Visualización y administración de alertas en la consola de administración local (heredado)
Importante
Defender para IoT recomienda ahora el uso de servicios en la nube de Microsoft o la infraestructura de TI existente para la supervisión central y la administración de sensores, y planes para retirar la consola de administración localel 1 de enero de 2025.
Para obtener más información, consulte Implementación de la administración de sensores de OT híbridos o con disponibilidad inalámbrica.
Las alertas de Microsoft Defender para IoT mejoran la seguridad de red y las operaciones con detalles en tiempo real sobre los eventos registrados en su red. Las alertas de OT se desencadenan cuando los sensores de red de OT detectan cambios o actividades sospechosas en el tráfico de red que requieren su atención.
En este artículo se describe cómo consultar las alertas de Defender para IoT en una consola de administración local, la cual agrega alertas de todos los sensores de OT conectados. También puede ver las alertas de OT en Azure Portal o en un sensor de red de OT.
Requisitos previos
Antes de realizar los procedimientos de este artículo, asegúrese de que tiene:
Una consola de administración local instalada, activada y configurada. Para ver las alertas por ubicación o zona, asegúrese de que ha configurado sitios y zonas en la consola de administración local.
Uno o más sensores de OT instalados, configurados, activados y conectados a su consola de administración local. Para ver las alertas por zona, asegúrese de que cada sensor está asignado a una zona específica.
Acceso a la consola de administración local con uno de los siguientes roles de usuario:
Para ver las alertas en la consola de administración local, inicie sesión como un usuario Administrador, Analista de seguridad o Espectador.
Para administrar las alertas en la consola de administración local, inicie sesión como un usuario Administrador o Analista de seguridad. Las actividades de administración incluyen la confirmación o silenciamiento de una alerta, según el tipo de alerta.
Visualización de alertas en la consola de administración local
Inicie sesión en la consola de administración local y seleccione Alertas en el menú de la izquierda.
Las alertas se muestran en una tabla simple, con el sensor que desencadenó la alerta en una columna y los detalles de la alerta en otra.
Seleccione la fila de una alerta para expandir todos sus detalles.
En la fila de una alerta expandida, realice cualquiera de las acciones siguientes para ver más contexto sobre la alerta:
Seleccione OPEN SENSOR (Abrir sensor) para abrir el sensor que generó la alerta y continuar con la investigación. Para obtener más información, consulte Visualización y administración de alertas en el sensor de OT.
Seleccione MOSTRAR DISPOSITIVOS para mostrar los dispositivos afectados en un mapa de zonas. Para más información, consulte Creación de sitios y zonas de OT en una consola de administración local.
Nota:
En la consola de administración local, las nuevas alertas se denominan Unacknowledged (Sin confirmar) y las alertas cerradas se denominan Acknowledged (Confirmadas). Para obtener más información, consulte Estados y opciones de clasificación de las alertas.
Filtrado de las alertas mostradas
En la parte superior de la página Alertas, use las opciones Free Search (Búsqueda libre), Sitios, Zonas, Dispositivos y Sensores para filtrar las alertas mostradas según parámetros específicos o para encontrar una alerta específica.
Las alertas confirmadas no se muestran de forma predeterminada. Seleccione Show Acknowledged Alerts (Mostrar alertas confirmadas) para incluirlas en la lista.
Seleccione Borrar para quitar todos los filtros.
Visualización de alertas por ubicación
Para ver las alertas de los sensores de OT conectados en toda la red global, use el mapa de Vista empresarial en una consola de administración local.
Inicie sesión en la consola de administración local y seleccione la página Vista empresarial. La vista de mapa predeterminada muestra los sitios en sus ubicaciones de todo el mundo.
(Opcional) Use los menús Todos los sitios y Todas las regiones de la parte superior de la página para filtrar el mapa y mostrar solo sitios específicos o solo regiones específicas.
En el menú Vista predeterminada de la parte superior de la página, seleccione cualquiera de las siguientes opciones para explorar en profundidad los tipos específicos de alertas:
- Administración de riesgos. Resalta las alertas de riesgo del sitio, lo que le ayuda a priorizar las actividades de mitigación y planear las mejoras de seguridad.
- Respuesta a incidentes resalta las alertas activas (no reconocidas) en cada sitio.
- Actividad malintencionada. Resalta las alertas de malware, que requieren una acción inmediata.
- Alertas operativas. Resalta las alertas operativas, como las paradas de PLC y las cargas de firmware o programa.
En cualquier vista excepto en la Vista predeterminada, sus sitios aparecen en rojo, amarillo o verde. Los sitios rojos tienen alertas que requieren una acción inmediata, los sitios amarillos tienen alertas que justifican la investigación y los sitios verdes no requieren ninguna acción.
Seleccione cualquier sitio rojo o amarillo y, a continuación, seleccione el botón de alertas de un sensor de OT específico para saltar a las alertas actuales de ese sensor. Por ejemplo:
Se abre la página Alertas, filtrada automáticamente por las alertas seleccionadas.
Visualizar alertas por zona
Para ver las alertas de los sensores de OT conectados para una zona específica, use la página Administración del sitio en una consola de administración local.
Inicie sesión en la consola de administración local y seleccione la página Administración del sitio.
Busque el sitio y la zona que quiere ver mediante las opciones de filtrado de la parte superior, según sea necesario:
- Conectividad: seleccione esta opción para ver solo todos los sensores de OT o solo los sensores conectados o desconectados.
- Estado de actualización: seleccione esta opción para ver todos los sensores de OT o solo aquellos con un estado de actualización de software específico.
- Unidad de negocio: seleccione esta opción para ver todos los sensores de OT o solo los de una unidad de negocio específica.
- Región: seleccione esta opción para ver todos los sensores de OT o solo los de una región específica.
Seleccione el botón de alertas de un sensor de OT específico para ir a las alertas actuales de ese sensor.
Administración del estado de las alertas y clasificación de las alertas
Use las siguientes opciones para administrar el estado de las alertas en la consola de administración local, según el tipo de alerta:
Para confirmar o anular la confirmación de una alerta: en una fila de alerta expandida, seleccione CONFIRMAR o ANULAR CONFIRMACIÓN según sea necesario.
Para silenciar una alerta o reactivar una alerta silenciada: en una fila de alerta expandida, mantenga el puntero sobre la parte superior de la fila y seleccione el botónMute (Silenciar) o el botón Unmute (Reactivar) según sea necesario.
Para obtener más información, consulte Estados y opciones de clasificación de las alertas.
Exportación de alertas a un archivo CSV
Es posible que desee exportar una selección de alertas a un archivo CSV para compartirlas y crear informes sin conexión.
Inicie sesión en la consola de administración local y seleccione la página Alertas.
Use las opciones de búsqueda y filtro para mostrar solo las alertas que quiere exportar.
Selecciona Export (Exportar).
Se generará el archivo CSV y se le pedirá que lo guarde de forma local.