Inoltrare informazioni sull'avviso OT locale

Gli avvisi di Microsoft Defender per IoT migliorano la sicurezza e le operazioni di rete con dettagli in tempo reale sugli eventi registrati nella rete. Gli avvisi OT vengono attivati quando i sensori di rete OT rilevano modifiche o attività sospette nel traffico di rete che richiede attenzione.

Questo articolo descrive come configurare il sensore OT o la console di gestione locale per inoltrare avvisi ai servizi partner, ai server syslog, agli indirizzi di posta elettronica e altro ancora. Le informazioni sugli avvisi inoltrati includono dettagli come:

  • Data e ora dell'avviso
  • Motore che ha rilevato l'evento
  • Titolo dell'avviso e messaggio descrittivo
  • Gravità dell'avviso
  • Nome e indirizzo IP di origine e di destinazione
  • Rilevato traffico sospetto
  • Sensori disconnessi
  • Errori di backup remoti

Nota

L'inoltro delle regole di avviso viene eseguito solo sugli avvisi attivati dopo la creazione della regola di inoltro. Gli avvisi già presenti nel sistema prima della creazione della regola di inoltro non sono interessati dalla regola.

Prerequisiti

Creare regole di inoltro in un sensore OT

  1. Accedere al sensore OT e selezionare Inoltro nel menu >a sinistra + Crea nuova regola.

  2. Nel riquadro Aggiungi regola di inoltro immettere un nome significativo per la regola e quindi definire le condizioni e le azioni delle regole come indicato di seguito:

    Nome Descrizione
    Livello di avviso minimo Selezionare il livello di gravità minimo dell'avviso da inoltrare.

    Ad esempio, se si seleziona Minore, vengono inoltrati avvisi secondari e qualsiasi avviso superiore a questo livello di gravità.
    Qualsiasi protocollo rilevato Attivare o disattivare l'inoltro degli avvisi da tutto il traffico del protocollo o disattivare e selezionare i protocolli specifici da includere.
    Traffico rilevato da qualsiasi motore Attivare o disattivare l'attivazione degli avvisi per inoltrare gli avvisi da tutti i motori di analisi o disattivare e selezionare i motori specifici da includere.
    Azioni Selezionare il tipo di server a cui si desidera inoltrare gli avvisi e quindi definire eventuali altre informazioni necessarie per tale tipo di server.

    Per aggiungere più server alla stessa regola, selezionare + Aggiungi server e aggiungere altri dettagli.

    Per altre informazioni, vedere Configurare le azioni delle regole di inoltro degli avvisi.
  3. Al termine della configurazione della regola, selezionare Salva. La regola è elencata nella pagina Inoltro.

  4. Testare la regola creata:

    1. Selezionare il menu delle opzioni (...) per la regola> Invia messaggio di test.
    2. Passare al servizio di destinazione per verificare che le informazioni inviate dal sensore siano state ricevute.

Modificare o eliminare regole di inoltro in un sensore OT

Per modificare o eliminare una regola esistente:

  1. Accedere al sensore OT e selezionare Inoltra nel menu a sinistra.

  2. Selezionare il menu delle opzioni (...) per la regola e quindi eseguire una delle operazioni seguenti:

Creare regole di inoltro in una console di gestione locale

Per creare una regola di inoltro nella console di gestione:

  1. Accedere alla console di gestione locale e selezionare Inoltro nel menu a sinistra.

  2. Selezionare il + pulsante in alto a destra per creare una nuova regola.

  3. Nella finestra Crea regola di inoltro immettere un nome significativo per la regola e quindi definire le condizioni e le azioni delle regole come indicato di seguito:

    Nome Descrizione
    Livello di avviso minimo Nell'angolo in alto a destra della finestra di dialogo, usare l'elenco a discesa per selezionare il livello minimo di gravità dell'avviso da inoltrare.

    Ad esempio, se si seleziona Minore, vengono inoltrati avvisi secondari e qualsiasi avviso superiore a questo livello di gravità.
    Protocolli Selezionare Tutti per inoltrare gli avvisi da tutto il traffico del protocollo o selezionare Specifico per aggiungere solo protocolli specifici.
    Motori Selezionare Tutto per inoltrare gli avvisi attivati da tutti i motori di analisi dei sensori oppure selezionare Specifica per aggiungere solo motori specifici.
    Notifiche di sistema Selezionare l'opzione Segnala notifiche di sistema per notificare i sensori disconnessi o gli errori di backup remoti.
    Notifiche di avviso Selezionare l'opzione Notifiche avviso report per notificare la data e l'ora di un avviso, il titolo, la gravità, il nome e l'indirizzo IP di origine e di destinazione, il traffico sospetto e il motore che ha rilevato l'evento.
    Azioni Selezionare Aggiungi per aggiungere un'azione da applicare e immettere i valori dei parametri necessari per l'azione selezionata. Ripetere se necessario per aggiungere più azioni.

    Per altre informazioni, vedere Configurare le azioni delle regole di inoltro degli avvisi.
  4. Al termine della configurazione della regola, selezionare SALVA. La regola è elencata nella pagina Inoltro.

  5. Testare la regola creata:

    1. Nella riga della regola selezionare il pulsante test di questa regola di inoltro. Se il messaggio è stato inviato correttamente, viene visualizzata una notifica di esito positivo.
    2. Passare al sistema partner per verificare che le informazioni inviate dal sensore siano state ricevute.

Modificare o eliminare regole di inoltro in una console di gestione locale

Per modificare o eliminare una regola esistente:

  1. Accedere alla console di gestione locale e selezionare Inoltro nel menu a sinistra.

  2. Trovare la riga per la regola e quindi selezionare il pulsante Modifica o Elimina.

Configurare le azioni delle regole di inoltro degli avvisi

Questa sezione descrive come configurare le impostazioni per le azioni delle regole di inoltro supportate, in un sensore OT o nella console di gestione locale.

Azione indirizzo di posta elettronica

Configurare un'azione Email per inoltrare i dati degli avvisi all'indirizzo di posta elettronica configurato.

Nell'area Azioni immettere i dettagli seguenti:

Nome Descrizione
Server Seleziona E-mail.
Messaggio e-mail Immettere l'indirizzo di posta elettronica a cui si desidera inoltrare gli avvisi. Ogni regola supporta un singolo indirizzo di posta elettronica.
FusoOrario Selezionare il fuso orario da usare per il rilevamento degli avvisi nel sistema di destinazione.

Azioni del server Syslog

Configurare un'azione del server Syslog per inoltrare i dati degli avvisi al tipo selezionato di server Syslog.

Nell'area Azioni immettere i dettagli seguenti:

Nome Descrizione
Server Selezionare uno dei tipi di formati syslog seguenti:

- SysLOG Server (formato CEF)
- SysLOG Server (formato L edizione Enterprise F)
- Server SYSLOG (oggetto)
- Server SYSLOG (SMS)
Porta host / Immettere il nome host e la porta del server syslog
FusoOrario Selezionare il fuso orario da usare per il rilevamento degli avvisi nel sistema di destinazione.
Protocollo Supportato solo per i messaggi di testo. Selezionare TCP o UDP.
Abilitare la crittografia Supportato solo per il formato CEF. Attiva/disattiva per configurare un file di certificato di crittografia TLS, un file di chiave e una passphrase.

Le sezioni seguenti descrivono la sintassi di output syslog per ogni formato.

Campi di output del messaggio di testo Syslog

Nome Descrizione
Priorità Utente. Avviso
Message Nome della piattaforma CyberX: nome del sensore.
Avviso di Microsoft Defender per IoT: titolo dell'avviso.
Tipo: tipo di avviso. Può essere violazione del protocollo, violazione dei criteri, malware, anomalia o operativo.
Gravità: gravità dell'avviso. Può essere Avviso, Secondario, Principale o Critico.
Origine: nome del dispositivo di origine.
IP di origine: indirizzo IP del dispositivo di origine.
Protocollo (facoltativo): protocollo di origine rilevato.
Indirizzo (facoltativo): indirizzo del protocollo di origine.
Destinazione: nome del dispositivo di destinazione.
IP di destinazione: indirizzo IP del dispositivo di destinazione.
Protocollo (facoltativo): protocollo di destinazione rilevato.
Indirizzo (facoltativo): indirizzo del protocollo di destinazione.
Messaggio: messaggio dell'avviso.
Gruppo di avvisi: gruppo di avvisi associato all'avviso.
UUID (facoltativo): UUID dell'avviso.

Campi di output dell'oggetto Syslog

Nome Descrizione
Priorità User.Alert
Data e ora Data e ora in cui il computer del server syslog ha ricevuto le informazioni.
Hostname (Nome host) IP del sensore
Message Nome sensore: nome dell'appliance.
Ora avviso: ora in cui è stato rilevato l'avviso: può variare dall'ora del computer del server syslog e dipende dalla configurazione del fuso orario della regola di inoltro.
Titolo avviso: titolo dell'avviso.
Messaggio di avviso: messaggio dell'avviso.
Gravità dell'avviso: gravità dell'avviso: avviso, minore, principale o critico.
Tipo di avviso: violazione del protocollo, violazione dei criteri, malware, anomalia o operativo.
Protocollo: protocollo dell'avviso.
Source_MAC: indirizzo IP, nome, fornitore o sistema operativo del dispositivo di origine.
Destination_MAC: indirizzo IP, nome, fornitore o sistema operativo della destinazione. Se mancano dati, il valore è N/A.
alert_group: gruppo di avvisi associato all'avviso.

Campi di output CEF syslog

Nome Descrizione
Priorità User.Alert
Data e ora Data e ora in cui il sensore ha inviato le informazioni, in formato UTC
Hostname (Nome host) Nome host del sensore
Message CEF:0
Microsoft Defender per IoT/CyberX
Nome sensore
Versione del sensore
Avviso di Microsoft Defender per IoT
Titolo avviso
Indicazione integer di gravità. 1=Avviso, 4=Minore, 8=Maggiore o 10=Critico.
msg= Messaggio dell'avviso.
protocol= Protocollo dell'avviso.
severity= Warning, Minor, Major o Critical.
type= Violazione del protocollo, Violazione dei criteri, Malware, Anomalia o Operativo.
UUID= UUID dell'avviso (facoltativo)
start= Ora in cui è stato rilevato l'avviso.
Può variare a seconda dell'ora del computer del server syslog e dipende dalla configurazione del fuso orario della regola di inoltro.
src_ip= indirizzo IP del dispositivo di origine. (Facoltativo)
src_mac= indirizzo MAC del dispositivo di origine. (Facoltativo)
dst_ip= indirizzo IP del dispositivo di destinazione. (Valore facoltativo)
dst_mac= indirizzo MAC del dispositivo di destinazione. (Valore facoltativo)
cat= Gruppo di avvisi associato all'avviso.

Campi di output Syslog L edizione Enterprise F

Nome Descrizione
Priorità User.Alert
Data e ora Data e ora in cui il sensore ha inviato le informazioni, in formato UTC
Hostname (Nome host) IP del sensore
Message Nome sensore: nome dell'appliance Microsoft Defender per IoT.
L edizione Enterprise F:1.0
Microsoft Defender per IoT
Sensore
Versione del sensore
Avviso di Microsoft Defender per IoT
title: titolo dell'avviso.
msg: messaggio dell'avviso.
protocollo: protocollo dell'avviso.
gravità: avviso, secondario, principale o critico.
type: tipo di avviso: Violazione del protocollo, Violazione dei criteri, Malware, Anomalia o Operativo.
start: ora dell'avviso. Potrebbe essere diverso dall'ora del computer del server syslog e dipende dalla configurazione del fuso orario.
src_ip: indirizzo IP del dispositivo di origine.
dst_ip: indirizzo IP del dispositivo di destinazione.
cat: gruppo di avvisi associato all'avviso.

Azione del server webhook

Supportato solo dalla console di gestione locale

Configurare un'azione webhook per configurare un'integrazione che sottoscrive gli eventi di avviso di Defender per IoT. Ad esempio, inviare dati di avviso a un server webhook per aggiornare un sistema SIEM esterno, un sistema SOAR o un sistema di gestione degli eventi imprevisti.

Dopo aver configurato gli avvisi da inoltrare a un server webhook e viene attivato un evento di avviso, la console di gestione locale invia un payload HTTP POST all'URL del webhook configurato.

Nell'area Azioni immettere i dettagli seguenti:

Nome Descrizione
Server Selezionare Webhook.
URL Immettere l'URL del server webhook.
Chiave/Valore Immettere coppie chiave/valore per personalizzare l'intestazione HTTP in base alle esigenze. I caratteri supportati includono:
- Le chiavi possono contenere solo lettere, numeri, trattini e caratteri di sottolineatura.
- I valori possono contenere solo uno spazio iniziale e/o finale.

Webhook esteso

Supportato solo dalla console di gestione locale

Configurare un'azione estesa webhook per inviare i dati aggiuntivi seguenti al server webhook:

  • sensorID
  • sensorName
  • Idarea
  • zoneName
  • Siteid
  • siteName
  • sourceDeviceAddress
  • destinationDeviceAddress
  • correzioneSteps
  • Gestito
  • additionalInformation

Nell'area Azioni immettere i dettagli seguenti:

Nome Descrizione
Server Selezionare Webhook esteso.
URL Immettere l'URL dei dati dell'endpoint.
Chiave/Valore Immettere coppie chiave/valore per personalizzare l'intestazione HTTP in base alle esigenze. I caratteri supportati includono:
- Le chiavi possono contenere solo lettere, numeri, trattini e caratteri di sottolineatura.
- I valori possono contenere solo uno spazio iniziale e/o finale.

Azione NetWitness

Configurare un'azione NetWitness per inviare informazioni sugli avvisi a un server NetWitness.

Nell'area Azioni immettere i dettagli seguenti:

Nome Descrizione
Server Selezionare NetWitness.
Nome host/Porta Immettere il nome host e la porta del server NetWitness.
Fuso orario Immettere il fuso orario che si vuole usare nel timestamp per il rilevamento degli avvisi nel siem.

Configurare le regole di inoltro per le integrazioni dei partner

È possibile integrare Defender per IoT con un servizio partner per inviare informazioni sull'inventario di avvisi o dispositivi a un altro sistema di gestione dei dispositivi o di sicurezza o per comunicare con i firewall lato partner.

Le integrazioni dei partner possono aiutare a colmare le soluzioni di sicurezza precedentemente silocate, migliorare la visibilità dei dispositivi e accelerare la risposta a livello di sistema per attenuare più rapidamente i rischi.

In questi casi, usare azioni supportate per immettere le credenziali e altre informazioni necessarie per comunicare con i servizi partner integrati.

Per altre informazioni, vedi:

Configurare gruppi di avvisi nei servizi partner

Quando si configurano le regole di inoltro per inviare dati di avviso a server Syslog, QRadar e ArcSight, i gruppi di avvisi vengono applicati automaticamente e sono disponibili in tali server partner.

I gruppi di avvisi aiutano i team SOC a usare queste soluzioni partner per gestire gli avvisi in base ai criteri di sicurezza aziendali e alle priorità aziendali. Ad esempio, gli avvisi relativi ai nuovi rilevamenti sono organizzati in un gruppo di individuazione , che include tutti gli avvisi relativi a nuovi dispositivi, VLAN, account utente, indirizzi MAC e altro ancora.

I gruppi di avvisi vengono visualizzati nei servizi partner con i prefissi seguenti:

Prefisso Servizio partner
cat QRadar, ArcSight, Syslog CEF, Syslog L edizione Enterprise F
Alert Group Messaggi di testo Syslog
alert_group Oggetti Syslog

Per usare i gruppi di avvisi nell'integrazione, assicurarsi di configurare i servizi partner per visualizzare il nome del gruppo di avvisi.

Per impostazione predefinita, gli avvisi vengono raggruppati come segue:

  • Comportamento di comunicazione anomalo
  • Avvisi personalizzati
  • Accesso remoto
  • Comportamento anomalo della comunicazione HTTP
  • Individuazione
  • Comandi di riavvio e arresto
  • Autenticazione
  • Modifica del firmware
  • Scansione
  • Comportamento di comunicazione non autorizzato
  • Comandi non validi
  • Traffico del sensore
  • Anomalie della larghezza di banda
  • Accesso a Internet
  • Sospetto di malware
  • Overflow del buffer
  • Errori dell'operazione
  • Sospetto di attività dannose
  • Errori dei comandi
  • Problemi operativi
  • Modifiche di configurazione
  • Programmazione

Per altre informazioni e per creare gruppi di avvisi personalizzati, contattare supporto tecnico Microsoft.

Risolvere i problemi relativi alle regole di inoltro

Se le regole di avviso di inoltro non funzionano come previsto, controllare i dettagli seguenti:

  • Convalida del certificato. Le regole di inoltro per Syslog CEF, Microsoft Sentinel e QRadar supportano la crittografia e la convalida dei certificati.

    Se i sensori OT o la console di gestione locale sono configurati per convalidare i certificati e il certificato non può essere verificato, gli avvisi non vengono inoltrati.

    In questi casi, il sensore o la console di gestione locale è il client e l'iniziatore della sessione. I certificati vengono in genere ricevuti dal server o usano la crittografia asimmetrica, in cui viene fornito un certificato specifico per configurare l'integrazione.

  • Regole di esclusione degli avvisi. Se nella console di gestione locale sono configurate regole di esclusione, i sensori potrebbero ignorare gli avvisi che si sta tentando di inoltrare. Per altre informazioni, vedere Creare regole di esclusione degli avvisi in una console di gestione locale.

Passaggi successivi