Azure portalından uyarıları görüntüleme ve yönetme
IoT için Microsoft Defender uyarıları, ağınızda günlüğe kaydedilen olaylar hakkındaki gerçek zamanlı ayrıntılarla ağ güvenliğinizi ve işlemlerinizi geliştirir. Bu makalede, OT ve Enterprise IoT ağ algılayıcıları tarafından oluşturulan uyarılar da dahil olmak üzere Azure portalında IoT için Microsoft Defender uyarılarının nasıl yönetileceğini açıklar.
OT uyarıları her OT ağ algılayıcı konsolunda veya bağlı bir şirket içi yönetim konsolunda da kullanılabilir
Microsoft Sentinel'de IoT için Defender uyarılarını görüntülemek ve bunları güvenlik olaylarıyla birlikte yönetmek için Microsoft Sentinel ile tümleştirin.
Microsoft Defender XDR'de Kurumsal IoT güvenliği açıksa, Uç Nokta için Microsoft Defender tarafından algılanan Kurumsal IoT cihazlarına yönelik uyarılar yalnızca Uç Nokta için Defender'da kullanılabilir.
Daha fazla bilgi için bkz . Kuruluştaki IoT cihazlarının güvenliğini sağlama ve Microsoft Defender XDR'de Uyarılar kuyruğu.
Önkoşullar
IoT için Defender'da uyarıların olması için, ioT için Defender'a eklenen bir OT ve ağ veri akışına sahip olmanız gerekir.
Azure portalında uyarıları görüntülemek için Güvenlik Okuyucusu, Güvenlik Yöneticisi, Katkıda Bulunan veya Sahip olarak erişiminiz olmalıdır
Azure portalında uyarıları yönetmek için Güvenlik Yöneticisi, Katkıda Bulunan veya Sahip olarak erişiminiz olmalıdır. Uyarı yönetimi etkinlikleri, durumlarını veya önem derecelerini değiştirmeyi, uyarı öğrenmeyi , PCAP verilerine erişmeyi veya uyarı engelleme kurallarını kullanmayı içerir.
Daha fazla bilgi için bkz . IoT için Defender için Azure kullanıcı rolleri ve izinleri.
Azure portalında uyarıları görüntüleme
Azure portalında IoT için Defender'da soldaki Uyarılar sayfasını seçin. Varsayılan olarak, kılavuzda aşağıdaki ayrıntılar gösterilir:
Sütun Açıklama Önem Derecesi Algılayıcı tarafından gerektiği gibi değiştirebileceğiniz önceden tanımlanmış bir uyarı önem derecesi. Ad Uyarı başlığı. Tesis Siteler ve algılayıcılar sayfasında listelenen uyarıyı algılayan algılayıcıyla ilişkili site. Motor Etkinliği algılayan ve uyarıyı tetikleyen IoT için Defender algılama altyapısı .
Not: Mikro aracı değeri, olayın IoT için Defender Cihaz Oluşturucusu platformu tarafından tetiklendiğini gösterir.Son algılama Uyarının en son algılandığı zaman.
- Uyarının durumu Yeni ise ve aynı trafik yeniden görülüyorsa, aynı uyarı için Son algılama zamanı güncelleştirilir.
- Uyarının durumu Kapalı ise ve trafik yeniden görülüyorsa, Son algılama zamanı güncelleştirilmez ve yeni bir uyarı tetikler.
Not: Algılayıcı konsolu bir uyarının Son algılama alanını gerçek zamanlı olarak görüntülerken, Azure portalında IoT için Defender'ın güncelleştirilmiş zamanı görüntülemesi bir saat kadar sürebilir. Bu, algılayıcı konsolundaki son algılama süresinin Azure portalındaki son algılama zamanıyla aynı olmadığı bir senaryoyu açıklar.Statü Uyarı durumu: Yeni, Etkin, Kapalı
Daha fazla bilgi için bkz . Uyarı durumları ve önceliklendirme seçenekleri.Kaynak cihaz UYARıyı tetikleyen trafiğin kaynaklandığı IP adresi, MAC adresi veya cihazın adı. Taktik MITRE ATT&CK aşaması. Diğer ayrıntıları görüntülemek için Sütunları düzenle düğmesini seçin.
Sağdaki Sütunları düzenle bölmesinde Sütun Ekle'yi ve aşağıdaki ek sütunlardan herhangi birini seçin:
Sütun Açıklama Kaynak cihaz adresi Kaynak cihazın IP adresi. Hedef cihaz adresi Hedef cihazın IP adresi. Hedef cihaz Hedef IP veya MAC adresi ya da hedef cihaz adı. İlk algılama Uyarı ağda ilk kez algılandı. Kimlik Algılayıcı konsolundaki kimlikle uyumlu benzersiz uyarı kimliği.
Not: Uyarı, aynı uyarıyı algılayan algılayıcılardan gelen diğer uyarılarla birleştirildiyse, Azure portalı uyarıları oluşturan ilk algılayıcının uyarı kimliğini görüntüler.Son etkinlik Önem derecesi veya durum için el ile yapılan güncelleştirmeler ya da cihaz güncelleştirmeleri ya da cihaz/uyarı yinelenenleri kaldırma için otomatik değişiklikler de dahil olmak üzere uyarının en son değiştirildiği zaman Protokol Uyarının ağ trafiğinde algılanan protokol. Sensör Uyarıyı algılayan algılayıcı. Bölge Uyarıyı algılayan algılayıcıya atanan bölge. Kategori İşletimsel sorunlar, özel uyarılar veya geçersiz komutlar gibi uyarıyla ilişkili kategori. Tür Uyarının iç adı.
İpucu
Beklenenden daha fazla uyarı görüyorsanız, geçerli ağ etkinliği için uyarıların tetiklenmesini önlemek için gizleme kuralları oluşturmak isteyebilirsiniz. Daha fazla bilgi için bkz . Ilgisiz uyarıları gizleme.
Görüntülenen uyarıları filtrele
Belirli parametrelerle görüntülenen uyarıları filtrelemek veya belirli bir uyarıyı bulmanıza yardımcı olmak için Arama kutusunu, Zaman aralığı ve Filtre seçenekleri ekle'yi kullanın.
Örneğin, uyarıları Kategoriye göre filtreleyin:
Görüntülenen grup uyarıları
Kılavuzu belirli parametrelere göre alt bölümlere daraltmak için sağ üstteki Gruplandırma ölçütü menüsünü kullanın.
Örneğin, kılavuzun üzerinde toplam uyarı sayısı görünürken, belirli bir önem derecesine, protokole veya siteye sahip uyarıların sayısı gibi uyarı sayısı dökümü hakkında daha ayrıntılı bilgiler isteyebilirsiniz.
Desteklenen gruplandırma seçenekleri: Altyapı, Ad, Algılayıcı, Önem Derecesi ve Site.
Ayrıntıları görüntüleme ve belirli bir uyarıyı düzeltme
Uyarılar sayfasında, sağdaki bölmede daha fazla ayrıntı görüntülemek için kılavuzda bir uyarı seçin. Uyarı ayrıntıları bölmesi uyarı açıklamasını, trafik kaynağını ve hedefini ve daha fazlasını içerir.
Detaya gitmek için Tüm ayrıntıları görüntüle'yi seçin. Örneğin:
Uyarı ayrıntıları sayfasında uyarı hakkında daha fazla ayrıntı ve Eylem gerçekleştir sekmesinde bir düzeltme adımları kümesi sağlanır. Mesela:
Uyarı önem derecesini ve durumunu yönetme
En riskli uyarıları en kısa sürede önceliklendirebilmeniz için bir uyarıyı önceliklendirdiğiniz anda Azure portalında IoT için Defender'da uyarı önem derecesini güncelleştirmenizi öneririz. İlerlemenin kaydedilmesi için düzeltme adımlarını gerçekleştirdikten sonra uyarı durumunuzu güncelleştirdiğinizden emin olun.
Tek bir uyarı için veya bir uyarı seçimi için hem önem derecesini hem de durumunu toplu olarak güncelleştirebilirsiniz.
IoT için Defender'a algılanan ağ trafiğinin yetkilendirildiğini belirten bir uyarı öğrenin . Öğrenilen uyarılar, ağınızda aynı trafik bir sonraki algılandığında yeniden tetiklenmiyor. Öğrenme yalnızca seçili uyarılar için desteklenir ve öğrenmeyi kaldırma yalnızca OT ağ algılayıcısından desteklenir.
Daha fazla bilgi için bkz . Uyarı durumları ve önceliklendirme seçenekleri.
Tek bir uyarıyı yönetmek için:
- Azure portalında IoT için Defender'da, soldaki Uyarılar sayfasını seçin ve ardından kılavuzda bir uyarı seçin.
- Sağ taraftaki ayrıntılar bölmesinde veya uyarı ayrıntıları sayfasının kendisinde yeni durumu ve/veya önem derecesini seçin.
Birden çok uyarıyı toplu olarak yönetmek için:
- Azure portalında IoT için Defender'da, soldaki Uyarılar sayfasını seçin ve ardından kılavuzda değiştirmek istediğiniz uyarıları seçin.
- Seçili tüm uyarıların durumunu ve/veya önem derecesini güncelleştirmek için araç çubuğundaki Durumu değiştir ve/veya Önem derecesini değiştir seçeneklerini kullanın.
Bir veya daha fazla uyarıyı öğrenmek için:
Azure portalında IoT için Defender'da, sol taraftaki Uyarılar sayfasını seçin ve aşağıdakilerden birini yapın:
- Kılavuzda bir veya daha fazla öğrenilebilir uyarı seçin ve ardından araç çubuğundan Öğren'i seçin.
- Öğrenilebilir bir uyarının uyarı ayrıntıları sayfasında, Eyleme Geç sekmesinde Öğren'i seçin.
Uyarı PCAP verilerine erişme
Araştırmanızın bir parçası olarak paket yakalama dosyaları veya PCAP dosyaları olarak da bilinen ham trafik dosyalarına erişmek isteyebilirsiniz. SOC veya OT güvenlik mühendisiyseniz daha hızlı araştırmanıza yardımcı olmak için PCAP dosyalarına doğrudan Azure portalından erişin.
Uyarınızın ham trafik dosyalarına erişmek için uyarı ayrıntıları sayfanızın sol üst köşesindeki PCAP'yi İndir'i seçin.
Örneğin:
Portal, uyarıyı algılayan algılayıcıdan dosyayı talep eder ve Azure depolama alanınıza indirir.
ALGıLAYıCı bağlantınızın kalitesine bağlı olarak PCAP dosyasının indirilmesi birkaç dakika sürebilir.
Uyarıları CSV dosyasına aktarma
Çevrimdışı paylaşım ve raporlama için bir CSV dosyasına çeşitli uyarıları dışarı aktarmak isteyebilirsiniz.
Azure portalında IoT için Defender'da soldaki Uyarılar sayfasını seçin.
Yalnızca dışarı aktarmak istediğiniz uyarıları göstermek için arama kutusunu ve filtre seçeneklerini kullanın.
Kılavuzun üstündeki araç çubuğunda Dışarı Aktar>Onayla'yı seçin.
Dosya oluşturulur ve yerel olarak kaydetmeniz istenir.