Ver y gestionar alertas en la consola de administración local (Legado)

Importante

Defender para IoT recomienda ahora el uso de servicios en la nube de Microsoft o la infraestructura de TI existente para la supervisión central y la administración de sensores, y planea retirar la consola de administración local el 1 de enero de 2025 1 de enero de 2025.

Para obtener más información, consulte Despliegue de la administración de sensores de OT híbridos o aislados.

Las alertas de Microsoft Defender para IoT mejoran la seguridad de red y las operaciones con detalles en tiempo real sobre los eventos registrados en la red. Las alertas de OT se desencadenan cuando los sensores de red de OT detectan cambios o actividad sospechosa en el tráfico de red que necesita su atención.

En este artículo se describe cómo ver las alertas de Defender para IoT en una consola de administración local, que agrega alertas de todos los sensores de OT conectados. También puede ver las alertas de OT en el portal de Azure o en un sensor de la red OT .

Prerrequisitos

Antes de realizar los procedimientos de este artículo, asegúrese de que tiene:

• Una consola de administración local instalada, y activada y configurada. Para ver las alertas por ubicación o zona, asegúrese de que ha configurado sitios y zonas en la consola de administración local.

• Uno o varios sensores de OT instalados, configurados, activadosy conectados a la consola de administración local. Para ver las alertas por zona, asegúrese de que cada sensor está asignado a una zona específica.

• Acceso a la consola de administración local con uno de los siguientes roles de usuario :

  • Para ver las alertas de la consola de administración local, inicie sesión como un usuario de Admin, Security Analysto Viewer.

  • Para administrar alertas en la consola de administración local, inicie sesión como administrador o analista de seguridad. Las actividades de administración incluyen la confirmación o silenciación de una alerta, según el tipo de alerta.

Visualización de alertas en la consola de administración local

1. Inicie sesión en la consola de administración local y seleccione Alertas en el menú de la izquierda.

   Las alertas se muestran en una tabla sencilla, que presenta el sensor que desencadenó la alerta y los detalles de la alerta en dos columnas.

2. Seleccione una fila de alertas para expandir sus detalles completos.

3. En una fila de alerta expandida, realice cualquiera de las siguientes acciones para ver más contexto sobre la alerta:

   • Seleccione OPEN SENSOR para abrir el sensor que generó la alerta y continuar la investigación. Para obtener más información, consulte Ver y administrar alertas en el sensor de OT.

   • Seleccione MOSTRAR DISPOSITIVOS para mostrar los dispositivos afectados en un mapa de zona. Para obtener más información, consulte Creación de sitios y zonas de OT en una consola de administración local.

Nota

En la consola de administración local, las alertas denominadas Nuevas se llaman No reconocidas, y las alertas denominadas Cerradas se llaman Reconocidas. Para obtener más información, consulte Estados de alerta y opciones de evaluación de prioridades.

Filtrar las alertas mostradas

En la parte superior de la página de alertas de , use las opciones búsqueda gratuita, Sitios, Zonas, Dispositivosy Sensores para filtrar las alertas mostradas por parámetros específicos o para ayudar a localizar una alerta específica.

• Las alertas confirmadas no están listadas de forma predeterminada. Seleccione Mostrar alertas confirmadas para incluirlas en la lista.

• Seleccione Borrar para quitar todos los filtros.

Visualización de alertas por ubicación

Para ver las alertas de los sensores de OT conectados en toda la red global, use el mapa de Enterprise View en una consola de administración local.

1. Inicie sesión en la consola de administración local y seleccione Enterprise View. La vista de mapa predeterminada muestra los sitios en sus ubicaciones de todo el mundo.

   (Opcional) Use los menús Todos los sitios y Todas las regiones en la parte superior de la página para filtrar el mapa y mostrar solo sitios específicos o solo regiones específicas.

2. En el menú Vista predeterminada de la parte superior de la página, seleccione cualquiera de los siguientes elementos para explorar en profundidad los tipos específicos de alertas:

   • administración de riesgos. Resalta las alertas de riesgo del sitio, lo que le ayuda a priorizar las actividades de mitigación y planear las mejoras de seguridad.
   • Respuesta a Incidentes Resalta las alertas activas (sin acuse de recibo) en cada sitio.
   • Actividad malintencionada. Resalta las alertas de malware, que requieren una acción inmediata.
   • Alertas Operativas. Resalta las alertas operativas, como paradas de PLC y cargas de firmware o programa.

   En cualquier vista, pero el Vista predeterminada, los sitios aparecen en rojo, amarillo o verde. Los sitios rojos tienen alertas que requieren una acción inmediata, los sitios amarillos tienen alertas que justifican la investigación y los sitios verdes no requieren ninguna acción.

3. Seleccione cualquier sitio que esté en rojo o amarillo y, a continuación, haga clic en el botón de alertas para un sensor de OT específico y ver las alertas actuales de ese sensor. Por ejemplo:

   

   La página de Alertas se abre, filtrándose automáticamente para mostrar las alertas seleccionadas.

Visualización de alertas por zona

Para ver las alertas de sensores de OT conectados para una zona específica, utilice la página Gestión de sitios en una consola de administración local.

1. Inicie sesión en la consola de administración local y seleccione Administración de sitios.

2. Busque el sitio y la zona que desea ver mediante las opciones de filtrado de la parte superior según sea necesario:

   • Conectividad: Seleccione para ver solo sensores de OT, o bien solo los sensores conectados o los desconectados.
   • estado de actualización: seleccione esta opción para ver todos los sensores de OT o solo aquellos con un estado de actualización de software específico.
   • Unidad de Negocio: seleccione para ver todos los sensores de OT o solo todos los de una unidad de negocio específica de .
   • región: seleccione esta opción para ver todos los sensores de OT o solo los de una región específica de .

3. Seleccione el botón de alertas para un sensor OT específico para ver las alertas actuales de ese sensor.

Gestión del estado de alertas y triaje de alertas

Use las siguientes opciones para administrar el estado de alerta en la consola de administración local, en función del tipo de alerta:

• Para confirmar o no conocer una alerta: en una fila de alerta expandida, seleccione ACKNOWLEDGE o UNACKNOWLEDGE según sea necesario.

• Para silenciar o reactivar una alerta: en una fila de alerta expandida, mantenga el puntero sobre la parte superior de la fila y seleccione el botón Silenciar o el botón Reactivar según sea necesario.

Para obtener más información, consulte Estados de alerta y opciones de triaje.

Exportación de alertas a un archivo CSV

Es posible que desee exportar una selección de alertas a un archivo CSV para compartir e informar sin conexión.

1. Inicie sesión en la consola de administración local y seleccione la página de Alertas .

2. Use las opciones buscar y filtrar para mostrar solo las alertas que desea exportar.

3. Seleccione Exportar.

Se genera el archivo CSV y se le pedirá que lo guarde localmente.

Pasos siguientes

Ver y administrar alertas desde Azure Portal

Ver y administrar alertas en el sensor de OT

acelerar los flujos de trabajo de alertas de OT in situ

reenviar información de alertas

alertas de Microsoft Defender para IoT