufgezeichnet wird. Sie können den Status für eine einzelne Warnung oder für eine Auswahl von Warnungen in einem Durchgang aktualisieren.

Sie können eine Warnung lernen, um Defender für IoT darauf hinzuweisen, dass der erkannte Netzwerkdatenverkehr zulässig ist. Gelernte Warnungen werden nicht erneut ausgelöst, wenn der gleiche Datenverkehr im Netzwerk erkannt wird. Sie können eine Warnung stumm schalten, wenn Lernen nicht zur Verfügung steht und Sie ein bestimmtes Szenario in Ihrem Netzwerk ignorieren möchten.

Weitere Informationen finden Sie unter Warnungsstatus und Selektierungsoptionen.

  • So verwalten Sie den Warnungsstatus:

    1. Melden Sie sich bei der OT-Sensorkonsole an, und wählen Sie links die Seite Warnungen aus.

    2. Wählen Sie eine oder mehrere Warnungen im Raster aus, deren Status Sie aktualisieren möchten.

    3. Verwenden Sie die Symbolleistenschaltfläche Status ändern oder die Option Status im Detailbereich auf der rechten Seite, um den Warnungsstatus zu aktualisieren.

      Die Option Status ist auch auf der Seite mit den Warnungsdetails verfügbar.

  • So lernen Sie eine oder mehrere Warnungen:

    Melden Sie sich bei der OT-Sensorkonsole an, wählen Sie links die Seite Warnungen aus, und führen Sie dann eine der folgenden Aktionen aus:

    • Wählen Sie mindestens eine erlernbare Warnung im Raster und dann in der Symbolleiste Erlernen aus.
    • Wählen Sie auf einer Warnungsdetailseite auf der Registerkarte Aktion ausführen die Option Lernen aus.
  • So schalten Sie eine Warnung stumm:

    1. Melden Sie sich bei der OT-Sensorkonsole an, und wählen Sie links die Seite Warnungen aus.
    2. Suchen Sie die Warnung, die Sie stummschalten möchten, und öffnen Sie die zugehörige Warnungsdetailseite.
    3. Schalten Sie auf der Registerkarte Aktion ausführen die Option Warnung stummschalten ein.
  • So heben Sie das Lernen einer Warnung auf ihre Stummschaltung auf:

    1. Melden Sie sich bei der OT-Sensorkonsole an, und wählen Sie links die Seite Warnungen aus.
    2. Suchen Sie die Warnung, die Sie gelernt oder stummgeschaltet haben, und öffnen Sie ihre Warnungsdetailseite.
    3. Deaktivieren Sie auf der Registerkarte Maßnahme ergreifen die Option Warnungslernen oder Warnung stummschalten.

    Nachdem Sie das Lernen einer Warnung oder ihre Stummschaltung aufgehoben haben, werden Warnungen erneut ausgelöst, wenn der Sensor die ausgewählte Datenverkehrskombination erkennt.

Zugreifen auf PCAP-Warnungsdaten

Möglicherweise möchten Sie im Rahmen Ihrer Untersuchung auf Rohdatenverkehrsdateien zugreifen, die auch als Paketerfassungsdateien oder PCAP-Dateien bezeichnet werden.

Um auf Rohdatenverkehrsdateien für die Warnung zuzugreifen, wählen Sie PCAP herunterladen in der oberen linken Ecke der Seite mit den Warnungsdetails aus:

Zum Beispiel:

Screenshot der Optionen zum Herunterladen von PCAP auf dem OT-Sensor.

Die PCAP-Datei wird heruntergeladen, und Ihr Browser fordert Sie auf, sie zu öffnen oder lokal zu speichern.

Exportieren von Warnungen in CSV oder PDF

Möglicherweise möchten Sie eine Auswahl von Warnungen für die Offlinefreigabe und -berichterstellung in eine CSV- oder PDF-Datei exportieren.

  • Exportieren Sie Warnungen von der Hauptseite Warnungen in eine CSV-Datei. Exportieren Sie die Warnungen einzeln oder in einem Massenvorgang.
  • Exportieren Sie Warnungen jeweils nur einzeln in eine PDF-Datei, entweder von der Hauptseite Warnungen oder von einer Warnungsdetailseite.

So exportieren Sie Warnungen in eine CSV-Datei:

  1. Melden Sie sich bei der OT-Sensorkonsole an, und wählen Sie links die Seite Warnungen aus.

  2. Verwenden Sie das Suchfeld und die Filteroptionen, um nur die Warnungen anzuzeigen, die Sie exportieren möchten.

  3. Wählen Sie in der Symbolleiste oberhalb des Rasters In CSV exportieren aus.

Die Datei wird generiert, und Sie werden aufgefordert, sie zu öffnen oder lokal zu speichern.

So exportieren Sie eine Warnung in eine PDF-Datei:

Melden Sie sich bei der OT-Sensorkonsole an, wählen Sie links die Seite Warnungen aus, und führen Sie dann eine der folgenden Aktionen aus:

  • Wählen Sie auf der Seite Warnungen eine Warnung und dann in der Symbolleiste oberhalb des Rasters In PDF exportieren aus.
  • Wählen Sie auf einer Seite mit den Warnungsdetails die Option In PDF exportieren aus.

Die Datei wird generiert, und Sie werden aufgefordert, sie lokal zu speichern.

Hinzufügen von Warnungskommentaren

Warnungskommentare helfen Ihnen, Ihren Untersuchungs- und Wiederherstellungsprozess zu beschleunigen, da sich die Kommunikation zwischen Teammitgliedern und das Aufzeichnen von Daten durch sie effizienter gestalten lässt.

Wenn Ihr Administrator benutzerdefinierte Kommentare zum Hinzufügen zu Warnungen für Ihr Team erstellt hat, fügen Sie diese über den Abschnitt Kommentare auf einer Seite mit Warnungsdetails hinzu.

  1. Melden Sie sich bei der OT-Sensorkonsole an, und wählen Sie links die Seite Warnungen aus.

  2. Suchen Sie die Warnung, der Sie einen Kommentar hinzufügen möchten, und öffnen Sie die Seite mit den Warnungsdetails.

  3. Wählen Sie in der Liste Kommentar auswählen den Kommentar aus, den Sie hinzufügen möchten, und wählen Sie dann Hinzufügen aus. Beispiel:

    Screenshot des Abschnitts „Kommentare“ auf einer Warnungsdetailseite auf dem Sensor.

Weitere Informationen finden Sie unter Beschleunigen von OT-Warnungsworkflows.

Nächste Schritte