Отслеживание активности сети и датчика с помощью временная шкала события

  • Статья

Активность, обнаруженная датчиками Microsoft Defender для Интернета вещей, записывается в временная шкала события. Действия включают оповещения и действия по управлению оповещениями, сетевые события и операции пользователей, такие как вход или удаление пользователей.

Временная шкала событий датчика OT предоставляет хронологическое представление и контекст всех сетевых действий, помогая определить причину и последствия инцидентов. Представление временная шкала позволяет легко извлекать сведения из сетевых событий и более эффективно анализировать оповещения и события, наблюдаемые в сети. Благодаря возможности хранения больших объемов данных представление событий временная шкала может стать ценным ресурсом для групп безопасности, чтобы выполнить исследования и получить более глубокое представление о сетевой активности.

Используйте временная шкала события во время расследования, чтобы понять и проанализировать цепочку событий, которые предшествовали и последовали за атакой или инцидентом. Централизованное представление нескольких событий, связанных с безопасностью, на одном временная шкала помогает выявлять закономерности и корреляции, а также позволяет группам безопасности быстро оценивать влияние инцидентов и реагировать соответствующим образом.

Дополнительные сведения см. в разделе:

Разрешения

Перед выполнением процедур, описанных в этой статье, убедитесь, что у вас есть доступ к датчику OT в качестве Администратор или роли аналитика безопасности. Дополнительные сведения см. в статье Локальные пользователи и роли для мониторинга OT с помощью Defender для Интернета вещей.

Просмотр временной шкалы событий

  1. Войдите в консоль датчика и выберите Временная шкала событий в меню слева.

  2. При необходимости просмотрите и отфильтруйте события .

  3. Выберите строку события, чтобы просмотреть сведения о событии в области справа, где также можно отфильтровать события связанных устройств. Фильтр Пользовательские операции включен по умолчанию. Вы можете скрыть или отобразить события пользователя по мере необходимости.

    Например:

    Снимок экрана: события на временная шкала события.

Вы также можете просмотреть события временная шкала определенного устройства из инвентаризации устройств.

Чтобы просмотреть временная шкала событий определенного устройства, выполните следующие действия.

  1. В консоли датчика перейдите в раздел Инвентаризация устройств.

  2. Выберите конкретное устройство, чтобы открыть область сведений об устройстве, а затем выберите Просмотреть полные сведения , чтобы открыть страницу свойств устройства.

  3. Выберите вкладку Временная шкала события, чтобы просмотреть все события, связанные с этим устройством, и отфильтровать события по мере необходимости.

    Например:

    Снимок экрана: вкладка временная шкала события на странице свойств устройства.

Фильтрация событий в временная шкала

  1. На странице временная шкала событий выберите Добавить фильтр, чтобы указать отображаемые события.

  2. Выберите тип фильтра. Используйте любой из следующих параметров для фильтрации отображаемых устройств:

    Тип Описание
    Пользовательские операции Этот фильтр включен по умолчанию. Выберите отображение или скрытие событий операций пользователя.
    Дата Поиск событий в определенном диапазоне дат.
    Группа устройств Фильтрация конкретных устройств по группам в соответствии с определением на карте устройств.
    Серьезность события Отображение только оповещений, оповещений и уведомлений или всех событий.
    Исключить устройства Найдите и отфильтруйте устройства, которые вы хотите исключить.
    Включение устройств Найдите и отфильтруйте устройства, которые вы хотите включить.
    Исключение типов событий Поиск и фильтрация определенных типов событий для исключения.
    Включить типы событий Поиск и фильтрация определенных типов событий для включения.
    Ключевые слова Фильтрация событий по определенным ключевым словам.

  3. Нажмите кнопку Применить , чтобы задать фильтр.

Экспорт временная шкала события в CSV-файл

Вы можете экспортировать события временная шкала в CSV-файл, при этом экспортированные данные соответствуют любым фильтрам, применяемым при экспорте.

Чтобы экспортировать временная шкала события:

На странице Event временная шкала выберите Экспорт в верхнем меню, чтобы экспортировать временная шкала события в CSV-файл.

Создание события

Помимо просмотра событий, обнаруженных датчиком, можно вручную добавить события на временную шкалу. Этот процесс полезен, если внешнее системное событие влияет на сеть и вы хотите записать его на временной шкале.

  1. На странице Временная шкала события выберите Создать событие.

  2. В диалоговом окне Создание события добавьте следующие сведения о событии:

    • Type. Укажите тип события (Сведения, Уведомление или Оповещение).

    • Timestamp. Задайте дату и время события.

    • Устройство. Выберите устройство, с которым должно быть подключено событие.

    • Описание. Укажите описание события.

  3. Нажмите кнопку Сохранить, чтобы добавить событие на временную шкалу.

Например:

Снимок экрана: создание нового события в временная шкала.

Емкость временная шкала событий

Объем данных, которые могут храниться в событии временная шкала, зависит от различных факторов, таких как размер сети, частота событий и емкость хранилища датчика. Данные, хранящиеся в временная шкала события, могут включать сведения о сетевом трафике, событиях безопасности и других соответствующих точках данных.

Максимальное число событий, отображаемых в временная шкала события, зависит от профиля оборудования, выбранного во время установки датчика. Каждый профиль оборудования имеет максимальную емкость событий. Дополнительные сведения о максимальной емкости событий для каждого профиля оборудования см. в разделе Хранение событий OT временная шкала.

Дальнейшие действия

Дополнительные сведения см. в разделе: