Criar uma linha de base aprendida de alertas OT
Este artigo é um de uma série de artigos que descrevem o caminho de implantação para monitoramento de OT com o Microsoft Defender for IoT e descreve como criar uma linha de base do tráfego aprendido em seu sensor de OT.
Visão geral do processo de monitoramento em vários estágios
Um sensor de rede OT começa a monitorar sua rede automaticamente depois que ele se conecta à rede e você faz login. Os dispositivos de rede começam a aparecer no inventário de dispositivos e os alertas são acionados para quaisquer incidentes operacionais ou de segurança que ocorram na rede.
O Defender for IoT emprega um processo de monitoramento de três estágios que aprende o comportamento normal do tráfego da sua rede. Esses três estágios garantem uma deteção precisa, reduzindo alertas desnecessários, são:
Resumo das fases de monitorização
| Modo | Propósito | Alertas de gatilho | Ações do usuário necessárias |
|---|---|---|---|
| Aprendizagem | Cria uma linha de base do tráfego de rede normal | Alertas de malware, alertas de anomalia, alertas operacionais, alertas de violação de protocolo | Desligue manualmente após 2 a 6 semanas ou quando a linha de base refletir a atividade precisa da rede |
| Dinâmico | Refina a linha de base enquanto introduz gradualmente alertas de violações de políticas para garantir a precisão e reduzir o ruído de alerta | Alertas de violação de política são introduzidos | Opcional: ajuste as configurações para cenários específicos (por exemplo, durante POCs) |
| Operacional | Monitoriza todo o tráfego de rede com uma linha de base estável, acionando todos os alertas para refletir desvios ou atividades suspeitas | Todos os tipos de alertas | Nenhum. Transições automáticas quando a linha de base estabiliza |
Modo de aprendizagem
Inicialmente, o sensor é executado no modo de aprendizagem para monitorar todo o tráfego da rede e construir uma linha de base de todos os padrões de tráfego normais. Esta linha de base inclui todos os dispositivos e protocolos na sua rede e as transferências regulares de ficheiros que ocorrem entre dispositivos. Este processo demora normalmente entre 2 e 6 semanas, dependendo do tamanho e complexidade da sua rede. Além disso, todos os dispositivos descobertos posteriormente entram no modo de aprendizagem por 7 dias, a fim de estabelecer sua linha de base de tráfego de rede.
No modo de aprendizagem, o sensor monitoriza e protege o seu ambiente ao acionar alertas de segurança relevantes, tais como malware, anomalias e alertas operacionais. No entanto, os alertas de violação de política, que indicam desvios da linha de base, não são acionados enquanto o sistema está no modo de aprendizagem.
Modo dinâmico
Quando o processo de descoberta e o tráfego de rede estiverem estáveis, você deve desativar manualmente o modo de aprendizagem. Neste ponto, o sensor transita para o modo dinâmico. No modo dinâmico, o sensor continua a monitorizar a sua rede, validando e refinando a linha de base. O sensor avalia cada categoria de alerta e cenário individualmente, alterando-os dinamicamente para o modo operacional quando se confirma que as suas linhas de base são precisas. Como alternativa, se o sensor detetar alterações significativas no tráfego, ele pode estender automaticamente o modo de aprendizagem para alertas ou cenários específicos.
No modo dinâmico, os alertas de violação de política são introduzidos gradualmente e começam a aparecer no inventário de alertas.
Modo operacional
Uma vez que o sensor identifica que a linha de base está estável e completa, ele transita automaticamente para o modo operacional, monitorando todo o tráfego da rede e acionando todos os tipos de alerta.
A ação Aprender torna-se relevante depois que o modo de aprendizagem é desativado, quando o cenário transita para o modo operacional e você deseja marcar operações específicas como atividade autorizada ou esperada. Uma vez aprendida, uma atividade semelhante não gerará novos alertas no futuro.
Desative o modo de aprendizagem manualmente quando o nível de alertas refletir com precisão a sua atividade de rede.
Para obter mais informações, consulte Alertas do Microsoft Defender para IoT.
Pré-requisitos
Você pode executar os procedimentos neste artigo no portal do Azure ou em um sensor OT.
Antes de começar, certifique-se de que tem:
Um sensor OT instalado, configurado e ativado, com alertas acionados pelo tráfego detetado.
Acesso ao seu sensor OT como Analista de Segurança ou utilizador Admin . Para obter mais informações, consulte Usuários e funções locais para monitoramento de OT com o Defender for IoT.
Alertas de triagem
Alertas de triagem no final da implantação para criar uma linha de base inicial para sua atividade de rede.
Inicie sessão no seu sensor OT e selecione a página Alertas .
Use as opções de classificação e agrupamento para exibir seus alertas mais críticos primeiro. Revise cada alerta para atualizar os status e aprender alertas para tráfego autorizado de OT.
Para obter mais informações, consulte Exibir e gerenciar alertas no sensor OT.
Próximos passos
Depois que o modo de aprendizagem estiver desativado e você passar do modo de aprendizado para o modo de operação, continue com qualquer um dos seguintes:
- Visualizar dados do Microsoft Defender para IoT com pastas de trabalho do Azure Monitor
- Exibir e gerenciar alertas do portal do Azure
- Gerir o inventário do seu dispositivo a partir do portal do Azure
Integre os dados do Defender for IoT com o Microsoft Sentinel para unificar o monitoramento de segurança da sua equipe SOC. Para obter mais informações, consulte: