Exibir e gerenciar alertas a partir do portal do Azure
Os alertas do Microsoft Defender para IoT aprimoram a segurança e as operações de rede com detalhes em tempo real sobre eventos registrados em sua rede. Este artigo descreve como gerenciar alertas do Microsoft Defender para IoT no portal do Azure, incluindo alertas gerados por sensores de rede de OT e Enterprise IoT.
Os alertas de OT também estão disponíveis em cada console de sensor de rede de OT ou em um console de gerenciamento local conectado
Integre-se ao Microsoft Sentinel para exibir alertas do Defender para IoT no Microsoft Sentinel e gerenciá-los com incidentes de segurança.
Caso tenha a segurança da IoT Enterpriseativada no Microsoft Defender XDR, os alertas para dispositivos da IoT Enterprise detectados pelo Microsoft Defender para Ponto de Extremidade estarão disponíveis apenas no Defender para Ponto de Extremidade.
Para obter mais informações, consulte Proteção de dispositivos IoT na empresa e Fila de alertas no Microsoft Defender XDR.
Pré-requisitos
Para ter alertas no Defender para IoT, você precisará ter um sensor de OT integrado e um fluxo de dados de rede para o Defender para IoT.
Para exibir alertas no portal do Azure, você precisa ter acesso como Leitor de Segurança, Administrador de Segurança, Colaborador ou Proprietário
Para gerenciar alertas no portal do Azure, você precisa ter acesso como Administrador de Segurança, Colaborador ou Proprietário. As atividades de gerenciamento de alertas incluem a modificação de seus status ou gravidades, o aprendizado de um alerta, o acesso a dados PCAP ou o uso de regras de supressão de alertas.
Para obter mais informações, consulte Funções e permissões de usuário do Azure para o Defender para IoT.
Exibir alertas no portal do Azure
No Defender para IoT no portal do Azure, selecione a página Alertas à esquerda. Por padrão, os seguintes detalhes são mostrados na grade:
Coluna Descrição Gravidade Uma severidade de alerta predefinida atribuída pelo sensor que você pode modificar conforme necessário. Nome O título do alerta. Site O site associado ao sensor que detectou o alerta, conforme indicado na página Sites e sensores. Mecanismo O mecanismo de detecção do Defender para IoT que detectou a atividade e disparou o alerta.
Observação: o valor Microagente indica que o evento foi disparado pela plataforma Construtor de Dispositivos do Defender para IoT.Última detecção A primeira vez que o alerta foi detectado.
- Se o status de um alerta for Novo e o mesmo tráfego for visto novamente, a hora da Última detecção será atualizada para o mesmo alerta.
- Se o status do alerta for Fechado e o tráfego for visto novamente, a hora da Última detecçãonão será atualizada e um novo alerta será disparado.
Observação: enquanto o console do sensor exibir o campo Última detecção de um alerta em tempo real, o Defender para IoT no portal do Azure pode levar até uma hora para exibir o tempo atualizado. Isso explica um cenário em que o último tempo de detecção no console do sensor não é o mesmo que a hora da última detecção no portal do Azure.Status O status do alerta: Novo, Ativo, Fechado
Para obter mais informações, consulte Status de alerta e opções de triagem.Dispositivo de origem O endereço IP, o endereço MAC ou o nome do dispositivo em que o tráfego que disparou o alerta foi originado. Táticas A fase MITRE ATT&CK. Para exibir mais detalhes, selecione o botão Editar colunas.
No painel Editar colunas à direita, selecione Adicionar Coluna e qualquer uma das seguintes colunas extra:
Coluna Descrição Endereço do dispositivo de origem O endereço IP do dispositivo de origem. Endereço do dispositivo de destino O endereço IP do dispositivo de destino. Dispositivo de destino O endereço IP ou MAC de destino ou o nome do dispositivo de destino. Primeira detecção A primeira vez que o alerta foi detectado na rede. Id A ID de alerta exclusiva, alinhada com a ID no console do sensor.
Observação: se o alerta foi mesclado com outros alertas de sensores que detectaram o mesmo alerta, o portal do Azure exibirá a ID de alerta do primeiro sensor que gerou os alertas.Última atividade A última vez em que o alerta foi alterado, incluindo atualizações manuais de severidade ou status ou alterações automatizadas para atualizações de dispositivo ou eliminação de duplicação de dispositivos/alertas Protocolo O protocolo detectado no tráfego de rede para o alerta. Sensor O sensor que detectou o alerta. Zona A zona atribuída ao sensor que detectou o alerta. Categoria A categoria associada ao alerta, como problemas operacionais, alertas personalizados ou comandos ilegais. Tipo O nome interno do alerta.
Dica
Se você estiver vendo mais alertas do que o esperado, talvez queira criar regras de supressão para impedir que alertas sejam disparados para atividades de rede legítimas. Para saber mais, confira Suprimir alertas irrelevantes.
Filtrar alertas exibidos
Use a caixa Pesquisa e as opções Intervalo de tempo eAdicionar filtro para filtrar os alertas exibidos por parâmetros específicos ou ajudar a localizar um alerta específico.
Por exemplo, filtre os alertas por Categoria:
Agrupar alertas exibidos
Use o menu Agrupar por no canto superior direito para recolher a grade em subseções de acordo com parâmetros específicos.
Por exemplo, enquanto o número total de alertas aparece acima da grade, talvez você queira informações mais específicas sobre a divisão da contagem de alertas, como o número de alertas com uma gravidade específica, protocolo ou site.
As opções de agrupamento com suporte incluem Mecanismo, Nome, Sensor, Severidade e Site.
Exibir detalhes e corrigir um alerta específico
Na página Alertas, selecione um alerta na grade para exibir mais detalhes no painel à direita. O painel de detalhes do alerta inclui a descrição do alerta, a origem e o destino do tráfego e muito mais.
Selecione Exibir os detalhes completos para continuar com a busca detalhada. Por exemplo:
A página de detalhes do alerta fornece mais detalhes sobre o alerta, bem como um conjunto de etapas de correção, na guia Executar ação. Por exemplo:
Gerenciar o status e a severidade do alerta
Recomendamos que você atualize a severidade do alerta no Defender para IoT no portal do Azure assim que fizer a triagem de um alerta para priorizar os alertas mais arriscados o quanto antes. Atualize o status do alerta depois de executar as etapas de correção para que o progresso seja registrado.
Você pode atualizar o status e a severidade de um só alerta ou de uma seleção de alertas em massa.
Conheça um alerta para indicar ao Defender para IoT que o tráfego de rede detectado está autorizado. Os alertas conhecidos não serão disparados novamente na próxima vez que o mesmo tráfego for detectado em sua rede. O aprendizado tem suporte apenas para alertas selecionados, e o esquecimento só tem suporte do sensor de rede de OT.
Para obter mais informações, consulte Status de alerta e opções de triagem.
Para gerenciar um único alerta:
- No Defender para IoT no portal do Azure, selecione a página Alertas à esquerda e selecione um alerta na grade.
- Selecione o novo status e/ou a gravidade no painel de detalhes à direita ou na página de detalhes do alerta.
Para gerenciar vários alertas em massa:
- No Defender para IoT no portal do Azure, selecione a página Alertas à esquerda e selecione os alertas na grade que você deseja modificar.
- Use as opções Alterar status e/ou Alterar gravidade na barra de ferramentas para atualizar o status e/ou a gravidade de todos os alertas selecionados.
Para aprender sobre um ou mais alertas:
No Defender para IoT no portal do Azure, selecione a página Alertas à esquerda e siga um destes procedimentos:
- Selecione um ou mais alertas que podem ser aprendidos na grade e, em seguida, selecione Aprender na barra de ferramentas.
- Em uma página de detalhes de um alerta que pode ser aprendido, na guia Executar ação, selecione Learn.
Acessar dados de PCAP do alerta
Talvez você queira acessar arquivos de tráfego brutos, também conhecidos como arquivos de captura de pacotes ou arquivos PCAP, como parte de sua investigação. Se você for um engenheiro de segurança de SOC ou OT, acesse arquivos de PCAP diretamente do portal do Azure para ajudá-lo a investigar mais rapidamente.
Para acessar arquivos de tráfego brutos para o alerta, selecione Baixar PCAP no canto superior esquerdo da página de detalhes do alerta.
Por exemplo:
O portal solicita o arquivo do sensor que detectou o alerta e o baixa no armazenamento do Azure.
Baixar o arquivo PCAP pode levar vários minutos, dependendo da qualidade da conectividade do sensor.
Exportar alertas para um arquivo CSV
Talvez você queira exportar uma seleção de alertas para um arquivo CSV para compartilhamento offline e criação de relatórios.
No Defender para IoT no portal do Azure, selecione a página Alertas à esquerda.
Use a caixa de pesquisa e as opções de filtro para mostrar apenas os alertas que você exportar.
Na barra de ferramentas acima da grade, selecione Exportar>Confirmar.
O arquivo é gerado e você é solicitado a salvá-lo localmente.