Creare una baseline appresa degli avvisi OT
Questo articolo è uno di una serie di articoli che descrivono il percorso di distribuzione per il monitoraggio OT con Microsoft Defender per IoT e descrive come creare una baseline del traffico appreso sul sensore OT.
Panoramica del processo di monitoraggio a più fasi
Un sensore di rete OT avvia automaticamente il monitoraggio della rete dopo la connessione alla rete e l'accesso. I dispositivi di rete vengono visualizzati nell'inventario dei dispositivi e vengono attivati avvisi per eventuali eventi imprevisti operativi o di sicurezza che si verificano nella rete.
Defender per IoT usa un processo di monitoraggio a tre fasi che apprende il normale comportamento del traffico della rete. Queste tre fasi garantiscono un rilevamento accurato riducendo gli avvisi non necessari:
Riepilogo delle fasi di monitoraggio
| Modalità | Scopo | Attivare gli avvisi | Azioni utente necessarie |
|---|---|---|---|
| Apprendimento | Crea una linea di base del normale traffico di rete | Avvisi malware, avvisi anomalie, avvisi operativi, avvisi di violazione del protocollo | Disattiva manualmente dopo 2-6 settimane o quando la linea di base riflette un'attività di rete accurata |
| Dinamico | Affina la baseline introducendo gradualmente gli avvisi violazioni dei criteri per garantire l'accuratezza e ridurre il rumore degli avvisi | Vengono introdotti avvisi di violazione dei criteri | Facoltativo: regolare le impostazioni per scenari specifici (ad esempio durante i POC) |
| Canale operativo | Monitora tutto il traffico di rete con una baseline stabile, attivando tutti gli avvisi per riflettere le deviazioni o le attività sospette | Tutti i tipi di avvisi | Nessuno. Esegue automaticamente le transizioni quando la baseline si stabilizza |
Modalità di apprendimento
Inizialmente, il sensore viene eseguito in modalità di apprendimento per monitorare tutto il traffico di rete e creare una baseline di tutti i modelli di traffico normali. Questa baseline include tutti i dispositivi e i protocolli nella rete e i normali trasferimenti di file che si verificano tra i dispositivi. Questo processo richiede normalmente tra 2 e 6 settimane, a seconda delle dimensioni e della complessità della rete. Inoltre, tutti i dispositivi individuati successivamente entrano in modalità di apprendimento per 7 giorni per stabilire la baseline del traffico di rete.
In modalità di apprendimento, il sensore monitora e protegge l'ambiente attivando avvisi di sicurezza pertinenti, ad esempio malware, anomalie e avvisi operativi. Tuttavia, gli avvisi di violazione dei criteri, che indicano deviazioni dalla baseline, non vengono attivati mentre il sistema è in modalità di apprendimento.
Modalità dinamica
Quando il processo di individuazione e il traffico di rete sono stabili, è consigliabile disattivare manualmente la modalità di apprendimento. A questo punto, il sensore passa alla modalità dinamica. In modalità dinamica il sensore continua a monitorare la rete, convalidando e affinando la baseline. Il sensore valuta singolarmente ogni categoria di avviso e scenario, modificando in modo dinamico la modalità operativa quando le baseline vengono confermate come accurate. In alternativa, se il sensore rileva modifiche significative nel traffico, potrebbe estendere automaticamente la modalità di apprendimento per avvisi o scenari specifici.
In modalità dinamica, gli avvisi di violazione dei criteri vengono introdotti gradualmente e iniziano a essere visualizzati nell'inventario degli avvisi.
Modalità operativa
Dopo che il sensore identifica che la linea di base è stabile e completarla automaticamente passa alla modalità operativa, monitorando tutto il traffico di rete e attivando tutti i tipi di avviso.
L'azione Learn diventa rilevante dopo la disattivazione della modalità di apprendimento, quando lo scenario passa alla modalità operativa e si vuole contrassegnare operazioni specifiche come attività autorizzate o previste. Una volta appreso, un'attività simile non genererà nuovi avvisi in futuro.
Disattivare manualmente la modalità di apprendimento quando il livello di avvisi riflette in modo accurato l'attività di rete.
Per altre informazioni, vedere Avvisi di Microsoft Defender per IoT.
Prerequisiti
È possibile eseguire le procedure descritte in questo articolo dalla portale di Azure o da un sensore OT.
Prima di iniziare, assicurarsi di avere:
Un sensore OT installato, configurato e attivato, con avvisi attivati dal traffico rilevato.
Accesso al sensore OT come analista di sicurezza o utente Amministratore. Per altre informazioni, vedere Utenti e ruoli locali per il monitoraggio OT con Defender per IoT.
Valutazione gli avvisi
Valutare gli avvisi verso la fine della distribuzione per creare una baseline iniziale per l'attività di rete.
Accedere al sensore OT e selezionare la pagina Avvisi .
Usare le opzioni di ordinamento e raggruppamento per visualizzare prima gli avvisi più critici. Esaminare ogni avviso per aggiornare gli stati e apprendere gli avvisi per il traffico autorizzato OT.
Per altre informazioni, vedere Visualizzare e gestire gli avvisi nel sensore OT.
Passaggi successivi
Dopo aver disattivato la modalità di apprendimento e passare dalla modalità di apprendimento alla modalità operativa continuare con una delle opzioni seguenti:
- Visualizzare i dati di Microsoft Defender per IoT con le cartelle di lavoro di Monitoraggio di Azure
- Visualizzare e gestire gli avvisi dal portale di Azure
- Gestire l'inventario dei dispositivi dal portale di Azure
Integrare i dati di Defender per IoT con Microsoft Sentinel per unificare il monitoraggio della sicurezza del team SOC. Per altre informazioni, vedi: