Créer une ligne de base apprise à partir des alertes OT
Cet article fait partie d’une série d’articles décrivant le chemin de déploiement pour la supervision OT avec Microsoft Defender pour IoT, et explique comment créer une ligne de base de trafic appris sur votre capteur OT.
Vue d’ensemble du processus de surveillance en plusieurs phases
Un capteur réseau OT commence automatiquement à surveiller votre réseau une fois qu’il y est connecté et que vous êtes connecté. Les périphériques réseau commencent à apparaître dans votre inventaire des appareils, et des alertes se déclenchent pour tous les incidents de sécurité ou opérationnels qui se produisent dans votre réseau.
Defender pour IoT utilise un processus de surveillance en trois phases qui apprend le comportement normal du trafic de votre réseau. Ces trois phases garantissent une détection précise tout en réduisant les alertes inutiles :
Résumé des phases de surveillance
| Mode | Objectif | Alertes déclenchées | Actions utilisateur nécessaires |
|---|---|---|---|
| Formations | Génère une base de référence du trafic réseau normal | Alertes de programmes malveillants, alertes d’anomalie, alertes opérationnelles, alertes de violation de protocole | Désactiver manuellement après deux à six semaines ou lorsque la base de référence reflète une activité réseau précise |
| Dynamique | Affine la base de référence tout en introduisant progressivement des alertes de violations de stratégie pour garantir la précision et réduire le bruit des alertes | Les alertes de violation de stratégie sont introduites | Facultatif : Ajustez les paramètres pour des scénarios spécifiques (par exemple, pendant les preuves de concept) |
| Opérationnel | Surveille tout le trafic réseau avec une base de référence stable, déclenchant toutes les alertes pour refléter les écarts ou les activités suspectes | Tous les types d’alertes | Aucune. Transitions automatiques lorsque la base de référence se stabilise |
Mode apprentissage
Initialement, le capteur s’exécute en mode d’apprentissage pour surveiller tout le trafic réseau et créer une base de référence de tous les modèles de trafic normaux. Cette base de référence inclut tous les appareils et protocoles de votre réseau, ainsi que les transferts de fichiers réguliers qui se produisent entre les appareils. Ce processus prend normalement entre deux et six semaines, en fonction de la taille et de la complexité de votre réseau. En outre, tous les appareils découverts plus tard entrent en mode d’apprentissage pendant sept jours, afin d’établir leur base de référence du trafic réseau.
En mode d’apprentissage, le capteur surveille et protège votre environnement en déclenchant des alertes de sécurité pertinentes, telles que celles relatives aux programmes malveillants, aux anomalies et aux opérations. Toutefois, les alertes de violation de stratégie, qui indiquent des écarts par rapport à la base de référence, ne sont pas déclenchées pendant que le système est en mode d’apprentissage.
Mode dynamique
Une fois que le processus de découverte et le trafic réseau sont stables, vous devez désactiver manuellement le mode d’apprentissage. À ce stade, le capteur passe en mode dynamique. En mode dynamique, le capteur continue à surveiller votre réseau, et à valider et affiner la base de référence. Le capteur évalue chaque catégorie d’alerte et scénario individuellement, en les changeant dynamiquement en mode opérationnel lorsque leurs bases de référence sont confirmées comme étant précises. Autrement, si le capteur détecte des modifications significatives du trafic, il peut étendre automatiquement le mode d’apprentissage pour des alertes ou des scénarios spécifiques.
En mode dynamique, les alertes de violation de stratégie sont progressivement introduites et commencent à apparaître dans l’inventaire des alertes.
Mode de fonctionnement
Une fois que le capteur a identifié que la base de référence est stable et complète, il bascule automatiquement en mode opérationnel, surveille tout le trafic réseau et déclenche tous les types d’alertes.
L’action Apprendre devient pertinente une fois le mode d’apprentissage désactivé, lorsque le scénario passe en mode opérationnel et que vous souhaitez marquer des opérations spécifiques comme activité autorisée ou attendue. Une fois l’activité apprise, une activité similaire ne génère pas de nouvelles alertes à l’avenir.
Désactivez le mode Apprentissage manuellement lorsque le niveau d’alertes reflète avec précision votre activité réseau.
Pour plus d’informations, consultez Alertes Microsoft Defender pour IoT.
Prérequis
Vous pouvez suivre les procédures de cet article à partir du portail Azure ou d’un capteur OT.
Avant de commencer, vérifiez que vous disposez des éléments suivants :
Un capteur OT installé, configuré et activé, avec des alertes déclenchées par le trafic détecté.
Un accès à votre capteur OT en tant qu’utilisateur Analyste de sécurité ou Administrateur. Pour plus d’informations, consultez Utilisateurs et rôles locaux pour le monitoring OT avec Defender pour IoT.
Tri des alertes
Triez les alertes vers la fin de votre déploiement pour créer une ligne de base initiale pour l’activité réseau.
Connectez-vous à votre capteur OT et sélectionnez la page Alertes.
Utilisez les options de tri et de regroupement pour afficher d’abord les alertes les plus importantes. Passez en revue chaque alerte pour mettre à jour l’état et apprendre les alertes pour le trafic OT autorisé.
Pour plus d’informations, consultez Visualiser et gérer les alertes sur votre capteur OT.
Étapes suivantes
Une fois que le mode d’apprentissage est désactivé et que vous avez basculé du mode d’apprentissage au mode opérationnel, continuez avec l’une des opérations suivantes :
- Visualiser les données Microsoft Defender pour IoT avec des classeurs Azure Monitor
- Afficher et gérer les alertes à partir du portail Azure
- Gérer l’inventaire de votre appareil à partir du Portail Azure
Intégrez les données Defender pour IoT à Microsoft Sentinel pour unifier la surveillance de la sécurité de votre équipe SOC. Pour plus d'informations, consultez les pages suivantes :