Partilhar via


Acelere os fluxos de trabalho de alertas OT

Nota

Os recursos observados estão em VISUALIZAÇÃO. Os Termos Suplementares do Azure Preview incluem outros termos legais que se aplicam a funcionalidades do Azure que estão em versão beta, pré-visualização ou ainda não disponibilizadas para disponibilidade geral.

Os alertas do Microsoft Defender para IoT melhoram a segurança e as operações da rede com detalhes em tempo real sobre eventos registrados na rede. Os alertas OT são acionados quando os sensores de rede OT detetam alterações ou atividades suspeitas no tráfego de rede que precisam de sua atenção.

Este artigo descreve os seguintes métodos para reduzir a fadiga do alerta de rede OT em sua equipe:

  • Crie regras de supressão a partir do portal do Azure para reduzir os alertas acionados pelos seus sensores. Se você estiver trabalhando em um ambiente air-gapped , faça isso criando regras de exclusão de alerta no console de gerenciamento local.

  • Crie comentários de alerta para que suas equipes adicionem a alertas individuais, simplificando a comunicação e a manutenção de registros em todos os alertas.

  • Crie regras de alerta personalizadas para identificar tráfego específico na sua rede

Pré-requisitos

Antes de usar os procedimentos nesta página, observe os seguintes pré-requisitos:

Para... Você deve ter ...
Criar regras de supressão de alertas no portal do Azure Uma assinatura do Defender for IoT com pelo menos um sensor OT conectado à nuvem e acesso como administrador de segurança, colaborador ou proprietário.
Criar uma lista de permissões de DNS em um sensor OT Um sensor de rede OT instalado e acesso ao sensor como o usuário Admin padrão.
Criar comentários de alerta em um sensor OT Um sensor de rede OT instalado e acesso ao sensor como qualquer usuário com uma função de administrador .
Criar regras de alerta personalizadas em um sensor OT Um sensor de rede OT instalado e acesso ao sensor como qualquer usuário com uma função de administrador .
Criar regras de exclusão de alerta em um console de gerenciamento local Um console de gerenciamento local instalado e acesso ao console de gerenciamento local como qualquer usuário com uma função de administrador .

Para obter mais informações, consulte:

Suprimir alertas irrelevantes

Configure seus sensores OT para suprimir alertas para tráfego específico em sua rede que, de outra forma, dispararia um alerta. Por exemplo, se todos os dispositivos OT monitorados por um sensor específico estiverem passando por procedimentos de manutenção por dois dias, convém definir uma regra para suprimir todos os alertas gerados por esse sensor durante o período de manutenção.

  • Para sensores OT conectados à nuvem, crie regras de supressão de alertas no portal do Azure para ignorar o tráfego especificado em sua rede que, de outra forma, dispararia um alerta.

  • Para sensores gerenciados localmente, crie regras de exclusão de alerta no console de gerenciamento local, usando a interface do usuário ou a API.

Importante

As regras configuradas no portal do Azure substituem quaisquer regras configuradas para o mesmo sensor no console de gerenciamento local. Se você estiver usando regras de exclusão de alerta no console de gerenciamento local, recomendamos migrá-las para o portal do Azure como regras de supressão antes de começar.

Criar regras de supressão de alertas no portal do Azure (Pré-visualização Pública)

Esta seção descreve como criar uma regra de supressão de alertas no portal do Azure e é suportada apenas para sensores conectados à nuvem.

Para criar uma regra de supressão de alerta:

  1. No Defender for IoT no portal do Azure, selecione Regras de supressão de alertas>.

  2. Na página Regras de supressão (Pré-visualização), selecione + Criar.

  3. Na guia Criar detalhes do painel de regras de supressão, insira os seguintes detalhes:

    1. Selecione sua assinatura do Azure na lista suspensa.

    2. Insira um nome significativo para sua regra e uma descrição opcional.

    3. Ative Habilitado para que a regra comece a ser executada conforme configurado. Você também pode deixar essa opção desativada para começar a usar a regra apenas mais tarde.

    4. Na área Suprimir por intervalo de tempo, ative Data de expiração para definir uma data e hora de início e término específicas para sua regra. Selecione Adicionar intervalo para adicionar vários intervalos de tempo.

    5. Na área Aplicar em, selecione se deseja aplicar a regra a todos os sensores da sua assinatura ou apenas a sites ou sensores específicos. Se você selecionar Aplicar na seleção personalizada, selecione os sites e/ou sensores onde deseja que a regra seja executada.

      Quando você seleciona um site específico, a regra se aplica a todos os sensores existentes e futuros associados ao site.

    6. Selecione Avançar e confirme a mensagem de substituição.

  4. Na guia Condições do painel Criar regra de supressão:

    1. Na lista suspensa Nome do alerta , selecione um ou mais alertas para sua regra. Selecionar o nome de um mecanismo de alerta em vez de um nome de regra específico aplica a regra a todos os alertas existentes e futuros associados a esse mecanismo.

    2. Opcionalmente, filtre ainda mais sua regra definindo condições adicionais, como para tráfego proveniente de fontes específicas, para destinos específicos ou em sub-redes específicas. Ao especificar sub-redes como condições, observe que as sub-redes se referem aos dispositivos de origem e destino.

    3. Quando terminar de configurar as condições da regra, selecione Avançar.

  5. No painel Criar regra de supressão Rever e criar separador, reveja os detalhes da regra que está a criar e, em seguida, selecione Criar.

Sua regra é adicionada à lista de regras de supressão na página Regras de supressão (Visualização ). Selecione uma regra para editá-la ou excluí-la conforme necessário.

Gorjeta

Se precisar exportar regras de supressão, selecione o botão Exportar na barra de ferramentas. Todas as regras configuradas são exportadas para um único arquivo . CSV, que você pode salvar localmente.

Migrar regras de supressão de um console de gerenciamento local (Visualização Pública)

Se estiver atualmente a utilizar uma consola de gestão no local com sensores ligados à nuvem, recomendamos que migre quaisquer regras de exclusão para o portal do Azure como regras de supressão antes de começar a criar novas regras de supressão. Todas as regras de supressão configuradas no portal do Azure substituem as regras de exclusão de alerta que existem para os mesmos sensores no console de gerenciamento local.

Para exportar regras de exclusão de alertas e importá-las para o portal do Azure:

  1. Entre no console de gerenciamento local e selecione Exclusão de alerta.

  2. Na página Exclusão de alerta, selecione Exportar para exportar suas regras para um arquivo . Arquivo CSV.

  3. No Defender for IoT no portal do Azure, selecione Regras de supressão de alertas>.

  4. Na página Regras de supressão (Pré-visualização), selecione Migrar regras de gestor local e, em seguida, procure e selecione o . CSV que você baixou do console de gerenciamento local.

  5. No painel Migrar regras de supressão, revise a lista carregada de regras de supressão que você está prestes a migrar e selecione Aprovar migração.

  6. Confirme a mensagem de substituição.

Suas regras são adicionadas à lista de regras de supressão na página Regras de supressão (Visualização ). Selecione uma regra para editá-la ou excluí-la conforme necessário.

Permitir ligações à Internet numa rede OT

Diminua o número de alertas de internet não autorizados criando uma lista de permissões de nomes de domínio no seu sensor OT. Quando uma lista de permissões DNS é configurada, o sensor verifica cada tentativa não autorizada de conectividade com a Internet em relação à lista antes de disparar um alerta. Se o FQDN do domínio estiver incluído na lista de permissões, o sensor não acionará o alerta e permitirá o tráfego automaticamente.

Todos os usuários do sensor OT podem visualizar uma lista atualmente configurada de domínios em um relatório de mineração de dados, incluindo os FQDNs, endereços IP resolvidos e a última hora de resolução.

Para definir uma lista de permissões DNS:

  1. Inicie sessão no seu sensor OT como utilizador administrador e selecione a página de Suporte .

  2. Na caixa de pesquisa, procure DNS e, em seguida, localize o mecanismo com a descrição da lista de permissões de domínio da Internet.

  3. Selecione Editar para a linha Lista de permissões de domínio da Internet. Por exemplo:

    Captura de tela de como editar configurações para DNS no console do sensor.

  4. No campo Editar lista de permissões do painel >de configuração Fqdn, insira um ou mais nomes de domínio. Separe vários nomes de domínio por vírgulas. O sensor não gerará alertas para tentativas não autorizadas de conectividade com a Internet nos domínios configurados.

    Você pode usar o curinga * em qualquer lugar no nome de domínio para adicionar facilmente subdomínios à lista de permissões sem ter que inserir cada um, por exemplo, *.microsoft.com ou teams.microsoft.*.

  5. Selecione Enviar para salvar as alterações.

Para exibir a lista de permissões atual em um relatório de mineração de dados:

Ao selecionar uma categoria em seu relatório de mineração de dados personalizado, certifique-se de selecionar Lista de Permissões de Domínio da Internet na categoria DNS .

Por exemplo:

Captura de tela de como gerar um relatório de mineração de dados personalizado para a lista de permissões no console do sensor.

O relatório de mineração de dados gerado mostra uma lista dos domínios permitidos e cada endereço IP que está sendo resolvido para esses domínios. O relatório também inclui o TTL, em segundos, durante o qual esses endereços IP não disparam um alerta de conectividade com a Internet.

Criar comentários de alerta em um sensor OT

  1. Inicie sessão no seu sensor OT e selecione Definições do>Sistema Comentários de Alerta de Monitorização>de Rede.

  2. No painel Comentários de alerta , no campo Descrição , insira o novo comentário e selecione Adicionar. O novo comentário aparece na lista Descrição abaixo do campo.

    Por exemplo:

    Captura de ecrã do painel de comentários Alerta no sensor OT.

  3. Selecione Enviar para adicionar seu comentário à lista de comentários disponíveis em cada alerta no sensor.

Comentários personalizados estão disponíveis em cada alerta no sensor para os membros da equipe adicionarem. Para obter mais informações, consulte Adicionar comentários de alerta.

Criar regras de alerta personalizadas em um sensor OT

Adicione regras de alerta personalizadas para disparar alertas para atividades específicas na sua rede que não são cobertas pela funcionalidade pronta para uso.

Por exemplo, para um ambiente que executa o MODBUS, você pode adicionar uma regra para detetar quaisquer comandos escritos em um registro de memória em um endereço IP específico e destino ethernet.

Para criar uma regra de alerta personalizada:

  1. Inicie sessão no sensor OT e selecione Regras de alerta personalizadas>+ Criar regra.

  2. No painel Criar regra de alerta personalizada, defina os seguintes campos:

    Nome Descrição
    Nome do alerta Insira um nome significativo para o alerta.
    Protocolo de alerta Selecione o protocolo que deseja detetar.
    Em casos específicos, selecione um dos seguintes protocolos:

    - Para um evento de manipulação de dados ou estrutura de banco de dados, selecione TNS ou TDS.
    - Para um evento de arquivo, selecione HTTP, DELTAV, SMB ou FTP, dependendo do tipo de arquivo.
    - Para um evento de download de pacote, selecione HTTP.
    - Para um evento de portas abertas (descartadas), selecione TCP ou UDP, dependendo do tipo de porta.

    Para criar regras que rastreiem alterações específicas em um de seus protocolos OT, como S7 ou CIP, use quaisquer parâmetros encontrados nesse protocolo, como tag ou sub-function.
    Mensagem Defina uma mensagem a ser exibida quando o alerta for acionado. As mensagens de alerta suportam caracteres alfanuméricos e quaisquer variáveis de tráfego detetadas.

    Por exemplo, talvez você queira incluir os endereços de origem e destino detetados. Use colchetes ({}) para adicionar variáveis à mensagem de alerta.
    Direção Insira um endereço IP de origem e/ou destino onde você deseja detetar tráfego.
    Condições Defina uma ou mais condições que devem ser atendidas para disparar o alerta.

    - Selecione o + sinal para criar um conjunto de condições com várias condições que usam o operador AND . O + sinal é ativado somente depois de selecionar um valor de protocolo de alerta.
    - Se você selecionar um endereço MAC ou endereço IP como uma variável, você deve converter o valor de um endereço decimal pontilhado para o formato decimal.

    Você deve adicionar pelo menos uma condição para criar uma regra de alerta personalizada.
    Detetado Defina um intervalo de datas e/ou horas para o tráfego que pretende detetar. Personalize os dias e o intervalo de tempo para se adequar às horas de manutenção ou definir horas de trabalho.
    Ação Defina uma ação que você deseja que o Defender for IoT execute automaticamente quando o alerta for acionado.
    Faça com que o Defender for IoT crie um alerta ou evento, com a gravidade especificada.
    PCAP incluído Se você selecionou para criar um evento, desmarque a opção PCAP incluído conforme necessário. Se você selecionou criar um alerta, o PCAP está sempre incluído e não pode ser removido.

    Por exemplo:

    Captura de ecrã do painel Criar regras de alerta personalizadas para criar regras de alerta personalizadas.

  3. Selecione Salvar quando terminar para salvar a regra.

Editar uma regra de alerta personalizada

Para editar uma regra de alerta personalizada, selecione a regra e, em seguida, selecione o menu> de opções (...) Editar. Modifique a regra de alerta conforme necessário e salve as alterações.

As edições feitas em regras de alerta personalizadas, como alterar um nível de gravidade ou protocolo, são rastreadas na página Linha do tempo do evento no sensor OT.

Para obter mais informações, consulte Rastrear a atividade do sensor.

Desativar, habilitar ou excluir regras de alerta personalizadas

Desative as regras de alerta personalizadas para impedir que sejam executadas sem excluí-las completamente.

Na página Regras de alerta personalizadas, selecione uma ou mais regras e, em seguida, selecione Desativar, Ativar ou Eliminar na barra de ferramentas, conforme necessário.

Criar regras de exclusão de alerta em um console de gerenciamento local

Crie regras de exclusão de alerta para instruir os sensores a ignorar tráfego específico na rede que, de outra forma, dispararia um alerta.

Por exemplo, se você souber que todos os dispositivos OT monitorados por um sensor específico passarão por procedimentos de manutenção por dois dias, defina uma regra de exclusão que instrua o Defender for IoT a suprimir alertas detetados por esse sensor durante o período predefinido.

Para criar uma regra de exclusão de alerta:

  1. Entre no console de gerenciamento local e selecione Exclusão de alertas no menu à esquerda.

  2. Na página Exclusão de alerta , selecione o + botão no canto superior direito para adicionar uma nova regra.

  3. Na caixa de diálogo Criar Regra de Exclusão, insira os seguintes detalhes:

    Nome Descrição
    Nome Insira um nome significativo para sua regra. O nome não pode conter aspas (").
    Por Período de Tempo Selecione um fuso horário e o período de tempo específico em que pretende que a regra de exclusão esteja ativa e, em seguida, selecione ADD.

    Use esta opção para criar regras separadas para fusos horários diferentes. Por exemplo, talvez seja necessário aplicar uma regra de exclusão entre 8h00 e 10h00 em três fusos horários diferentes. Nesse caso, crie três regras de exclusão separadas que usem o mesmo período de tempo e o mesmo fuso horário relevante.
    Por endereço do dispositivo Selecione e insira os seguintes valores e, em seguida, selecione ADD:

    - Selecione se o dispositivo designado é uma origem, um destino ou um dispositivo de origem e destino.
    - Selecione se o endereço é um endereço IP, endereço MAC ou sub-rede
    - Digite o valor do endereço IP, endereço MAC ou sub-rede.
    Por título de alerta Selecione um ou mais alertas para adicionar à regra de exclusão e, em seguida, selecione ADD. Para encontrar títulos de alerta, insira todo ou parte de um título de alerta e selecione o desejado na lista suspensa.
    Por nome do sensor Selecione um ou mais sensores para adicionar à regra de exclusão e, em seguida, selecione ADD. Para encontrar nomes de sensores, insira todo ou parte do nome do sensor e selecione o desejado na lista suspensa.

    Importante

    As regras de exclusão de alertas são AND baseadas, o que significa que os alertas só são excluídos quando todas as condições da regra são atendidas. Se uma condição de regra não estiver definida, todas as opções serão incluídas. Por exemplo, se você não incluir o nome de um sensor na regra, a regra será aplicada a todos os sensores.

    Um resumo dos parâmetros da regra é mostrado na parte inferior da caixa de diálogo.

  4. Verifique o resumo da regra mostrado na parte inferior da caixa de diálogo Criar Regra de Exclusão e selecione SALVAR

Criar regras de exclusão de alertas via API

Use a API do Defender for IoT para criar regras de exclusão de alerta de um sistema de tíquete externo ou outro sistema que gerencie processos de manutenção de rede.

Use a API maintenanceWindow (Criar exclusões de alerta) para definir os sensores, mecanismos de análise, hora de início e hora de término para aplicar a regra. As regras de exclusão criadas por meio da API são mostradas no console de gerenciamento local como somente leitura.

Para obter mais informações, consulte Referência da API do Defender for IoT.

Próximos passos