Exibi e gerenciar alertas no console de gerenciamento local (herdado)
Importante
O Defender para IoT agora recomenda o uso de serviços de nuvem da Microsoft ou infraestrutura de TI existente para monitoramento central e gerenciamento de sensores, e planeja desativar o console de gerenciamento local em 1º de janeiro de 2025.
Para obter mais informações, consulte Implantar o gerenciamento de sensores OT híbridos ou com cobertura de ar.
Os alertas do Microsoft Defender para IoT aprimoram a segurança e as operações de rede com detalhes em tempo real sobre eventos registrados em sua rede. Os alertas de OT são disparados quando sensores de rede de OT detectam alterações ou atividades suspeitas no tráfego de rede que precisam de sua atenção.
Este artigo descreve como exibir alertas do Defender para IoT em um console de gerenciamento local, que agrega alertas de todos os sensores de OT conectados. Você também pode exibir alertas de OT no portal do Azure ou em um sensor de rede de OT.
Pré-requisitos
Antes de executar os procedimentos neste artigo, verifique se você tem:
Um console de gerenciamento local instalado, ativado e configurado. Para exibir alertas por zona, verifique se você configurou sites e zonas no console de gerenciamento local.
Um ou mais sensores OT instalados, configurados, ativados e conectados ao seu console de gerenciamento local. Para exibir alertas por zona, verifique se cada sensor está atribuído a uma zona específica.
Acesse o console de gerenciamento local com uma das seguintes funções de usuário:
Para exibir alertas no console de gerenciamento local, entre como um usuário Administrador, Analista de Segurança ou Visualizador.
Para gerenciar alertas no console de gerenciamento local, entre como um usuário Administrador ou Analista de Segurança. As atividades de gerenciamento incluem a confirmação ou o silenciamento de um alerta, dependendo do tipo de alerta.
Exibir alertas no console de gerenciamento local
Entre no console de gerenciamento local e selecione Alertas no menu à esquerda.
Os alertas são mostrados em uma tabela simples, mostrando o sensor que disparou o alerta e detalhes do alerta em duas colunas.
Selecione uma linha de alerta para expandir seus detalhes completos.
Em uma linha de alerta expandida, siga um destes procedimentos para exibir mais contexto sobre o alerta:
Selecione ABRIR SENSOR para abrir o sensor que gerou o alerta e continuar sua investigação. Para obter mais informações, consulte Exibir e gerenciar alertas no sensor de OT.
Selecione MOSTRAR DISPOSITIVOS para mostrar os dispositivos afetados em um mapa de zona. Para obter mais informações, confira Criar sites e zonas de OT em um console de gerenciamento local.
Observação
No console de gerenciamento local, Novos alertas são chamados de Não reconhecidos e alertas Encerrados são chamados de Reconhecidos. Para obter mais informações, consulte Status de alerta e opções de triagem.
Filtrar os alertas exibidos
Na parte superior da página Alertas, use as opções Pesquisa Gratuita, Sites, Zonas, Dispositivos e Sensores para filtrar os alertas exibidos por parâmetros específicos ou para ajudar a localizar um alerta específico.
Alertas reconhecidos não são listados por padrão. Selecione Mostrar Alertas Reconhecidos para incluí-los na lista.
Selecione Limpar para remover todos os filtros.
Exibir alertas por local
Para exibir alertas de sensores de OT conectados em toda a rede global, use o mapa do Modo de Exibição Enterprise em um console de gerenciamento local.
Entre no console de gerenciamento local e selecione a página Modo de Exibição Enterprise. A exibição de mapa padrão mostra seus sites em seus locais ao redor do mundo.
(Opcional) Use os menus Todos os Sites e Todas as Regiões na parte superior da página para filtrar seu mapa e exibir apenas sites específicos ou apenas regiões específicas.
No menu Modo de Exibição Padrão na parte superior da página, selecione qualquer uma dos seguintes opções para fazer drill down para tipos específicos de alertas:
- Gerenciamento de Riscos. Destaca os alertas de risco do site, ajudando você a priorizar atividades de mitigação e planejar melhorias de segurança.
- Resposta a Incidentes Realça todos os alertas ativos (não reconhecidos) em cada site.
- Atividade Mal-intencionada. Realça alertas de malware, que exigem ação imediata.
- Alertas Operacionais. Realça alertas operacionais, como as paradas de PLC e os uploads de firmware ou programas.
Em todos os modos de exibição, exceto no Modo de Exibição Padrão, seus sites aparecem em vermelho, amarelo ou verde. Sites vermelhos têm alertas que exigem ação imediata, sites amarelos têm alertas que justificam uma investigação e sites verdes não exigem nenhuma ação.
Selecione um site vermelho ou amarelo e, em seguida, selecione o botão alertas para um sensor de OT específico para ir para os alertas atuais desse sensor. Por exemplo:
A página Alertas é aberta, filtrada automaticamente para os alertas selecionados.
Exibir alertas por zona
Para exibir alertas de sensores de OT conectados para uma zona específica, use a página Gerenciamento de Site em um console de gerenciamento local.
Entre no console de gerenciamento local e selecione Gerenciamento de Site.
Localize o site e a zona que você deseja ver usando as opções de filtragem na parte superior, conforme necessário:
- Conectividade: selecione-a para ver apenas todos os sensores de OT ou apenas os sensores conectados/desconectados.
- Status da Atualização: selecione-a para ver todos os sensores de OT ou apenas aqueles com um status de atualização de software específico.
- Unidade de Negócios: selecione-a para ver todos os sensores de OT ou apenas aqueles de uma unidade de negócios específica.
- Região: selecione-a para ver todos os sensores de OT ou somente aqueles de uma região específica.
Selecione o botão alertas para um sensor de OT específico para ir para os alertas atuais desse sensor.
Gerenciar o status dos alertas e fazer a triagem de alertas
Use as seguintes opções para gerenciar o status do alerta no console de gerenciamento local, dependendo do tipo de alerta:
Para reconhecer ou desfazer o reconhecimento de um alerta: em uma linha de alerta expandida, selecione RECONHECER ou DESFAZER RECONHECIMENTO conforme necessário.
Para ativar ou desativar o mudo para um alerta: em uma linha de alerta expandida, passe o mouse sobre a parte superior da linha e selecione o botão Ativar mudo ou Desativar mudo conforme necessário.
Para obter mais informações, consulte Status de alerta e opções de triagem.
Exportar alertas para um arquivo CSV
Talvez você queira exportar uma seleção de alertas para um arquivo CSV para compartilhamento offline e criação de relatórios.
Entre no console de gerenciamento local e selecione a página Alertas.
Use as opções de caixa de pesquisa e filtro para mostrar apenas os alertas que você exportar.
Selecione Exportar.
O arquivo CSV é gerado e você é solicitado a salvá-lo localmente.