Criar relatórios de avaliação de risco
Os relatórios de avaliação de risco fornecem detalhes sobre classificações de segurança, vulnerabilidades e problemas operacionais em dispositivos detectados por um sensor de rede OT específico, bem como riscos trazidos por regras de firewall importadas.
Cada sensor de rede do Defender para IoT pode gerar um relatório de avaliação de risco, enquanto que o console de gerenciamento local coleta esses relatórios de todos os sensores conectados.
Pré-requisitos
Para criar relatórios de avaliação de risco, você precisa conseguir acessar o sensor de rede OT para o qual deseja gerar dados:
Você precisa ser um usuário Administrador para importar regras de firewall em um sensor de OT ou adicionar endereços de servidor de backup e de antivírus.
Você precisa ser um usuário Administrador ou Analista de Segurança para criar ou ver relatórios de avaliação de risco no sensor de OT ou no console de gerenciamento local.
Para obter mais informações, confira Usuários locais e funções para monitoramento de OT com o Defender para IoT
Gerar relatórios de avaliação de risco em um sensor de OT
Use um sensor de OT individual para ver relatórios gerados apenas desse sensor.
Para gerar um relatório:
Entre no console do sensor e selecione Avaliação de risco>Gerar relatório. O relatório é gerado e aparece na lista Relatórios, juntamente com o carimbo de data/hora e o tamanho do relatório.
Por exemplo:
Os relatórios são nomeados automaticamente como
risk-assessment-report-<integer>
, em que o<integer>
é incrementado automaticamente.Selecione o nome do relatório para baixá-lo e abri-lo no navegador.
Conteúdo do relatório de avaliação de risco
Os relatórios de avaliação de risco incluem os seguintes detalhes:
Detalhes | Description |
---|---|
Classificações de segurança | Uma classificação de segurança geral de todos os dispositivos detectados e uma pontuação de segurança de cada dispositivo individual. As classificações de segurança são baseadas nos dados fornecidos pela inspeção de pacotes, pelos mecanismos de modelagem comportamental e por um design de máquina de estado específico do SCADA e são categorizadas da seguinte forma: - Dispositivos seguros são dispositivos com uma classificação de segurança acima de 90 %. - Dispositivos que precisam de aprimoramento são dispositivos com uma classificação de segurança entre 70% e 89%. - Dispositivos vulneráveis são dispositivos com uma classificação de segurança abaixo de 70%. |
Problemas operacionais e de segurança | Insights sobre qualquer um dos seguintes problemas operacionais e de segurança: – Problemas de configuração – Vulnerabilidade do dispositivo priorizada por nível de segurança – Problemas de segurança de rede – Problemas operacionais de rede – Conexões com redes ICS – Conexões da Internet – Indicadores de malware industrial – Problemas de protocolo - Vetores de ataque |
Nome da regra de firewall | O relatório avaliação de risco realça se uma regra não é segura ou se há uma incompatibilidade entre a regra e a rede monitorada. |
Enriquecer o relatório de avaliação de risco
Enriqueça o sensor com dados extras para fornecer relatórios de avaliação de risco mais completos:
- Importe regras de firewall para que elas sejam avaliadas quanto aos riscos no relatório
- Reduza o risco definindo endereços para os servidores de backup e de antivírus
Importar regras de firewall para um sensor de OT
Importe regras de firewall para o sensor de OT visando a análise em relatórios de Avaliação de risco. A importação de regras de firewall é suportada pelos seguintes firewalls:
Nome | Descrição | Tipo de arquivo |
---|---|---|
Check Point | Exportação de firewall para R77 | .ZIP |
Fortinet | Backup de configuração | .CONF |
Juniper | Configuração da CLI do ScreenOS | .TXT |
Para importar regras de firewall:
Entre no sensor como um usuário Administrador e escolha Configurações do Sistema>Importar configurações>Regras de firewall.
No painel Regras de firewall:
- Selecione um tipo de firewall no menu suspenso
- Selecione + Importar arquivo para navegar e selecione o arquivo que você deseja importar.
Por exemplo:
Definir servidores de backup e de antivírus em um sensor de OT
Os servidores de backup e de antivírus não são definidos no sensor por padrão. É recomendável definir esses endereços no sensor para manter a avaliação de risco de rede baixa.
Para adicionar endereços de servidor de backup e de antivírus:
- Entre no sensor de OT e selecione Configurações do Sistema>Propriedades do Sistema>Avaliação de Vulnerabilidades.
- Adicione os endereços dos servidores de backup e de antivírus aos campos backup_servers e AV_addresses, respectivamente. Use vírgulas para separar vários endereços.
- Selecione Salvar para salvar as alterações.
Exibir relatórios de avaliação de risco de vários sensores
Use um console de gerenciamento local para ver relatórios de avaliação de risco de todos os sensores conectados.
Para gerar um relatório:
Entre no console de gerenciamento local e selecione Avaliações de risco.
No menu suspenso Selecionar Sensor, selecione o sensor para o qual você deseja gerar o relatório e depois clique em Gerar Relatório.
Um novo relatório é listado na área Relatórios Arquivados, listado pela hora e a data em que foi criado e mostrando a classificação de segurança e o tamanho do relatório.
Por exemplo:
Selecione Baixar para baixar um relatório e abri-lo no navegador.
Próximas etapas
Tome medidas com base nas recomendações fornecidas nos relatórios de avaliação de risco para aprimorar a pontuação geral de segurança de rede. Por exemplo, você pode instalar as atualizações de segurança ou de firmware mais recentes ou investigar todos os PLCs que estão em estados não seguros no momento.
Para obter mais informações, confira Aprimorar a postura de segurança com recomendações de segurança.
Continue criando outros relatórios para obter mais dados de segurança do sensor de OT. Para obter mais informações, consulte: