Visualizzare e gestire gli avvisi dal portale di Azure
Gli avvisi di Microsoft Defender per IoT migliorano la sicurezza e le operazioni di rete con dettagli in tempo reale sugli eventi registrati nella rete. Questo articolo descrive come gestire gli avvisi di Microsoft Defender per IoT sui portale di Azure, inclusi gli avvisi generati dai sensori di rete OT ed Enterprise IoT.
Gli avvisi OT sono disponibili anche in ogni console del sensore di rete OT o in una console di gestione locale connessa
Eseguire l'integrazione con Microsoft Sentinel per visualizzare gli avvisi di Defender per IoT in Microsoft Sentinel e gestirli insieme agli eventi imprevisti di sicurezza.
Se è attivata la sicurezzaIoT aziendale in Microsoft Defender XDR, gli avvisi per i dispositivi IoT aziendali rilevati da Microsoft Defender per endpoint sono disponibili solo in Defender per endpoint.
Per altre informazioni, vedere Protezione dei dispositivi IoT nell'organizzazione e coda avvisi in Microsoft Defender XDR.
Prerequisiti
Per ricevere avvisi in Defender per IoT, è necessario avere un onboarding OT e lo streaming di dati di rete in Defender per IoT.
Per visualizzare gli avvisi sul portale di Azure, è necessario avere accesso come lettore di sicurezza, Amministrazione di sicurezza, collaboratore o proprietario
Per gestire gli avvisi nella portale di Azure, è necessario avere accesso come Amministrazione di sicurezza, collaboratore o proprietario. Le attività di gestione degli avvisi includono la modifica dei relativi stati o gravità, l'apprendimento di un avviso, l'accesso ai dati PCAP o l'uso di regole di eliminazione degli avvisi.
Per altre informazioni, vedere Ruoli utente e autorizzazioni di Azure per Defender per IoT.
Visualizzare gli avvisi nel portale di Azure
In Defender per IoT nella portale di Azure selezionare la pagina Avvisi a sinistra. Per impostazione predefinita, nella griglia vengono visualizzati i dettagli seguenti:
Colonna Descrizione Gravità Gravità dell'avviso predefinita assegnata dal sensore che è possibile modificare in base alle esigenze. Nome Titolo dell'avviso. Sito Sito associato al sensore che ha rilevato l'avviso, come indicato nella pagina Siti e sensori . Motore Motore di rilevamento di Defender per IoT che ha rilevato l'attività e ha attivato l'avviso.
Nota: un valore di Micro-agent indica che l'evento è stato attivato dalla piattaforma Defender per IoT Device Builder .Ultimo rilevamento Ultima volta che è stato rilevato l'avviso.
- Se lo stato di un avviso è Nuovo e lo stesso traffico viene visualizzato di nuovo, l'ora dell'ultimo rilevamento viene aggiornata per lo stesso avviso.
- Se lo stato dell'avviso è Chiuso e il traffico viene visualizzato di nuovo, l'ora dell'ultimo rilevamento non viene aggiornata e viene attivato un nuovo avviso.Stato Stato dell'avviso: Nuovo, Attivo, Chiuso
Per altre informazioni, vedere Stato degli avvisi e opzioni di valutazione.Dispositivo di origine L'indirizzo IP, l'indirizzo MAC o il nome del dispositivo in cui il traffico che ha attivato l'avviso ha avuto origine. Tattiche La fase MITRE ATT&CK. Per visualizzare altri dettagli, selezionare il pulsante Modifica colonne.
Nel riquadro Modifica colonne a destra selezionare Aggiungi colonna e una delle colonne aggiuntive seguenti:
Colonna Descrizione Indirizzo del dispositivo di origine Indirizzo IP del dispositivo di origine. Indirizzo del dispositivo di destinazione Indirizzo IP del dispositivo di destinazione. Dispositivo di destinazione Indirizzo IP o MAC di destinazione o nome del dispositivo di destinazione. Primo rilevamento La prima volta che l'avviso è stato rilevato nella rete. ID ID avviso univoco, allineato all'ID nella console del sensore.
Nota: se l'avviso è stato unito ad altri avvisi provenienti da sensori che hanno rilevato lo stesso avviso, il portale di Azure visualizza l'ID avviso del primo sensore che ha generato gli avvisi.Ultima attività L'ultima volta che l'avviso è stato modificato, inclusi gli aggiornamenti manuali per gravità o stato, o modifiche automatiche per gli aggiornamenti del dispositivo o la deduplicazione degli avvisi o del dispositivo Protocollo Il protocollo rilevato nel traffico di rete per l'avviso. Sensor Sensore che ha rilevato l'avviso. Zona Zona assegnata al sensore che ha rilevato l'avviso. Categoria Categoria associata all'avviso, ad esempio problemi operativi, avvisi personalizzati o comandi non validi. Type Nome interno dell'avviso.
Suggerimento
Se vengono visualizzati più avvisi del previsto, è possibile creare regole di eliminazione per impedire l'attivazione degli avvisi per l'attività di rete legittima. Per altre informazioni, vedere Eliminare gli avvisi irrilevanti.
Filtrare gli avvisi visualizzati
Usare le opzioni Cerca , Intervallo di tempo e Aggiungi filtro per filtrare gli avvisi visualizzati in base a parametri specifici o per individuare un avviso specifico.
Ad esempio, filtrare gli avvisi in base alla categoria:
Avvisi di gruppo visualizzati
Usare il menu Raggruppa per in alto a destra per comprimere la griglia in sottosezioni in base a parametri specifici.
Ad esempio, mentre il numero totale di avvisi viene visualizzato sopra la griglia, è possibile che si desiderino informazioni più specifiche sulla scomposizione del numero di avvisi, ad esempio il numero di avvisi con una gravità, un protocollo o un sito specifici.
Le opzioni di raggruppamento supportate includono Motore, Nome, Sensore, Gravità e Sito.
Visualizzare i dettagli e correggere un avviso specifico
Nella pagina Avvisi selezionare un avviso nella griglia per visualizzare altri dettagli nel riquadro a destra. Il riquadro dei dettagli dell'avviso include la descrizione dell'avviso, l'origine del traffico e la destinazione e altro ancora.
Selezionare Visualizza dettagli completi per eseguire il drill-down. Ad esempio:
La pagina dei dettagli dell'avviso fornisce altri dettagli sull'avviso e un set di passaggi di correzione nella scheda Esegui azione . Per esempio:
Gestire la gravità e lo stato dell'avviso
È consigliabile aggiornare la gravità dell'avviso in Defender per IoT nel portale di Azure non appena si è triage un avviso in modo che sia possibile classificare in ordine di priorità gli avvisi più rischiosi il prima possibile. Assicurarsi di aggiornare lo stato dell'avviso dopo aver eseguito i passaggi di correzione in modo che lo stato di avanzamento venga registrato.
È possibile aggiornare sia la gravità che lo stato per un singolo avviso o per una selezione di avvisi in blocco.
Informazioni su un avviso per indicare a Defender per IoT che il traffico di rete rilevato è autorizzato. Gli avvisi appresi non vengono attivati di nuovo alla successiva individuazione dello stesso traffico nella rete. L'apprendimento è supportato solo per gli avvisi selezionati e unlearning è supportato solo dal sensore di rete OT.
Per altre informazioni, vedere Stato degli avvisi e opzioni di valutazione.
Per gestire un singolo avviso:
- In Defender per IoT nella portale di Azure selezionare la pagina Avvisi a sinistra e quindi selezionare un avviso nella griglia.
- Nel riquadro dei dettagli a destra o in una pagina dei dettagli dell'avviso selezionare il nuovo stato e/o la gravità.
Per gestire più avvisi in blocco:
- In Defender per IoT nella portale di Azure selezionare la pagina Avvisi a sinistra e quindi selezionare gli avvisi nella griglia da modificare.
- Usare le opzioni Modifica stato e/o Modifica gravità nella barra degli strumenti per aggiornare lo stato e/o la gravità per tutti gli avvisi selezionati.
Per informazioni su uno o più avvisi:
In Defender per IoT nella portale di Azure selezionare la pagina Avvisi a sinistra e quindi eseguire una delle operazioni seguenti:
- Selezionare uno o più avvisi learnable nella griglia e quindi selezionare Learn (Learn ) sulla barra degli strumenti.
- In una pagina dei dettagli dell'avviso per un avviso appreso, nella scheda Azione di esecuzione selezionare Learn.
Accedere ai dati PCAP degli avvisi
È possibile accedere ai file di traffico non elaborati, noti anche come file di acquisizione di pacchetti o file PCAP come parte dell'indagine. Se si è un tecnico della sicurezza SOC o OT, accedere ai file PCAP direttamente dal portale di Azure per facilitare l'analisi più rapida.
Per accedere ai file di traffico non elaborati per l'avviso, selezionare Scarica PCAP nell'angolo superiore sinistro della pagina dei dettagli dell'avviso.
Ad esempio:
Il portale richiede il file dal sensore che ha rilevato l'avviso e lo scarica nell'archiviazione di Azure.
Il download del file PCAP può richiedere alcuni minuti, a seconda della qualità della connettività del sensore.
Esportare gli avvisi in un file CSV
È possibile esportare una selezione di avvisi in un file CSV per la condivisione e la creazione di report offline.
In Defender per IoT nella portale di Azure selezionare la pagina Avvisi a sinistra.
Usare la casella di ricerca e le opzioni di filtro per visualizzare solo gli avvisi da esportare.
Nella barra degli strumenti sopra la griglia selezionare Esporta>conferma.
Il file viene generato e viene richiesto di salvarlo in locale.