Alertas de Microsoft Defender para IoT
Las alertas de Microsoft Defender para IoT mejoran la seguridad de red y las operaciones con detalles en tiempo real sobre los eventos registrados en su red. Las alertas se desencadenan cuando los sensores de red de OT detectan cambios o actividades sospechosas en el tráfico de red que requieren su atención.
Por ejemplo:
Use los detalles que se muestran en la página Alertas, o en una página de detalles de alerta, para investigar y realizar acciones que corrijan cualquier riesgo para la red, ya sea desde dispositivos relacionados o desde el proceso de red que desencadenó la alerta.
Sugerencia
Use los pasos de corrección de alertas para ayudar a los equipos de SOC a comprender los posibles problemas y sus resoluciones. Se recomienda revisar los pasos de corrección recomendados antes de actualizar el estado de una alerta o de realizar un acción en el dispositivo o la red.
Opciones de administración de alertas
Las alertas de Microsoft Defender para IoT están disponibles en Azure Portal, las consolas de sensores de red de OT y la consola de administración local. Con la seguridad de IoT empresarial, las alertas también están disponibles para dispositivos IoT empresariales detectados por Defender para punto de conexión, en Microsoft 365 Defender.
Aunque puede ver los detalles de las alertas, investigar el contexto de las alertas y clasificar y administrar los estados de las alertas desde cualquiera de estas ubicaciones, cada ubicación también ofrece acciones de alerta adicionales. En la tabla siguiente se describen las alertas que admite cada ubicación y las acciones adicionales disponibles solo en esa ubicación:
| Ubicación | Descripción | Acciones de alerta adicionales |
|---|---|---|
| Azure Portal | Alertas de todos los sensores OT conectados a la nube | - Ver las tácticas y técnicas de MITRE ATT&CK relacionadas - Usar los libros integrados para tener visibilidad de las alertas de prioridad alta - Ver las alertas de Microsoft Sentinel y ejecutar investigaciones más profundas con cuadernos de estrategias y libros de Microsoft Sentinel |
| Consolas de sensores de red de OT | Alertas generadas por el sensor de OT | - Ver el origen y el destino de la alerta en la Asignación de dispositivos - Ver los eventos relacionados en la Escala de tiempo del evento - Reenviar las alertas directamente a los proveedores asociados - Crear comentarios de alerta - Crear reglas de alertas personalizadas - Desaprender alertas |
| Una consola de administración local | Alertas generadas por sensores de OT conectados | - Reenviar las alertas directamente a los proveedores asociados - Crear reglas de exclusión de alertas |
| Microsoft 365 Defender | Alertas generadas por dispositivos Enterprise IoT detectados por Microsoft Defender para punto de conexión | - Administrar datos de alertas junto con otros datos de Microsoft 365 Defender, incluida la búsqueda avanzada |
Sugerencia
Las alertas generadas a partir de sensores diferentes en la misma zona en un período de 10 minutos, con el mismo tipo, estado, protocolo de alerta y dispositivos asociados, se muestran como una única alerta unificada.
- El período de tiempo de 10 minutos se basa en la primera hora de detección de la alerta.
- La única alerta unificada enumera todos los sensores que detectaron la alerta.
- Las alertas se combinan en función del protocolo de alerta y no del protocolo de dispositivo.
Para más información, consulte:
- Retención de datos de alerta
- Aceleración de los flujos de trabajo de alertas de OT
- Estados de alerta y opciones de clasificación
- Planeamiento de sitios y zonas de OT
Las opciones de alerta también varían según la ubicación y el rol de usuario. Para más información, consulte Roles y permisos de usuario de Azure y Usuarios y roles locales.
Alertas centradas en entornos de OT/TI
Las organizaciones en las que se implementan sensores entre las redes de OT y de TI tratan muchas alertas, relacionadas tanto con el tráfico de OT como de TI. La cantidad de alertas, algunas de ellas irrelevantes, puede causar fatiga por alertas y afectar al rendimiento general. Para abordar estos desafíos, la directiva de detección de Defender para IoT dirige sus diferentes motores de alertas para que se centren en las alertas con impacto empresarial y relevancia en una red de OT y reduce las alertas relacionadas con TI de bajo valor. Por ejemplo, la alerta de conectividad a Internet no autorizada es muy importante en una red de OT, pero tiene un valor relativamente bajo en una red de TI.
Para centrarse en las alertas desencadenadas en estos entornos, todos los motores de alertas, excepto el motor de malware, desencadena alertas solo si detectan una subred o protocolo de OT relacionado. Sin embargo, para mantener el desencadenamiento de alertas que indican escenarios críticos:
- El motor de malware desencadena alertas de malware, independientemente de si las alertas están relacionadas con dispositivos de OT o TI.
- Los otros motores incluyen excepciones para escenarios críticos. Por ejemplo, el motor operativo desencadena alertas relacionadas con el tráfico del sensor, independientemente de si la alerta está relacionada con el tráfico de OT o TI.
Administración de alertas de OT en un entorno híbrido
Los usuarios que trabajan en entornos híbridos podría administrar alertas de OT en Defender para IoT en Azure Portal, en el sensor de OT y en una consola de administración local.
Nota:
Aunque la consola del sensor muestra el campo Última detección de una alerta en tiempo real, Defender para IoT en Azure Portal puede tardar hasta una hora en mostrar la hora actualizada. Esto explica un escenario en el que la hora de la última detección en la consola del sensor no es la misma que la hora de la última detección en Azure Portal.
Por lo demás, los estados de alerta se sincronizan completamente entre Azure Portal y el sensor de OT, así como entre el sensor y la consola de administración local. Esto significa que, independientemente de dónde administre la alerta en Defender para IoT, la alerta también se actualiza en las otras ubicaciones.
Al establecer un estado de alerta en Closed (Cerrada) o Muted (Silenciada) en un sensor o en la consola de administración local, se actualiza el estado de la alerta a Closed (Cerrada) en Azure Portal. En la consola de administración local, las alertas cerradas se denominan Acknowledged (Confirmadas).
Sugerencia
Si trabaja con Microsoft Sentinel, se recomienda que configure la integración para sincronizar el estado de las alertas también con Microsoft Sentinel y, después, administre los estados de las alertas junto con los incidentes de Microsoft Sentinel relacionados.
Para obtener más información, vea Tutorial: Investigación y detección de amenazas para dispositivos IoT.
Alertas de Enterprise IoT y Microsoft Defender para punto de conexión
Si usa la seguridad de Enterprise IoT en Microsoft 365 Defender, las alertas de los dispositivos Enterprise IoT detectados por Microsoft Defender para punto de conexión solo están disponibles en Microsoft 365 Defender. Muchas de las detecciones basadas en red de Microsoft Defender para punto de conexión son pertinentes para dispositivos IoT empresariales, como alertas desencadenadas por exámenes que implican puntos de conexión administrados.
Para obtener más información, consulte Protección de dispositivos IoT de la empresa y Cola de alertas en Microsoft 365 Defender.
Aceleración de los flujos de trabajo de alertas de OT
Las nuevas alertas se cierran automáticamente si no se detecta ningún tráfico idéntico 90 días después de la detección inicial. Si se detecta tráfico idéntico durante esos primeros 90 días, se restablece el recuento de los 90 días.
Además del comportamiento predeterminado, es posible que quiera ayudar a los equipos de administración de OT y SOC a clasificar y corregir las alertas con mayor rapidez. Inicie sesión en un sensor de OT o en una consola de administración local como un usuario Administrador para usar las siguientes opciones:
Cree reglas de alerta personalizadas. Solo sensores de OT.
Agregue reglas de alerta personalizadas para desencadenar alertas para actividades específicas en su red que no están cubiertas por las funcionalidades estándar.
Por ejemplo, en un entorno que ejecute MODBUS, puede agregar una regla para detectar los comandos escritos en un registro de memoria en una dirección IP específica y un destino de Ethernet.
Para más información, consulte Creación de reglas de alerta personalizadas en un sensor de OT.
Cree comentarios de alertas. Solo sensores de OT.
Cree un conjunto de comentarios de alerta que otros usuarios del sensor de OT puedan agregar a alertas individuales, con detalles como pasos de mitigación personalizados, comunicaciones para otros miembros del equipo u otras conclusiones o advertencias sobre el evento.
Los miembros del equipo pueden reutilizar estos comentarios personalizados a medida que clasifican y administran los estados de alerta. Los comentarios de alerta se muestran en un área de comentarios en la página de detalles de las alertas. Por ejemplo:
Para obtener más información, consulte Creación de comentarios de alertas en un sensor de OT.
Creación de reglas de exclusión de alertas: solamente en consolas de administración local.
Si está trabajando con una consola de administración local, defina reglas de exclusión de alertas para ignorar eventos en varios sensores que cumplan criterios específicos. Por ejemplo, puede crear una regla de exclusión de alertas para ignorar todos los eventos que desencadenarían alertas irrelevantes durante una ventana de mantenimiento específica.
Las alertas ignoradas por las reglas de exclusión no se muestran en la consola de administración local, en el sensor, en Azure Portal ni en los registros de eventos.
Para más información, consulte Creación de reglas de exclusión de alertas en una consola de administración local.
Reenvíe los datos de alerta a sistemas asociados, SIEM de asociados, servidores syslog, direcciones de correo electrónico específicas y mucho más.
Compatible con los sensores de OT y las consolas de administración locales. Para obtener más información, consulte Reenvío de información de alertas.
Estados de alerta y opciones de clasificación
Use los siguientes estados de alerta y las siguientes opciones de clasificación para administrar alertas en Defender para IoT.
Al clasificar una alerta, tenga en cuenta que algunas alertas pueden reflejar cambios de red válidos, como un dispositivo autorizado que intenta acceder a un nuevo recurso en otro dispositivo.
Aunque las opciones de clasificación del sensor de OT y la consola de administración local solo están disponibles para las alertas de OT, las opciones de Azure Portal están disponibles tanto para las alertas de OT y como las de Enterprise IoT.
Use la tabla siguiente para obtener más información sobre cada estado de alerta y cada opción de clasificación.
| Estado/acción de clasificación | Disponible en | Descripción |
|---|---|---|
| Nuevo | - Azure Portal - Sensores de red de OT - Consola de administración local |
Las nuevas alertas son aquellas que aún no han sido clasificadas o investigadas por el equipo. El nuevo tráfico detectado para los mismos dispositivos no genera una nueva alerta, sino que se agrega a la alerta existente. En la consola de administración local, las nuevas alertas se denominan Unacknowledged (Sin confirmar). Nota: Es posible que vea varias alertas nuevas o sin confirmar con el mismo nombre. Esto se debe a que cada alerta se desencadena por un tráfico diferente, en distintos conjuntos de dispositivos. |
| Activo | - Solo Azure Portal | Establezca una alerta como Activa para indicar que se está llevando a cabo una investigación, pero que la alerta aún no se puede cerrar ni clasificar. Este estado no tiene efecto en ninguna otra parte de Defender para IoT. |
| Closed | - Azure Portal - Sensores de red de OT - Consola de administración local |
Cierre una alerta para indicar que está totalmente investigada y quiere recibir una nueva alerta la próxima vez que se detecte el mismo tráfico. Al cerrar una alerta, esta se agrega a la escala de tiempo del evento del sensor. En la consola de administración local, las alertas nuevas se denominan Acknowledged (Confirmadas). |
| Learn | - Azure Portal - Sensores de red de OT - Consola de administración local El desaprendizaje de alertas solo está disponible en el sensor de OT. |
Use el aprendizaje de una alerta cuando quiera cerrarla y agregarla como tráfico permitido para que no se le vuelva a avisar la próxima vez que se detecte el mismo tráfico. Por ejemplo, cuando el sensor detecta cambios en la versión de firmware siguiendo los procedimientos de mantenimiento estándar o cuando se agrega un dispositivo nuevo y esperado a la red. El aprendizaje de una alerta cierra la alerta y agrega un elemento a la escala de tiempo del evento del sensor. El tráfico detectado se incluye en los informes de minería de datos, pero no al generar otros informes de sensores de OT. El aprendizaje de alertas solo está disponible para ciertas alertas, principalmente para aquellas desencadenadas por los motores de anomalías y directivas. |
| Silencio | - Sensores de red de OT - Consola de administración local La reactivación de alertas silenciadas solo está disponible en el sensor de OT. |
Silencie una alerta cuando quiera cerrarla y no volver a ver el mismo tráfico, pero sin agregar el tráfico permitido de la alerta. Por ejemplo, cuando el motor operativo desencadena una alerta que indica que se cambió el modo de PLC en un dispositivo. El nuevo modo puede indicar que el PLC no es seguro, pero después de realizar la investigación, se determina que el nuevo modo es aceptable. Al silenciar una alerta, esta se cierra, pero no se agrega ningún elemento a la escala de tiempo del evento del sensor. El tráfico detectado se incluye en los informes de minería de datos, pero no al calcular los datos para otros informes de sensores. El silenciamiento de alertas solo está disponible para ciertas alertas, principalmente aquellas desencadenadas por el motor de anomalías, el motor de infracción de protocolo o el motor operativo. |
Sugerencia
Si sabe con antelación qué eventos son irrelevantes para usted (por ejemplo, durante una ventana de mantenimiento) o si no quiere realizar un seguimiento del evento en la escala de tiempo del evento, cree una regla de exclusión de alertas en una consola de administración local.
Para más información, consulte Creación de reglas de exclusión de alertas en una consola de administración local.
Evaluar las prioridades de alertas de OT durante el modo de aprendizaje
El modo de aprendizaje hace referencia al período inicial después de implementar un sensor OT, cuando el sensor de OT aprende la actividad de línea de base de la red, incluidos los dispositivos y protocolos de la red, y las transferencias de archivos normales que se producen entre dispositivos específicos.
Use el modo de aprendizaje para realizar una evaluación de prioridades inicial en las alertas de la red y aprenda aquellas que desee marcar como actividad autorizada y esperada. El tráfico aprendido no genera nuevas alertas la próxima vez que se detecte el mismo tráfico.
Para obtener más información, consulte Creación de una línea base aprendida de alertas de OT.
Pasos siguientes
Revise los tipos de alertas y los mensajes para ayudarle a comprender y planear las acciones de corrección y las integraciones de cuadernos de estrategias. Para más información, vea Descripciones y tipos de alertas de supervisión de OT.