Encaminhar informações de alerta de OT local
Os alertas do Microsoft Defender para IoT melhoram a segurança e as operações da rede com detalhes em tempo real sobre eventos registrados na rede. Os alertas OT são acionados quando os sensores de rede OT detetam alterações ou atividades suspeitas no tráfego de rede que precisam de sua atenção.
Este artigo descreve como configurar seu sensor OT ou console de gerenciamento local para encaminhar alertas para serviços parceiros, servidores syslog, endereços de e-mail e muito mais. As informações de alerta encaminhadas incluem detalhes como:
- Data e hora da indicação
- Mecanismo que detetou o evento
- Título do alerta e mensagem descritiva
- Gravidade do alerta
- Nome de origem e destino e endereço IP
- Tráfego suspeito detetado
- Sensores desligados
- Falhas de backup remoto
Nota
As regras de alerta de encaminhamento são executadas somente em alertas acionados após a criação da regra de encaminhamento. Os alertas que já estão no sistema desde antes da criação da regra de encaminhamento não são afetados pela regra.
Pré-requisitos
Dependendo de onde você deseja criar suas regras de alerta de encaminhamento, você precisa ter um sensor de rede OT ou um console de gerenciamento local instalado, com acesso como um usuário Admin .
Para obter mais informações, consulte Instalar software de monitoramento sem agente de OT e Usuários e funções locais para monitoramento de OT com o Defender for IoT.
Você também precisa definir configurações SMTP no sensor OT ou no console de gerenciamento local.
Para obter mais informações, consulte Definir configurações do servidor de email SMTP em um sensor OT e Definir configurações do servidor de email SMTP no console de gerenciamento local.
Criar regras de encaminhamento em um sensor OT
Entre no sensor OT e selecione Encaminhamento no menu >à esquerda + Criar nova regra.
No painel Adicionar regra de encaminhamento, insira um nome de regra significativo e defina as condições e ações da regra da seguinte maneira:
Nome Descrição Nível de alerta mínimo Selecione o nível mínimo de severidade do alerta que deseja encaminhar.
Por exemplo, se você selecionar Menor, alertas menores e qualquer alerta acima desse nível de gravidade serão encaminhados.Qualquer protocolo detetado Ative para encaminhar alertas de todo o tráfego de protocolo ou desative e selecione os protocolos específicos que deseja incluir. Tráfego detetado por qualquer motor Ative para encaminhar alertas de todos os mecanismos de análise ou desative e selecione os mecanismos específicos que deseja incluir. Ações Selecione o tipo de servidor para o qual deseja encaminhar alertas e defina quaisquer outras informações necessárias para esse tipo de servidor.
Para adicionar vários servidores à mesma regra, selecione + Adicionar servidor e adicione mais detalhes.
Para obter mais informações, consulte Configurar ações de regra de encaminhamento de alerta.Quando terminar de configurar a regra, selecione Salvar. A regra está listada na página Encaminhamento .
Teste a regra que você criou:
- Selecione o menu de opções (...) para a regra >Enviar mensagem de teste.
- Vá para o serviço de destino para verificar se as informações enviadas pelo sensor foram recebidas.
Editar ou excluir regras de encaminhamento em um sensor OT
Para editar ou excluir uma regra existente:
Inicie sessão no seu sensor OT e selecione Reencaminhamento no menu do lado esquerdo.
Selecione o menu de opções (...) para a sua regra e, em seguida, efetue um dos seguintes procedimentos:
Selecione Editar e atualize os campos conforme necessário. Quando tiver terminado, selecione Guardar.
Selecione Excluir Sim> para confirmar a exclusão.
Criar regras de encaminhamento em um console de gerenciamento local
Para criar uma regra de encaminhamento no console de gerenciamento:
Entre no console de gerenciamento local e selecione Encaminhamento no menu à esquerda.
Selecione o + botão no canto superior direito para criar uma nova regra.
Na janela Criar Regra de Encaminhamento, insira um nome significativo para a regra e defina as condições e ações da regra da seguinte maneira:
Nome Descrição Nível de alerta mínimo No canto superior direito da caixa de diálogo, use a lista suspensa para selecionar o nível mínimo de gravidade do alerta que você deseja encaminhar.
Por exemplo, se você selecionar Menor, alertas menores e qualquer alerta acima desse nível de gravidade serão encaminhados.Protocolos Selecione Tudo para encaminhar alertas de todo o tráfego de protocolo ou selecione Específico para adicionar apenas protocolos específicos. Furgão Selecione Tudo para encaminhar alertas acionados por todos os mecanismos de análise de sensores ou selecione Específico para adicionar apenas mecanismos específicos. Notificações do sistema Selecione a opção Relatar notificações do sistema para notificar sobre sensores desconectados ou falhas de backup remoto. Notificações de alerta Selecione a opção Relatar notificações de alerta para notificar sobre a data e a hora, o título, a gravidade, o nome de origem e o destino e o endereço IP de um alerta, o tráfego suspeito e o mecanismo que detetou o evento. Ações Selecione Adicionar para adicionar uma ação a ser aplicada e insira quaisquer valores de parâmetros necessários para a ação selecionada. Repita conforme necessário para adicionar várias ações.
Para obter mais informações, consulte Configurar ações de regra de encaminhamento de alerta.Quando terminar de configurar a regra, selecione SALVAR. A regra está listada na página Encaminhamento .
Teste a regra que você criou:
- Na linha da regra, selecione o botão testar esta regra de encaminhamento. Uma notificação de êxito será mostrada se a mensagem for enviada com êxito.
- Vá para o sistema do seu parceiro para verificar se as informações enviadas pelo sensor foram recebidas.
Editar ou excluir regras de encaminhamento em um console de gerenciamento local
Para editar ou excluir uma regra existente:
Entre no console de gerenciamento local e selecione Encaminhamento no menu à esquerda.
Localize a linha da regra e, em seguida, selecione o botão Editar ou Eliminar.
Se estiver editando a regra, atualize os campos conforme necessário e selecione SALVAR.
Se você estiver excluindo a regra, selecione CONFIRMAR para confirmar a exclusão.
Configurar ações de regra de encaminhamento de alertas
Esta seção descreve como definir configurações para ações de regra de encaminhamento suportadas, em um sensor OT ou no console de gerenciamento local.
Ação de endereço de e-mail
Configure uma ação Email para encaminhar dados de alerta para o endereço de e-mail configurado.
Na área Ações, insira os seguintes detalhes:
Nome | Descrição |
---|---|
Servidor | Selecione E-mail. |
Introduza o endereço de e-mail para o qual pretende reencaminhar os alertas. Cada regra suporta um único endereço de e-mail. | |
Fuso horário | Selecione o fuso horário que deseja usar para a deteção de alertas no sistema de destino. |
Ações do servidor Syslog
Configure uma ação do servidor Syslog para encaminhar dados de alerta para o tipo selecionado de servidor Syslog.
Na área Ações, insira os seguintes detalhes:
Nome | Descrição |
---|---|
Servidor | Selecione um dos seguintes tipos de formatos syslog: - Servidor SYSLOG (formato CEF) - Servidor SYSLOG (formato LEEF) - Servidor SYSLOG (Objeto) - Servidor SYSLOG (mensagem de texto) |
Porta anfitriã / | Insira o nome do host e a porta do servidor syslog |
Fuso horário | Selecione o fuso horário que deseja usar para a deteção de alertas no sistema de destino. |
Protocolo | Suportado apenas para mensagens de texto. Selecione TCP ou UDP. |
Ativar encriptação | Suportado apenas para o formato CEF. Ative para configurar um arquivo de certificado de criptografia TLS, um arquivo de chave e uma frase secreta. |
As seções a seguir descrevem a sintaxe de saída syslog para cada formato.
Campos de saída de mensagem de texto Syslog
Nome | Descrição |
---|---|
Prioridade | Utilizador. Alerta |
Mensagem | Nome da plataforma CyberX: O nome do sensor. Microsoft Defender for IoT Alert: O título do alerta. Tipo: O tipo do alerta. Pode ser Violação de Protocolo, Violação de Política, Malware, Anomalia ou Operacional. Gravidade: A gravidade do alerta. Pode ser Aviso, Menor, Maior ou Crítico. Fonte: O nome do dispositivo de origem. IP de origem: O endereço IP do dispositivo de origem. Protocolo (Opcional): O protocolo de origem detetado. Endereço (Opcional): Endereço do protocolo de origem. Destino: o nome do dispositivo de destino. IP de destino: o endereço IP do dispositivo de destino. Protocolo (Opcional): O protocolo de destino detetado. Endereço (Opcional): O endereço do protocolo de destino. Mensagem: A mensagem do alerta. Grupo de alertas: o grupo de alertas associado ao alerta. UUID (Opcional): O UUID o alerta. |
Campos de saída do objeto Syslog
Nome | Descrição |
---|---|
Prioridade | User.Alert |
Data e Hora | Data e hora em que a máquina do servidor syslog recebeu as informações. |
Hostname (Nome do anfitrião) | Sensor IP |
Mensagem | Nome do sensor: O nome do aparelho. Tempo de alerta: A hora em que o alerta foi detetado: pode variar da hora da máquina do servidor syslog e depende da configuração de fuso horário da regra de encaminhamento. Título do alerta: o título do alerta. Mensagem de alerta: A mensagem do alerta. Gravidade do alerta: A gravidade do alerta: Aviso, Menor, Maior ou Crítico. Tipo de alerta: Violação de protocolo, Violação de política, Malware, Anomalia ou Operacional. Protocolo: O protocolo do alerta. Source_MAC: endereço IP, nome, fornecedor ou SO do dispositivo de origem. Destination_MAC: endereço IP, nome, fornecedor ou SO do destino. Se faltarem dados, o valor é N/A. alert_group: O grupo de alertas associado ao alerta. |
Campos de saída CEF Syslog
Nome | Descrição |
---|---|
Prioridade | User.Alert |
Data e hora | Data e hora em que o sensor enviou a informação, em formato UTC |
Hostname (Nome do anfitrião) | Nome do host do sensor |
Mensagem | CEF:0 Microsoft Defender para IoT/CyberX Nome do sensor Versão do sensor Alerta do Microsoft Defender para IoT Título do alerta Indicação de gravidade inteira. 1=Aviso, 4=Menor, 8=Maior ou 10=Crítico. msg= A mensagem do alerta. protocol= O protocolo do alerta. severidade= Aviso, Menor, Maior ou Crítico. type= Violação de protocolo, violação de política, malware, anomalia ou operacional. UUID= UUID do alerta (Opcional) start= A hora em que o alerta foi detetado. Pode variar da hora da máquina do servidor syslog e depende da configuração de fuso horário da regra de encaminhamento. src_ip= Endereço IP do dispositivo de origem. (Opcional) src_mac= Endereço MAC do dispositivo de origem. (Opcional) dst_ip= Endereço IP do dispositivo de destino. (Opcional) dst_mac= Endereço MAC do dispositivo de destino. (Opcional) cat= O grupo de alerta associado ao alerta. |
Campos de saída Syslog LEEF
Nome | Descrição |
---|---|
Prioridade | User.Alert |
Data e hora | Data e hora em que o sensor enviou a informação, em formato UTC |
Hostname (Nome do anfitrião) | Sensor IP |
Mensagem | Nome do sensor: o nome do dispositivo Microsoft Defender para IoT. LEEF:1.0 Microsoft Defender para IoT Sensor Versão do sensor Alerta do Microsoft Defender para IoT title: O título do alerta. msg: A mensagem do alerta. protocolo: O protocolo do alerta. gravidade: Advertência, Menor, Maior ou Crítica. tipo: O tipo de alerta: Violação de protocolo, Violação de política, Malware, Anomalia ou Operacional. start: A hora do alerta. Pode ser diferente da hora da máquina do servidor syslog e depende da configuração de fuso horário. src_ip: Endereço IP do dispositivo de origem. dst_ip: Endereço IP do dispositivo de destino. cat: O grupo de alerta associado ao alerta. |
Ação do servidor Webhook
Suportado apenas a partir da consola de gestão local
Configure uma ação Webhook para configurar uma integração que assina eventos de alerta do Defender for IoT. Por exemplo, envie dados de alerta para um servidor webhook para atualizar um sistema SIEM externo, um sistema SOAR ou um sistema de gerenciamento de incidentes.
Quando você configurou alertas para serem encaminhados para um servidor webhook e um evento de alerta é acionado, o console de gerenciamento local envia uma carga HTTP POST para a URL de webhook configurada.
Na área Ações, insira os seguintes detalhes:
Nome | Descrição |
---|---|
Servidor | Selecione Webhook. |
URL | Insira a URL do servidor webhook. |
Chave / Valor | Insira pares chave/valor para personalizar o cabeçalho HTTP conforme necessário. Os caracteres suportados incluem: - As teclas podem conter apenas letras, números, traços e sublinhados. - Os valores podem conter apenas um espaço à esquerda e/ou à direita. |
Webhook estendido
Suportado apenas a partir da consola de gestão local
Configure uma ação estendida do Webhook para enviar os seguintes dados extras para o servidor do webhook:
- ID do sensor
- sensorName
- zoneID
- zoneName
- ID do site
- Nome do site
- sourceDeviceAddress
- destinationDeviceAddress
- remediaçãoPassos
- manuseado
- informações adicionais
Na área Ações, insira os seguintes detalhes:
Nome | Descrição |
---|---|
Servidor | Selecione Webhook estendido. |
URL | Insira o URL de dados do ponto de extremidade. |
Chave / Valor | Insira pares chave/valor para personalizar o cabeçalho HTTP conforme necessário. Os caracteres suportados incluem: - As teclas podem conter apenas letras, números, traços e sublinhados. - Os valores podem conter apenas um espaço à esquerda e/ou à direita. |
Ação NetWitness
Configure uma ação NetWitness para enviar informações de alerta para um servidor NetWitness .
Na área Ações, insira os seguintes detalhes:
Nome | Descrição |
---|---|
Servidor | Selecione NetWitness. |
Nome do host / Porta | Digite o nome do host e a porta do servidor NetWitness. |
Time zone (Fuso horário) | Insira o fuso horário que você deseja usar no carimbo de data/hora para a deteção de alerta no SIEM. |
Configurar regras de encaminhamento para integrações de parceiros
Você pode estar integrando o Defender for IoT com um serviço parceiro para enviar informações de alerta ou inventário de dispositivos para outro sistema de segurança ou gerenciamento de dispositivos, ou para se comunicar com firewalls do lado do parceiro.
As integrações de parceiros podem ajudar a unir soluções de segurança anteriormente isoladas , melhorar a visibilidade do dispositivo e acelerar a resposta em todo o sistema para reduzir os riscos mais rapidamente.
Nesses casos, use as Ações suportadas para inserir credenciais e outras informações necessárias para se comunicar com serviços de parceiros integrados.
Para obter mais informações, consulte:
- Integre o Fortinet com o Microsoft Defender para IoT
- Integre o Qradar com o Microsoft Defender para IoT
Configurar grupos de alertas em serviços de parceiros
Quando você configura regras de encaminhamento para enviar dados de alerta para servidores Syslog, QRadar e ArcSight, os grupos de alertas são aplicados automaticamente e estão disponíveis nesses servidores parceiros.
Os grupos de alertas ajudam as equipes SOC a usar essas soluções de parceiros para gerenciar alertas com base em políticas de segurança corporativa e prioridades de negócios. Por exemplo, os alertas sobre novas deteções são organizados em um grupo de descoberta , que inclui quaisquer alertas sobre novos dispositivos, VLANs, contas de usuário, endereços MAC e muito mais.
Os grupos de alertas aparecem em serviços de parceiros com os seguintes prefixos:
Prefixo | Serviço de parceiros |
---|---|
cat |
QRadar, ArcSight, Syslog CEF, Syslog LEEF |
Alert Group |
Mensagens de texto Syslog |
alert_group |
Objetos Syslog |
Para usar grupos de alertas em sua integração, certifique-se de configurar seus serviços de parceiros para exibir o nome do grupo de alertas.
Por padrão, os alertas são agrupados da seguinte forma:
- Comportamento anormal de comunicação
- Alertas personalizados
- Acesso remoto
- Comportamento anormal de comunicação HTTP
- Deteção
- Comandos de reiniciar e parar
- Autenticação
- Alteração de firmware
- Digitalizar
- Comportamento de comunicação não autorizado
- Comandos ilegais
- Tráfego do sensor
- Anomalias de largura de banda
- Acesso à Internet
- Suspeita de malware
- Estouro de buffer
- Falhas de operação
- Suspeita de atividade maliciosa
- Falhas de comando
- Problemas operacionais
- Alterações de configuração
- Programação
Para obter mais informações e criar grupos de alertas personalizados, contate o Suporte da Microsoft.
Solucionar problemas de regras de encaminhamento
Se as regras de alerta de encaminhamento não estiverem funcionando conforme o esperado, verifique os seguintes detalhes:
Validação do certificado. As regras de encaminhamento para Syslog CEF, Microsoft Sentinel e QRadar suportam criptografia e validação de certificado.
Se os sensores OT ou o console de gerenciamento local estiverem configurados para validar certificados e o certificado não puder ser verificado, os alertas não serão encaminhados.
Nesses casos, o sensor ou o console de gerenciamento local é o cliente e o iniciador da sessão. Os certificados geralmente são recebidos do servidor ou usam criptografia assimétrica, onde um certificado específico é fornecido para configurar a integração.
Regras de exclusão de alerta. Se você tiver regras de exclusão configuradas no console de gerenciamento local, seus sensores podem estar ignorando os alertas que você está tentando encaminhar. Para obter mais informações, consulte Criar regras de exclusão de alerta em um console de gerenciamento local.