Visualización y administración de alertas en el sensor de OT
Las alertas de Microsoft Defender para IoT mejoran la seguridad de red y las operaciones con detalles en tiempo real sobre los eventos registrados en su red. Las alertas de OT se desencadenan cuando los sensores de red de OT detectan cambios o actividades sospechosas en el tráfico de red que requieren su atención.
En este artículo se describe cómo visualizar las alertas de Defender para IoT directamente en un sensor de red de OT. También puede ver las alertas de OT en Azure Portal o en una consola de administración local.
Para obtener más información, consulte Alertas de Microsoft Defender para IoT.
Requisitos previos
Para recibir alertas en el sensor de OT, debe tener un puerto SPAN configurado para el sensor y el software de supervisión de Defender para IoT instalado. Para obtener más información, consulte Instalación de software de supervisión sin agente de OT.
Para ver las alertas en el sensor de OT, inicie sesión en el sensor como un usuario Administrador, Analista de seguridad o Espectador.
Para administrar alertas en un sensor de OT, inicie sesión en el sensor como un usuario Administrador o Analista de seguridad. Las actividades de administración de alertas incluyen la modificación de sus estados o gravedades, el aprendizaje o el silenciamiento de una alerta, así como el acceso a datos de PCAP o la adición de comentarios predefinidos a una alerta.
Para obtener más información, consulte Usuarios y roles locales para la supervisión de OT con Defender para IoT.
Visualización de alertas en un sensor de OT
Inicie sesión en la consola del sensor de OT y seleccione la página Alertas a la izquierda.
De forma predeterminada, se muestran los siguientes detalles en la cuadrícula:
Nombre Descripción Gravedad Una gravedad de alerta predefinida asignada por el sensor que puede modificar según sea necesario y que puede ser: Crítica, Grave, Leve o Advertencia. Nombre Título de la alerta. Engine El motor de detección de Defender para IoT que detectó la actividad y desencadenó la alerta. Última detección La última vez que se detectó la alerta.
- Si el estado de una alerta es Nuevo y se vuelve a ver el mismo tráfico, la hora de la última detección se actualiza para la misma alerta.
- Si el estado de la alerta es Cerrado y se vuelve a ver el tráfico, la hora de la última detecciónno se actualiza y se desencadena una nueva alerta.
Nota: Aunque la consola del sensor muestra el campo Última detección de una alerta en tiempo real, Defender para IoT en Azure Portal puede tardar hasta una hora en mostrar la hora actualizada. Esto explica un escenario en el que la hora de la última detección en la consola del sensor no es la misma que la hora de la última detección en Azure Portal.Estado Estado de la alerta: Nueva, Activa, Cerrada
Para obtener más información, consulte Estados y opciones de clasificación de las alertas.Dispositivo de origen Dirección IP o MAC del dispositivo de origen o el nombre del dispositivo. Id El identificador de alerta único, alineado con el identificador en la consola del sensor.
Nota: Si la alerta se combinó con otras alertas de sensores que detectaron la misma alerta, Azure Portal muestra el identificador de alerta del primer sensor que generó las alertas.Para ver más detalles, seleccione el botón Editar columnas.
En el panel Editar columnas de la derecha, seleccione Agregar columna y cualquiera de las siguientes columnas adicionales:
Nombre Descripción Dispositivo de destino Dirección IP del dispositivo de destino. Primera detección La primera vez que se detectó la actividad de la alerta. ID Id. de la alerta Última actividad La última vez que se cambió la alerta, incluidas las actualizaciones manuales de gravedad o estado, o bien los cambios automatizados para actualizaciones de dispositivos o desduplicación de alertas o dispositivos.
Alertas de filtro mostradas
Use las opciones Buscar , Intervalo de tiempo y Agregar filtro para filtrar las alertas mostradas por parámetros específicos o ayudar a buscar una alerta específica.
Por ejemplo:
El filtrado de alertas por grupos usa cualquier grupo personalizado que haya creado en las páginas Inventario de dispositivos o Asignación de dispositivos.
Alertas de grupo mostradas
Use el menú Agrupar por en la parte superior derecha para contraer la cuadrícula en subsecciones según los parámetros Gravedad, Nombre, Motor o Estado.
Por ejemplo, aunque el número total de alertas aparece encima de la cuadrícula, puede que desee información más específica sobre el desglose del recuento de alertas, como el número de alertas con una gravedad o un estado específicos.
Visualización de detalles y corrección de una alerta específica
Inicie sesión en el sensor de OT y seleccione Alertas en el menú de la izquierda.
Seleccione una alerta en la cuadrícula para mostrar más detalles de esta en el panel de la derecha. El panel de detalles de la alerta incluye la descripción de la alerta, el origen y el destino del tráfico, etc. Seleccione Ver detalles completos para profundizar aún más. Por ejemplo:
La página de detalles de la alerta proporciona más detalles sobre la alerta y un conjunto de pasos de corrección en la pestaña Realizar acción.
Use las siguientes pestañas para obtener información más contextual:
Vista de mapa. Vea los dispositivos de origen y destino en una vista de mapa con otros dispositivos conectados al sensor.
Escala de tiempo del evento. Vea el evento junto con otra actividad reciente en los dispositivos relacionados. Filtre las opciones para personalizar los datos que se muestran. Por ejemplo:
Administración del estado de las alertas y clasificación de las alertas
Asegúrese de actualizar el estado de la alerta tras realizar los pasos de corrección para que se registre el progreso. Puede actualizar el estado de una sola alerta o de una selección de alertas en bloque.
Obtenga información sobre una alerta para indicar a Defender para IoT que está autorizado el tráfico de red detectado. Las alertas aprendidas no se desencadenarán de nuevo la próxima vez que se detecte el mismo tráfico en la red. Silencie una alerta cuando el aprendizaje no está disponible y quiere ignorar un escenario específico en la red.
Para obtener más información, consulte Estados y opciones de clasificación de las alertas.
Para administrar el estado de las alertas:
Inicie sesión en la consola del sensor de OT y seleccione la página Alertas a la izquierda.
Seleccione una o varias alertas en la cuadrícula cuyo estado quiera actualizar.
Use el botón Cambiar estado de la barra de herramientas o la opción Estado del panel de detalles de la derecha para actualizar el estado de las alertas.
La opción Estado también está disponible en la página de detalles de las alertas.
Para aprender una o varias alertas:
Inicie sesión en la consola del sensor de OT, seleccione la página Alertas a la izquierda y, después, realice una de las siguientes acciones:
- Seleccione una o varias alertas que se puedan aprender en la cuadrícula y, después, seleccione Aprender en la barra de herramientas.
- En una página de detalles de alerta, en la pestaña Realizar acción, seleccione Learn.
Para silenciar una alerta:
- Inicie sesión en la consola del sensor de OT y seleccione la página Alertas a la izquierda.
- Busque la alerta que quiere silenciar y abra su página de detalles de alerta.
- En la pestaña Realizar acción, active la opción Silenciar alerta.
Para desaprender o reactivar una alerta:
- Inicie sesión en la consola del sensor de OT y seleccione la página Alertas a la izquierda.
- Busque la alerta que ha aprendido o silenciado y abra su página de detalles de alerta.
- En la pestaña Realizar acción, desactive la opción Información de la alerta o Silenciar alerta.
Después de desaprender o reactivar una alerta, se vuelven a desencadenar alertas cada vez que el sensor detecta la combinación de tráfico seleccionada.
Acceso a los datos de PCAP de las alertas
Es posible que quiera acceder a archivos de tráfico sin procesar, también conocidos como archivos de captura de paquetes o archivos PCAP, como parte de su investigación.
Para acceder a los archivos de tráfico sin procesar de una alerta, seleccione Descargar PCAP en la esquina superior izquierda de la página de detalles de la alerta:
Por ejemplo:
El archivo PCAP se descargará y el explorador le pedirá que lo abra o lo guarde de forma local.
Exportación de alertas a archivos CSV o PDF
Es posible que desee exportar una selección de alertas en un archivo CSV o PDF para compartirlas y crear informes sin conexión.
- Exporte las alertas en un archivo CSV desde la página Alertas principal. Exporte las alertas de una en una o de forma masiva.
- Exporte las alertas en un archivo PDF solo de una en una, ya sea desde la página Alertas principal o desde una página de detalles de alerta.
Para exportar alertas en un archivo CSV:
Inicie sesión en la consola del sensor de OT y seleccione la página Alertas a la izquierda.
Use el cuadro de búsqueda y las opciones de filtro para mostrar solo las alertas que quiere exportar.
En la barra de herramientas situada encima de la cuadrícula, seleccione Exportar a CSV.
Se generará el archivo y se le pedirá que lo abra o lo guarde de forma local.
Para exportar una alerta en un archivo PDF:
Inicie sesión en la consola del sensor de OT, seleccione la página Alertas a la izquierda y, después, realice una de las siguientes acciones:
- En la página Alertas, seleccione una alerta y, después, seleccione Exportar a PDF en la barra de herramientas situada encima de la cuadrícula.
- En la página de detalles de una alerta, seleccione Exportar a PDF.
Se generará el archivo y se le pedirá que lo guarde de forma local.
Adición de comentarios a alertas
Los comentarios de alerta le ayudan a acelerar el proceso de investigación y corrección al hacer que la comunicación entre los miembros del equipo y el registro de los datos sean más eficaces.
Si su administrador ha creado comentarios personalizados para que su equipo los agregue a las alertas, agréguelos desde la sección Comentarios de una página de detalles de alerta.
Inicie sesión en la consola del sensor de OT y seleccione la página Alertas a la izquierda.
Busque la alerta a la que quiere agregar un comentario y abra la página de detalles de la alerta.
En la lista Elegir comentario, seleccione el comentario que quiere agregar y, después, seleccione Agregar. Por ejemplo:
Para más información, consulte Aceleración de los flujos de trabajo de alertas de OT.