Compartilhar via


Encaminhar informações de alertas de OT locais

Os alertas do Microsoft Defender para IoT aprimoram a segurança e as operações de rede com detalhes em tempo real sobre eventos registrados em sua rede. Os alertas de OT são disparados quando sensores de rede de OT detectam alterações ou atividades suspeitas no tráfego de rede que precisam de sua atenção.

Este artigo descreve como configurar um sensor de OT ou console de gerenciamento local para encaminhar alertas para serviços de parceiros, servidores syslog, endereços de email e muito mais. As informações de alerta encaminhadas incluem detalhes como:

  • A data e hora do alerta
  • Mecanismo que detectou o evento
  • Título do alerta e mensagem descritiva
  • Severidade do alerta
  • Nome de origem e destino e endereço IP
  • Tráfego suspeito detectado
  • Sensores desconectados
  • Falhas de backup remoto

Observação

As regras de alerta de encaminhamento são executadas somente em alertas disparados após a criação da regra de encaminhamento. Os alertas que já estavam no sistema antes da criação da regra de encaminhamento não serão afetados pela regra.

Pré-requisitos

Criar regras de encaminhamento em um sensor de OT

  1. Entre no sensor de OT e selecione Encaminhamento no menu à esquerda >+ Criar regra.

  2. No painel Adicionar regra de encaminhamento, insira um nome de regra significativo e defina as condições e ações da regra da seguinte maneira:

    Nome Descrição
    Nível mínimo de alerta Selecione o nível mínimo de severidade do alerta que deseja encaminhar.

    Por exemplo, se Menos grave estiver selecionado, os alertas menos graves e todos os alertas acima desse nível de severidade serão encaminhados.
    Qualquer protocolo detectado Ative para encaminhar alertas de tráfego de todos os protocolos ou desative e selecione os protocolos específicos que deseja incluir.
    Tráfego detectado por qualquer mecanismo Ative para encaminhar alertas de todos os mecanismos de análise ou desative e selecione os mecanismos específicos que deseja incluir.
    Ações Selecione o tipo de servidor para o qual deseja encaminhar alertas e defina outras informações necessárias para esse tipo de servidor.

    Para adicionar vários servidores à mesma regra, selecione + Adicionar servidor e adicione mais detalhes.

    Para obter mais informações, consulte Configurar ações de regra de encaminhamento de alerta.
  3. Quando terminar de configurar a regra, selecione Salvar. A regra é listada na página Encaminhamento.

  4. Teste a regra que você criou:

    1. Selecione o menu de opções (...) para a regra >Enviar Mensagem de Teste.
    2. Vá atá o sistema de destino para verificar se as informações enviadas pelo sensor foram recebidas.

Editar ou excluir regras de encaminhamento em um sensor de OT

Para editar ou excluir uma regra existente:

  1. Entre no sensor de OT e selecione Encaminhamento no menu à esquerda.

  2. Selecione o menu de opções (...) para a regra e siga um destes procedimentos:

Criar regras de encaminhamento em um console de gerenciamento local

Para criar uma regra de encaminhamento no console de gerenciamento:

  1. Entre no console de gerenciamento local e selecione Encaminhamento no menu à esquerda.

  2. Selecione o botão + no canto superior direito para criar uma regra.

  3. Na janela Criar Regra de Encaminhamento, insira um nome significativo para a regra e defina as condições e ações dela da seguinte maneira:

    Nome Descrição
    Nível mínimo de alerta No canto superior direito da caixa de diálogo, use a lista suspensa para selecionar o nível mínimo de severidade do alerta que deseja encaminhar.

    Por exemplo, se Menos grave estiver selecionado, os alertas menos graves e todos os alertas acima desse nível de severidade serão encaminhados.
    Protocolos Selecione Todos para encaminhar alertas de tráfego de todos os protocolos ou Específico para adicionar apenas protocolos específicos.
    Mecanismos Selecione Todos para encaminhar alertas disparados por todos os mecanismos de análise de sensor ou Específico para adicionar apenas mecanismos específicos.
    Notificações do Sistema Selecione a opção Notificações do Sistema de Relatórios para notificar sobre sensores desconectados ou falhas de backup remoto.
    Notificações de Alerta Selecione a opção Relatar Notificações de Alerta para notificar sobre a data e hora do alerta, o título, a severidade, o nome de origem e destino e o endereço IP, o tráfego suspeito e o mecanismo que detectou o evento.
    Ações Selecione Adicionar para adicionar uma ação a ser aplicada e insira os valores de parâmetro necessários para a ação escolhida. Repita conforme necessário para adicionar várias ações.

    Para obter mais informações, consulte Configurar ações de regra de encaminhamento de alerta.
  4. Quando terminar de configurar a regra, selecione SALVAR. A regra é listada na página Encaminhamento.

  5. Teste a regra que você criou:

    1. Na linha da regra, selecione o botão testar esta regra de encaminhamento. Uma notificação de êxito será mostrada se a mensagem for enviada com êxito.
    2. Vá para o sistema parceiro para verificar se as informações enviadas pelo sensor foram recebidas.

Editar ou excluir regras de encaminhamento em um console de gerenciamento local

Para editar ou excluir uma regra existente:

  1. Entre em seu console de gerenciamento local e selecione Encaminhamento no menu à esquerda.

  2. Localize a linha da regra e selecione o botão Editar ou Excluir.

Configurar ações de regra de encaminhamento de alerta

Esta seção descreve como definir configurações para ações de regra de encaminhamento com suporte em um sensor OT ou no console de gerenciamento local.

Ação de endereço de email

Configure uma ação de Email para encaminhar dados de alerta para o endereço de email configurado.

Na área Ações, insira os seguintes detalhes:

Nome Descrição
Servidor Selecione Email.
Email Insira o endereço de email para o qual deseja encaminhar os alertas. Cada regra dá suporte a um só endereço de email.
TimeZone Selecione o fuso horário que deseja usar para a detecção de alertas no sistema de destino.

Ações do servidor syslog

Configure uma ação do servidor Syslog para encaminhar dados de alerta para o tipo selecionado de servidor Syslog.

Na área Ações, insira os seguintes detalhes:

Nome Descrição
Servidor Selecione um dos seguintes tipos de formatos de syslog:

- Servidor SYSLOG (formato CEF)
- Servidor SYSLOG (formato LEEF)
- Servidor SYSLOG (objeto)
- Servidor SYSLOG (mensagem de texto)
Host / Porta Insira a porta e o nome do host do servidor syslog
TimeZone Selecione o fuso horário que deseja usar para a detecção de alertas no sistema de destino.
Protocolo Compatível apenas com mensagens de texto. Selecione TCP ou UDP.
Habilitar criptografia Compatível apenas com o formato CEF. Ative para configurar um arquivo de certificado de criptografia TLS, um arquivo de chave e uma frase secreta.

As seções a seguir descrevem a sintaxe de saída de syslog para cada formato.

Campos de saída de mensagem de texto do syslog

Nome Descrição
Prioridade Usuário. Alerta
Mensagem Nome da plataforma CyberX: o nome do sensor.
Alerta do Microsoft Defender para IoT: o título do alerta.
Tipo: o tipo do estado do alerta. Pode ser Violação de Protocolo,Violação dePolítica, Malware,Anomaliaou Operacional.
Gravidade: a gravidade do alerta. Pode ser Aviso, Secundário,Principalou Crítico.
Origem: o nome do dispositivo de origem.
IP de origem: o endereço IP do dispositivo de origem.
Protocolo (opcional): o protocolo de origem detectado.
Endereço (opcional): o endereço do protocolo de origem.
Destino: o nome do dispositivo de destino.
IP de destino: o endereço IP do dispositivo de destino.
Protocolo (opcional): o protocolo de destino detectado.
Endereço (opcional): o endereço do protocolo de destino.
Mensagem: a mensagem do alerta.
Grupo de alertas: o grupo de alertas associado ao alerta.
UUID (opcional): a UUID do alerta.

Campos de saída de objeto de syslog

Nome Descrição
Prioridade User.Alert
Data e hora Data e hora em que o computador do servidor syslog recebeu as informações.
Nome do host IP do sensor
Mensagem Nome do sensor: o nome do dispositivo.
Hora do alerta: a hora em que o alerta foi detectado: pode variar de acordo com o horário do computador do servidor syslog e depende da configuração de fuso horário da regra de encaminhamento.
Alert title: o título do alerta.
Mensagem de alerta: a mensagem do alerta.
Severidade do alerta: a severidade do alerta, que pode ser Aviso, Baixa, Alta ou Crítica.
Tipo de alerta : violação de protocolo, violação de política, malware, anomaliaou operacional.
Protocolo: o protocolo do alerta.
Source_MAC: endereço IP, nome, fornecedor ou sistema operacional do dispositivo de origem.
Destination_MAC: endereço IP, nome, fornecedor ou sistema operacional do destino. Se os dados estiverem ausentes, o valor será N/A.
alert_group: o grupo de alertas associado ao alerta.

Campos de saída CEF de syslog

Nome Descrição
Prioridade User.Alert
Data e hora Data e hora em que o sensor enviou as informações, no formato UTC
Nome do host Nome do host do sensor
Mensagem CEF:0
Microsoft Defender para IoT/CyberX
Nome do sensor
Versão do sensor
Alerta do Microsoft Defender para IoT
Título do alerta
Indicação de número inteiro de gravidade. 1=Aviso, 4=Baixa, 8=Alta ou 10=Crítica.
msg: a mensagem do alerta.
protocol: o protocolo do alerta.
severity: Aviso, Secundária, Importante ou Crítica.
type: violação de protocolo, violação de política, malware, anomalia ou operacional.
UUID= UUID do alerta (opcional)
start: a hora em que o alerta foi detectado.
Pode variar de acordo com o tempo do computador do servidor syslog e depende da configuração de fuso horário da regra de encaminhamento.
src_ip: o endereço IP do dispositivo de origem. (Opcional)
src_mac= o endereço MAC do dispositivo de origem. (Opcional)
dst_ip: o endereço IP do dispositivo de destino. (Opcional)
dst_mac= endereço MAC do dispositivo de destino. (Opcional)
cat: o grupo de alerta associado ao alerta.

Campos de saída LEEF de Syslog

Nome Descrição
Prioridade User.Alert
Data e hora Data e hora em que o sensor enviou as informações, no formato UTC
Nome do host IP do sensor
Mensagem Nome do sensor: o nome do dispositivo Microsoft Defender para IoT.
LEEF:1.0
Microsoft Defender para IoT
Sensor
Versão do sensor
Alerta do Microsoft Defender para IoT
título: o título do alerta.
msg: a mensagem do alerta.
protocol: o protocolo do alerta.
severidade: Aviso, Baixa, Alta ou Crítica.
tipo: o tipo de alerta, que pode ser Violação de Protocolo, Violação de Política, Malware, Anomalia ou Operacional.
start: hora de início do alerta. Talvez seja diferente de acordo com a hora do computador do servidor syslog e depende da configuração de fuso horário.
src_ip: endereço IP do dispositivo de origem.
dst_ip: endereço IP do dispositivo de destino.
cat: o grupo de alertas associado ao alerta.

Ação do servidor webhook

Compatível apenas com o console de gerenciamento local

Configure uma ação de Webhook para configurar uma integração que assina eventos de alerta do Defender para IoT. Por exemplo, envie dados de alerta para um servidor de webhook para atualizar um sistema SIEM externo, um sistema SOAR ou um sistema de gerenciamento de incidentes.

Quando você configura alertas a serem encaminhados para um servidor de webhook e um evento de alerta é disparado, o console de gerenciamento local envia conteúdo HTTP POST para a URL do webhook configurado.

Na área Ações, insira os seguintes detalhes:

Nome Descrição
Servidor Selecione Webhook.
URL Insira a URL do servidor do webhook.
Chave/valor Insira pares chave/valor para personalizar o cabeçalho HTTP conforme necessário. Os caracteres com suporte incluem:
- Chaves podem conter apenas letras, números, traços e sublinhados.
- Valores podem conter apenas um espaço à esquerda e/ou à direita.

Webhook estendido

Compatível apenas com o console de gerenciamento local

Configure uma ação de Webhook estendido para enviar os seguintes dados extra para o servidor de webhook:

  • sensorID
  • sensorName
  • zoneID
  • zoneName
  • siteID
  • siteName
  • sourceDeviceAddress
  • destinationDeviceAddress
  • remediationSteps
  • manipulado
  • additionalInformation

Na área Ações, insira os seguintes detalhes:

Nome Descrição
Servidor Selecione Webhook estendido.
URL Insira a URL de dados do ponto de extremidade.
Chave/valor Insira pares chave/valor para personalizar o cabeçalho HTTP conforme necessário. Os caracteres com suporte incluem:
- Chaves podem conter apenas letras, números, traços e sublinhados.
- Valores podem conter apenas um espaço à esquerda e/ou à direita.

Ação NetWitness

Configure uma ação NetWitness para enviar informações de alerta para um servidor NetWitness.

Na área Ações, insira os seguintes detalhes:

Nome Descrição
Servidor Selecione NetWitness.
Nome do host/porta Insira o nome do host e a porta do servidor NetWitness.
Fuso horário Insira o fuso horário que deseja usar no carimbo de data/hora para a detecção de alerta no SIEM.

Configurar regras de encaminhamento para integrações de parceiros

Talvez você esteja integrando o Defender para IoT a um serviço de parceiro para enviar informações de inventário de dispositivos ou alertas para outro sistema de segurança ou de gerenciamento de dispositivos ou para se comunicar com firewalls do lado do parceiro.

As integrações de parceiro podem ajudar a fazer a ponte entre soluções de segurança anteriormente em silos, aprimorar a visibilidade do dispositivo e acelerar a resposta em todo o sistema para reduzir os riscos mais rapidamente.

Nesses casos, use asAções com suporte para inserir credenciais e outras informações necessárias para se comunicar com serviços de parceiro integrados.

Para saber mais, veja:

Configurar grupos de alertas em serviços de parceiros

Quando você configura regras de encaminhamento para enviar dados de alerta para servidores Syslog, QRadar e ArcSight, grupos de alertas são aplicados automaticamente e ficam disponíveis nesses servidores parceiros.

Os grupos de alertas ajudam as equipes do SOC a usar essas soluções de parceiros para gerenciar alertas com base em políticas de segurança corporativa e prioridades de negócios. Por exemplo, alertas sobre novas detecções são organizados em um grupo de descoberta, que inclui alertas sobre novos dispositivos, VLANs, contas de usuário, endereços MAC e mais.

Grupos de alertas aparecem em serviços de parceiros com os seguintes prefixos:

Prefixo Serviço de parceiro
cat QRadar, ArcSight, Syslog CEF, Syslog LEEF
Alert Group Mensagens de texto de syslog
alert_group Objetos de syslog

Para usar grupos de alertas em sua integração, configure os serviços de parceiros para exibir o nome do grupo de alertas.

Por padrão, os alertas são agrupados da seguinte maneira:

  • Comportamento de comunicação anormal
  • Alertas personalizados
  • Acesso remoto
  • Comportamento anormal de comunicação HTTP
  • Descoberta
  • Reiniciar e parar comandos
  • Autenticação
  • Alteração de firmware
  • Verificar
  • Comportamento de comunicação não autorizado
  • Comandos ilegais
  • Tráfego do sensor
  • Anomalias de largura de banda
  • Acesso à Internet
  • Suspeita de malware
  • Estouro de buffer
  • Falhas de operação
  • Suspeita de atividade mal-intencionada
  • Falhas de comando
  • Problemas operacionais
  • Alterações de configuração
  • Programação

Para obter mais informações e criar grupos de alertas personalizados, entre em contato com o Suporte da Microsoft.

Solucionar problemas com regras de encaminhamento

Se as regras de alerta de encaminhamento não estiverem funcionando conforme o esperado, verifique os seguintes detalhes:

  • Validação do certificado. Regras de encaminhamento para Syslog CEF, Microsoft Sentinel e QRadar dão suporte à criptografia e à validação de certificado.

    Se os sensores de OT ou o console de gerenciamento local estiverem configurados para validar certificados e o certificado não puder ser verificado, os alertas não serão encaminhados.

    Nesses casos, o sensor ou o console de gerenciamento local é o cliente e o iniciador da sessão. Normalmente, os certificados são recebidos do servidor ou usam criptografia assimétrica, em que um certificado específico é fornecido para configurar a integração.

  • Regras de exclusão de alertas. Se você tiver regras de exclusão configuradas no console de gerenciamento local, os sensores poderão estar ignorando os alertas que você está tentando encaminhar. Para saber mais, confira Criar regras de exclusão de alerta em um console de gerenciamento local.

Próximas etapas