Исследование инцидентов и оповещений
Microsoft Defender для Интернета вещей на портале Microsoft Defender отображает инциденты и оповещения, которые повышают безопасность сети и повышают эффективность операций с помощью сведений о событиях, зарегистрированных в сети операционной технологии (OT).
Оповещения лежат в основе всех инцидентов и указывают на возникновение вредоносных или подозрительных событий в вашей среде. В инциденте вы анализируете оповещения, влияющие на вашу сеть, понимаете, что они означают, и собираете доказательства, чтобы можно было разработать эффективный план исправления.
Дополнительные сведения об оповещениях и инцидентах см. на портале Defender.
Из этой статьи вы узнаете, как исследовать инцидент Microsoft Defender для Интернета вещей и связанные с ним оповещения, а также как устранить проблемы безопасности, вызванные оповещением.
Оповещения на странице Инциденты уникальным образом объединяют сигналы среды ИТ и OT для обнаружения потенциальных угроз и утечек данных. На странице Инциденты отображается:
- Журнал оповещений, связанных с инцидентом, и граф инцидентов. На диаграмме показаны другие устройства, подключенные к затронутму устройству OT, которые также могут быть скомпрометированы.
- Описания оповещений, в которых объясняется тип обнаруженной проблемы с безопасностью.
- Варианты исправления для решения проблемы безопасности.
Примечание.
Данные об инцидентах и оповещениях для Defender для Интернета вещей отображаются только после настройки сайта и отправки данных на портал Defender устройствами. Узнайте, как настроить сайт.
Важно!
В этой статье рассматривается Microsoft Defender для Интернета вещей на портале Defender (предварительная версия).
Если вы уже являетесь клиентом, работающим на классическом портале Defender для Интернета вещей (портал Azure), ознакомьтесь с документацией по Defender для Интернета вещей в Azure.
Дополнительные сведения о порталах управления Defender для Интернета вещей.
Некоторые сведения относятся к предварительно выпущенному продукту, который может быть существенно изменен перед выпуском. Корпорация Майкрософт не дает явных или подразумеваемых гарантий относительно предоставленных здесь сведений.
Исследование оповещений
Чтобы исследовать оповещение, выполните приведенные далее действия.
В меню портала Microsoft Defender выберите Инциденты & оповещения Инциденты>.
Чтобы отобразить инциденты, связанные с OT, выполните приведенные выше действия.
- Выберите Добавить фильтр.
- Выберите Название продукта и нажмите кнопку Добавить.
- Выберите вкладку Названия продуктов и введите Defender для Интернета вещей.
- Нажмите Применить.
Найдите и выберите инцидент.
На странице конкретного инцидента показана история атаки, составленная из временной шкалы оповещений, графа инцидентов и сведений об инциденте.
Выберите оповещение из списка оповещений.
Граф инцидентов и сведения об инциденте отображают конкретные данные для этого оповещения.
На панели Инциденты просмотрите сведения, прочитайте описание оповещения, доказательства и затронутые ресурсы и следуйте рекомендациям по предупреждению, чтобы устранить проблему.
Оповещение Defender для Интернета вещей
Defender для Интернета вещей создает собственное уникальное оповещение.
| Имя | Описание |
|---|---|
| Возможное влияние на работу из-за скомпрометированного устройства | Скомпрометированное устройство взаимодействует с ресурсом операционной технологии (OT). Злоумышленник может попытаться контролировать или нарушить физические операции. |
Расширенная охота
Используйте свойство Site , указанное в таблице DeviceInfo , для написания запросов для расширенного поиска. Это позволяет фильтровать устройства по определенному сайту, например все устройства, которые взаимодействовали с вредоносными устройствами на определенном сайте.
В следующем запросе перечислены все конечные устройства с определенным IP-адресом на сайте Сан-Франциско.
DeviceInfo
|where Site == "SanFrancisco" and PublicIP == "192.168.1.1" and DeviceCategory == "Endpoint"
Это относится как к инвентаризации устройств, так и к безопасности сайта. Дополнительные сведения см. в разделах Расширенная охота и Схема DeviceInfo для расширенной охоты.