Criar uma linha de base aprendida de alertas de OT
Este artigo faz parte de uma série de artigos que descrevem o caminho de implantação para monitoramento de OT com Microsoft Defender para IoT e descreve como criar uma linha de base de tráfego aprendido em um sensor de OT.
Visão geral do processo de monitoramento em vários estágios
Um sensor de rede OT começa a monitorar sua rede automaticamente depois que ele é conectado à rede e você entra. Os dispositivos de rede começam a aparecer no inventário de dispositivos e os alertas são disparados para quaisquer incidentes operacionais ou de segurança que ocorram em sua rede.
O Defender para IoT usa um processo de monitoramento de três estágios que aprende o comportamento normal de tráfego da sua rede. Esses são os três estágios garantem a detecção exata ao reduzir alertas desnecessários:
Resumo dos estágios de monitoramento
| Mode | Finalidade | Dispara alertas | Ações do usuário necessárias |
|---|---|---|---|
| Aprendizado | Cria uma linha de base do tráfego de rede normal | Alertas de malware, alertas de anomalias, alertas operacionais, alertas de violação de protocolo | Desativa manualmente após 2–6 semanas ou quando a linha de base reflete a atividade de rede exata |
| Dinâmico | Aprimora a linha de base ao introduzir gradualmente alertas de Violações de Política para garantir a exatidão e reduzir o ruído de alerta | Alertas de Violação de Política são introduzidos | Opcional: ajustar as configurações para cenários específicos (por exemplo, durante POCs) |
| Operacional | Monitora todo o tráfego de rede com uma linha de base estável, disparando todos os alertas para refletir desvios ou atividades suspeitas | Todos os tipos de alertas | Nenhum. Faz a transição automática quando a linha de base se estabiliza |
Modo de aprendizado
Inicialmente, o sensor é executado em modo de aprendizado para monitorar todo o tráfego de rede e criar uma linha de base de todos os padrões de tráfego normais. Essa linha de base inclui todos os dispositivos e protocolos em sua rede e as transferências de arquivo regulares que ocorrem entre dispositivos. Esse processo normalmente leva entre 2 e 6 semanas, dependendo do tamanho da rede e da complexidade. Além disso, todos os dispositivos descobertos posteriormente entram no modo de aprendizado por 7 dias para estabelecer sua linha de base de tráfego de rede.
No modo de aprendizado, o sensor monitora e protege seu ambiente disparando alertas de segurança relevantes, como malware, anomalias e alertas operacionais. No entanto, os alertas de Violação de Política, que indicam desvios da linha de base, não são disparados enquanto o sistema está no modo de aprendizado.
Modo dinâmico
Depois que o processo de descoberta e o tráfego de rede estiverem estáveis, você deverá desativar manualmente o modo de aprendizado. Nesse momento, o sensor faz a transição para o modo dinâmico. No modo dinâmico, o sensor continua monitorando sua rede, validando e refinando a linha de base. O sensor avalia cada cenário e categoria de alerta individualmente, alterando-os dinamicamente para o modo operacional quando suas linhas de base são confirmadas como exatas. Como alternativa, se o sensor detectar alterações significativas no tráfego, ele poderá estender automaticamente o modo de aprendizado para alertas ou cenários específicos.
No modo dinâmico, os alertas de Violação de Política são introduzidos gradualmente e começam a aparecer no inventário de alertas.
Modo operacional
Depois que o sensor identifica que a linha de base está estável e a conclui, ele faz a transição automática para o modo operacional, monitorando todo o tráfego de rede e disparando todos os tipos de alerta.
A ação Aprender torna-se relevante depois que o modo de aprendizado é desativado, quando o cenário faz a transição para o modo operacional e você deseja marcar operações específicas como atividade autorizada ou esperada. Depois de aprendida, atividades semelhantes não gerarão novos alertas no futuro.
Desative o modo de aprendizado manualmente quando o nível de alertas refletir com precisão a sua atividade de rede.
Para obter mais informações, confira Alertas do Microsoft Defender para IoT.
Pré-requisitos
Você pode executar os procedimentos neste artigo do portal do Azure ou de um sensor de OT.
Antes de começar, verifique se você tem estes itens:
Um sensor OT instalado, configurado e ativado, com alertas sendo acionados pelo tráfego detectado.
Acesso ao sensor de OT como Analista de Segurança ou usuárioAdministrador. Para obter mais informações, confira Usuários locais e funções para monitoramento de OT com o Defender para IoT.
Alertas de triagem
Faça alertas de triagem no final da implantação para criar uma linha de base inicial para sua atividade de rede.
Entre no sensor de OT e selecione a página Alertas.
Use as opções de classificação e agrupamento para exibir os alertas mais críticos primeiro. Revise cada alerta para atualizar status e saiba mais sobre alertas para tráfego autorizado por OT.
Para obter mais informações, consulte Exibir e gerenciar alertas no sensor de OT.
Próximas etapas
Depois que o modo de aprendizado é desativado e você passa do modo de aprendizado para o modo de operação, continue com qualquer um dos seguintes:
- Visualizar dados do Microsoft Defender para IoT com pastas de trabalho do Azure Monitor
- Exibir e gerenciar alertas no portal do Azure
- Gerenciar o inventário de dispositivos no portal do Azure
Integrar os dados do Defender para IoT ao Microsoft Sentinel para unificar o monitoramento de segurança da equipe do SOC. Para obter mais informações, consulte: