Crear una línea base aprendida a partir de alertas de OT

Este artículo es uno de una serie de artículos que describen la ruta de implementación para la supervisión de OT con Microsoft Defender para IoT y describe cómo crear una línea base de tráfico aprendido en el sensor de OT.

Comprender el modo de aprendizaje

Un sensor de red OT empieza a supervisar su red automáticamente tras conectarse a la red y tras iniciar sesión. Los dispositivos de red comienzan a aparecer en el inventario de dispositivos y las alertas se desencadenan para cualquier incidente de seguridad o operativo que se produzca en la red.

Inicialmente, esta actividad se produce en modo de aprendizaje, lo que indica al sensor de OT que aprenda la actividad habitual de la red, incluidos los dispositivos y protocolos de la red, y las transferencias de archivos normales que se producen entre dispositivos específicos. Cualquier actividad detectada periódicamente se convierte en el tráfico de línea base de la red.

Sugerencia

Use el tiempo en modo de aprendizaje para evaluar las alertas y conocer los que deseas marcar como actividad autorizada y esperada. El tráfico aprendido no genera nuevas alertas la próxima vez que se detecte el mismo tráfico.

Después de desactivar el modo de aprendizaje, cualquier actividad que difiera de los datos de referencia activará una alerta.

Para obtener más información, consulte Alertas de Microsoft Defender para IoT.

Escala de tiempo del modo de aprendizaje

La creación de la línea base de alertas de OT puede tardar entre unos días y varias semanas, en función del tamaño y la complejidad de la red. El modo de aprendizaje se desactiva automáticamente cuando el sensor detecta una disminución del tráfico recién detectado, que suele estar entre 2 y 6 semanas después de la implementación.

Desactiva el modo de aprendizaje manualmente antes de entonces si crees que las alertas actuales reflejan con precisión la actividad de red.

Requisitos previos

Puedes realizar los procedimientos de este artículo desde el Azure Portal, un sensor de OT o una consola de administración local.

Antes de empezar, asegúrese de que dispone de lo siguiente:

• Un sensor OT instalado, configurado y activado, con alertas desencadenadas por el tráfico detectado.

• Acceso al sensor de OT como analista de seguridad o usuario administrador. Para obtener más información, consulte Usuarios y roles locales para la supervisión de OT con Defender para IoT.

Alertas de evaluación de prioridades

Evaluar las alertas hacia el final de la implementación para crear una línea base inicial para la actividad de red.

1. Inicie sesión en el sensor OT y selecciona la página Alertas.

2. Usa las opciones de ordenación y agrupación para ver primero las alertas más críticas. Revisar cada alerta para actualizar los estados y conocer las alertas del tráfico autorizado de OT.

Para obtener más información, vea Visualización y administración de alertas en el sensor de OT.

Pasos siguientes

« Verifica y actualiza el inventario de dispositivos detectados

Después de desactivar el modo de aprendizaje, has pasado del modo aprendizaje al modo operación. Continúa con cualquiera de los siguientes elementos:

• Visualización de datos de Microsoft Defender para IoT con libros de Azure Monitor
• Vea y administre alertas en Azure Portal
• Administración del inventario de dispositivos desde Azure Portal

Integra los datos de Defender para IoT con Microsoft Sentinel para unificar la supervisión de seguridad del equipo de SOC. Para más información, consulte:

• Tutorial: Conexión de Microsoft Defender para IoT con Microsoft Sentinel
• Tutorial: Investigación y detección de amenazas para dispositivos IoT