Crear una línea base aprendida a partir de alertas de OT
Este artículo es uno de una serie de artículos que describen la ruta de implementación para la supervisión de OT con Microsoft Defender para IoT y describe cómo crear una línea base de tráfico aprendido en el sensor de OT.
Información general sobre el proceso de supervisión de varias fases
Un sensor de red de OT comienza a supervisar la red automáticamente después de conectarse a la red e inicia sesión. Los dispositivos de red comienzan a aparecer en el inventario de dispositivos y las alertas se desencadenan para cualquier incidente de seguridad o operativo que se produzca en la red.
Defender para IoT emplea un proceso de supervisión de tres fases que aprende el comportamiento normal del tráfico de la red. Estas tres fases garantizan una detección precisa al tiempo que reducen las alertas innecesarias:
Resumen de las fases de supervisión
| Modo | Fin | Desencadenar alertas | Acciones de usuario necesarias |
|---|---|---|---|
| Aprendizaje | Crea una línea base del tráfico de red normal | Alertas de malware, alertas de anomalías, alertas operativas, alertas de infracción de protocolo | Desactivar manualmente después de 2 a 6 semanas o cuando la línea base refleja una actividad de red precisa |
| Dinámica | Refina la línea de base al introducir gradualmente alertas de infracciones de directiva para garantizar la precisión y reducir el ruido de las alertas | Se introducen alertas de infracción de directiva | Opcional: Ajuste la configuración de escenarios específicos (por ejemplo, durante las POC) |
| Operativos | Supervisa todo el tráfico de red con una línea base estable, lo que desencadena todas las alertas para reflejar desviaciones o actividad sospechosa | Todos los tipos de alertas | Ninguno. Transiciones automáticas cuando la línea base se estabiliza |
Modo de aprendizaje
Inicialmente, el sensor se ejecuta en modo de aprendizaje para supervisar todo el tráfico de red y crear una línea base de todos los patrones de tráfico normales. Esta línea de base incluye todos los dispositivos y protocolos de la red y las transferencias de archivos normales que se producen entre dispositivos. Este proceso normalmente tarda entre 2 y 6 semanas, en función del tamaño y la complejidad de la red. Además, los dispositivos detectados más adelante entran en modo de aprendizaje durante 7 días para establecer su línea de base de tráfico de red.
En el modo de aprendizaje, el sensor supervisa y protege su entorno desencadenando alertas de seguridad pertinentes, como malware, anomalías y alertas operativas. Sin embargo, las alertas de infracción de directiva, que indican desviaciones de la línea base, no se desencadenan mientras el sistema está en modo de aprendizaje.
Modo dinámico
Una vez que el proceso de detección y el tráfico de red sean estables, debe desactivar manualmente el modo de aprendizaje. En este momento, el sensor pasa al modo dinámico. En el modo dinámico, el sensor continúa supervisando la red, validando y refinando la línea base. El sensor evalúa individualmente cada categoría de alerta y escenario, lo que los cambia dinámicamente al modo operativo cuando se confirma que sus líneas base son precisas. Como alternativa, si el sensor detecta cambios significativos en el tráfico, podría ampliar automáticamente el modo de aprendizaje para alertas o escenarios específicos.
En el modo dinámico, las alertas de infracción de directiva se introducen gradualmente y comienzan a aparecer en el inventario de alertas.
Modo de funcionamiento
Una vez que el sensor identifica que la línea base es estable y completa, realiza la transición automáticamente al modo operativo, supervisando todo el tráfico de red y desencadenando todos los tipos de alertas.
La acción Aprender se vuelve relevante después de desactivar el modo de aprendizaje, cuando el escenario pasa al modo operativo y desea marcar operaciones específicas como actividad autorizada o esperada. Una vez aprendido, la actividad similar no generará nuevas alertas en el futuro.
Desactive manualmente el modo de aprendizaje cuando el nivel de alertas refleje con precisión la actividad de red.
Para obtener más información, consulte Alertas de Microsoft Defender para IoT.
Requisitos previos
Puede realizar los procedimientos de este artículo desde Azure Portal o un sensor de OT.
Antes de empezar, asegúrese de que dispone de lo siguiente:
Un sensor OT instalado, configurado y activado, con alertas desencadenadas por el tráfico detectado.
Acceso al sensor de OT como analista de seguridad o usuario administrador. Para obtener más información, consulte Usuarios y roles locales para la supervisión de OT con Defender para IoT.
Alertas de evaluación de prioridades
Evaluar las alertas hacia el final de la implementación para crear una línea base inicial para la actividad de red.
Inicie sesión en el sensor OT y selecciona la página Alertas.
Usa las opciones de ordenación y agrupación para ver primero las alertas más críticas. Revisar cada alerta para actualizar los estados y conocer las alertas del tráfico autorizado de OT.
Para obtener más información, vea Visualización y administración de alertas en el sensor de OT.
Pasos siguientes
Después de desactivar el modo de aprendizaje y pasar del modo de Aprendizaje al modo de Operación continúa con cualquiera de las siguientes opciones:
- Visualización de datos de Microsoft Defender para IoT con libros de Azure Monitor
- Vea y administre alertas en Azure Portal
- Administración del inventario de dispositivos desde Azure Portal
Integra los datos de Defender para IoT con Microsoft Sentinel para unificar la supervisión de seguridad del equipo de SOC. Para más información, consulte: