Criar uma linha de base aprendida de alertas de OT
Este artigo faz parte de uma série de artigos que descrevem o caminho de implantação para monitoramento de OT com Microsoft Defender para IoT e descreve como criar uma linha de base de tráfego aprendido em um sensor de OT.
Entender o modo de aprendizado
Um sensor de rede OT começa a monitorar sua rede automaticamente depois que ele é conectado à rede e você conectado. Os dispositivos de rede começam a aparecer no inventário de dispositivos e os alertas são disparados para quaisquer incidentes operacionais ou de segurança que ocorram em sua rede.
Inicialmente, essa atividade ocorre no modo de aprendizado, o que instrui o sensor de OT a aprender a atividade usual da rede, incluindo os dispositivos e protocolos em sua rede e as transferências de arquivos regulares que ocorrem entre dispositivos específicos. Qualquer atividade detectada regularmente se torna o tráfego de linha de base da rede.
Dica
Use seu tempo no modo de aprendizado para fazer a triagem dos alertas e Aprenda aqueles que você deseja marcar como atividades autorizadas e esperadas. O tráfego aprendido não gera novos alertas na próxima vez que o mesmo tráfego for detectado.
Após desabilitar o modo de aprendizado, qualquer atividade diferente dos seus dados de linha de base disparará um alerta.
Para obter mais informações, confira Alertas do Microsoft Defender para IoT.
Linha do tempo do Modo de aprendizado
A criação da linha de base de alertas de OT pode levar de alguns dias a várias semanas, dependendo do tamanho e da complexidade da rede. Recomendamos que, após 2 a 6 semanas, você altere manualmente o modo de aprendizagem para o modo dinâmico quando o número diário de alertas diminuir para um nível gerenciável. No modo dinâmico, o Defender para IoT continua monitorando a rede quanto ao tráfego suspeito, dispara alertas e também move automaticamente uma categoria de alerta para o modo operacional se esse alerta não for disparado por um período específico de tempo.
No modo operacional, todos os alertas produzidos são listados no inventário e devem ser corrigidos seguindo as ações listadas no painel de detalhes do alerta. Se o alerta tiver sido disparado por tráfego de rede seguro, você precisará usar o botão Aprender para adicionar esse tráfego à lista de linhas de base para que o sensor não produza um alerta para ele no futuro.
Desative o modo de aprendizado manualmente quando o nível de alertas refletir com precisão a sua atividade de rede.
Pré-requisitos
Você pode executar os procedimentos neste artigo do portal do Azure ou de um sensor de OT.
Antes de começar, verifique se você tem estes itens:
Um sensor OT instalado, configurado e ativado, com alertas sendo acionados pelo tráfego detectado.
Acesso ao sensor de OT como Analista de Segurança ou usuárioAdministrador. Para obter mais informações, confira Usuários locais e funções para monitoramento de OT com o Defender para IoT.
Alertas de triagem
Faça alertas de triagem no final da implantação para criar uma linha de base inicial para sua atividade de rede.
Entre no sensor de OT e selecione a página Alertas.
Use as opções de classificação e agrupamento para exibir os alertas mais críticos primeiro. Revise cada alerta para atualizar status e saiba mais sobre alertas para tráfego autorizado por OT.
Para obter mais informações, consulte Exibir e gerenciar alertas no sensor de OT.
Próximas etapas
Depois que o modo de aprendizado estiver desativado, você mudará do modo de aprendizado para o modo de operação. Continue com qualquer uma das seguintes opções:
- Visualizar dados do Microsoft Defender para IoT com pastas de trabalho do Azure Monitor
- Exibir e gerenciar alertas no portal do Azure
- Gerenciar o inventário de dispositivos no portal do Azure
Integrar os dados do Defender para IoT ao Microsoft Sentinel para unificar o monitoramento de segurança da equipe do SOC. Para obter mais informações, consulte: