Criar uma linha de base aprendida de alertas OT
Este artigo é um de uma série de artigos que descrevem o caminho de implantação para monitoramento de OT com o Microsoft Defender for IoT e descreve como criar uma linha de base do tráfego aprendido em seu sensor de OT.
Compreender o modo de aprendizagem
Um sensor de rede OT começa a monitorar sua rede automaticamente depois que ela é conectada à rede e você faz login. Os dispositivos de rede começam a aparecer no inventário de dispositivos e os alertas são acionados para quaisquer incidentes operacionais ou de segurança que ocorram na rede.
Inicialmente, esta atividade acontece no modo de aprendizagem , que instrui o seu sensor OT a aprender a atividade habitual da sua rede, incluindo os dispositivos e protocolos na sua rede, e as transferências regulares de ficheiros que ocorrem entre dispositivos específicos. Qualquer atividade detetada regularmente torna-se o tráfego de linha de base da sua rede.
Gorjeta
Use seu tempo no modo de aprendizagem para triar seus alertas e aprender aqueles que você deseja marcar como atividade autorizada e esperada. O tráfego aprendido não gera novos alertas na próxima vez que o mesmo tráfego for detetado.
Depois que o modo de aprendizagem for desativado, qualquer atividade diferente dos dados da linha de base disparará um alerta.
Para obter mais informações, consulte Alertas do Microsoft Defender para IoT.
Linha do tempo do modo de aprendizagem
A criação da sua linha de base de alertas OT pode levar de alguns dias a várias semanas, dependendo do tamanho e da complexidade da sua rede. Recomendamos que, após 2 a 6 semanas, altere manualmente o modo de aprendizagem para o modo dinâmico quando o número diário de alertas diminuir para um nível gerenciável. No modo dinâmico, o Defender for IoT continua a monitorar a rede em busca de tráfego suspeito, acionar alertas e também move automaticamente uma categoria de alerta para o modo operacional se esse alerta não for acionado por um período de tempo específico.
No modo operacional, todos os alertas produzidos são listados no inventário e devem ser corrigidos seguindo as ações listadas no painel de detalhes do alerta. Se o alerta foi acionado por tráfego de rede seguro, você precisará usar o botão Aprender para adicionar esse tráfego à lista de linha de base para que o sensor não produza um alerta para isso no futuro.
Desative o modo de aprendizagem manualmente quando o nível de alertas refletir com precisão a sua atividade de rede.
Pré-requisitos
Você pode executar os procedimentos neste artigo no portal do Azure ou em um sensor OT.
Antes de começar, certifique-se de que tem:
Um sensor OT instalado, configurado e ativado, com alertas sendo acionados pelo tráfego detetado.
Acesso ao seu sensor OT como Analista de Segurança ou utilizador Admin . Para obter mais informações, consulte Usuários e funções locais para monitoramento de OT com o Defender for IoT.
Alertas de triagem
Alertas de triagem no final da implantação para criar uma linha de base inicial para sua atividade de rede.
Inicie sessão no seu sensor OT e selecione a página Alertas .
Use as opções de classificação e agrupamento para exibir seus alertas mais críticos primeiro. Revise cada alerta para atualizar os status e aprender alertas para tráfego autorizado de OT.
Para obter mais informações, consulte Exibir e gerenciar alertas no sensor OT.
Próximos passos
Depois que o modo de aprendizagem estiver desativado, você passará do modo de aprendizado para o modo de operação. Continue com qualquer um dos seguintes:
- Visualizar dados do Microsoft Defender para IoT com pastas de trabalho do Azure Monitor
- Exibir e gerenciar alertas do portal do Azure
- Gerir o inventário do seu dispositivo a partir do portal do Azure
Integre os dados do Defender for IoT com o Microsoft Sentinel para unificar o monitoramento de segurança da sua equipe SOC. Para obter mais informações, consulte: