Compartir a través de


Reenvío de información de alertas de OT local

Las alertas de Microsoft Defender para IoT mejoran la seguridad de red y las operaciones con detalles en tiempo real sobre los eventos registrados en la red. Las alertas de OT se desencadenan cuando los sensores de red de OT detectan cambios o actividades sospechosas en el tráfico de red que requieren su atención.

En este artículo se describe cómo configurar el sensor de OT o la consola de administración local para reenviar alertas a servicios de asociados, servidores Syslog, direcciones de correo electrónico, etc. La información de alerta reenviada incluye detalles como estos:

  • Fecha y hora de la alerta
  • Motor que detectó el evento
  • Título de la alerta y mensaje descriptivo
  • Gravedad de la alerta
  • Nombre y dirección IP del origen y destino
  • Tráfico sospechoso detectado
  • Sensores desconectados
  • Errores de copia de seguridad remota

Nota:

Las reglas de reenvío de alertas solo se ejecutan en las alertas desencadenadas después de crear la regla de reenvío. Las alertas que ya están en el sistema desde antes de que se creara la regla de reenvío no se ven afectadas por la regla.

Requisitos previos

Creación de reglas de reenvío en un sensor de OT

  1. Inicie sesión en el sensor de OT y seleccione Reenvío en el menú de la izquierda >+ Create new rule (+ Crear regla).

  2. En el panel Add forwarding rule (Agregar regla de reenvío), escriba un nombre de regla significativo que tenga sentido y luego defina las condiciones y acciones de la regla como se indica a continuación:

    Nombre Descripción
    Minimal alert level (Nivel de alerta mínimo) Seleccione el nivel de gravedad de alerta mínimo que desea reenviar.

    Por ejemplo, si selecciona Leve, se reenvían las alertas de gravedad leve y todas las alertas por encima de este nivel de gravedad.
    Any protocol detected (Cualquier protocolo detectado) Active esta opción para reenviar alertas de todo el tráfico de protocolo o desactívela y seleccione los protocolos específicos que quiera incluir.
    Traffic detected by any engine (Tráfico detectado por cualquier motor) Active esta opción para reenviar alertas de todos los motores de análisis o desactívela y seleccione los motores específicos que quiera incluir.
    Acciones Seleccione el tipo de servidor al que desea reenviar las alertas y luego defina cualquier otra información necesaria para ese tipo de servidor.

    Para agregar varios servidores a la misma regla, seleccione + Add server (+ Agregar servidor) y agregue más detalles.

    Para obtener más información, vea Configuración de acciones de regla de reenvío de alertas.
  3. Cuando haya terminado de configurar la regla, seleccione Guardar. La regla se muestra en la página Reenvío.

  4. Compruebe la regla que ha creado:

    1. Seleccione el menú de opciones (...) de la regla >Enviar mensaje de prueba.
    2. Vaya al servicio de destino para confirmar que la información enviada por el sensor se ha recibido.

Edición o eliminación de reglas de reenvío en un sensor de OT

Para editar o eliminar una regla existente:

  1. Inicie sesión en el sensor de OT y seleccione Reenvío en el menú de la izquierda.

  2. Seleccione el menú de opciones (...) de la regla y luego lleve a cabo una de las siguientes acciones:

Creación de reglas de reenvío en una consola de administración local

Para crear una regla de reenvío en la consola de administración:

  1. Inicie sesión en la consola de administración local y seleccione Reenvío en el menú de la izquierda.

  2. Seleccione el botón + situado en la parte superior derecha para crear una regla.

  3. En la ventana Create Forwarding Rule (Crear regla de reenvío), escriba un nombre descriptivo para la regla y luego defina las condiciones y acciones de la regla de la siguiente manera:

    Nombre Descripción
    Minimal alert level (Nivel de alerta mínimo) En la parte superior derecha del cuadro de diálogo, use la lista desplegable para seleccionar el nivel de gravedad de alerta mínimo que desea reenviar.

    Por ejemplo, si selecciona Leve, se reenvían las alertas de gravedad leve y todas las alertas por encima de este nivel de gravedad.
    Protocolos Seleccione Todo para reenviar alertas de todo el tráfico de protocolo, o bien Específico para agregar solo protocolos concretos.
    Motores Seleccione Todo para reenviar las alertas desencadenadas por todos los motores de análisis de sensores, o bien Específico para agregar solo motores concretos.
    Notificaciones del sistema Seleccione la opción Report System Notifications (Informar de notificaciones del sistema) para avisar de los sensores desconectados o de errores de copia de seguridad remota.
    Notificaciones de alertas Seleccione la opción Report Alert Notifications (Informar de notificaciones del sistema) para avisar de la fecha y hora de una alerta, el título, la gravedad, el nombre y la dirección IP de origen y de destino, el tráfico sospechoso y el motor que detectó el evento.
    Acciones Seleccione Agregar para agregar la acción que se va a aplicar y rellene los valores de parámetros necesarios de la acción seleccionada. Efectúe las repeticiones necesarias para agregar varias acciones.

    Para obtener más información, vea Configuración de acciones de regla de reenvío de alertas.
  4. Cuando haya terminado de configurar la regla, seleccione Guardar. La regla se muestra en la página Reenvío.

  5. Compruebe la regla que ha creado:

    1. En la fila de la regla, seleccione el botón para probar esta regla de reenvío. Si el mensaje se envió correctamente, se muestra la correspondiente notificación.
    2. Vaya al sistema de asociado para comprobar que se ha recibido la información enviada por el sensor.

Edición o eliminación de reglas de reenvío en una consola de administración local

Para editar o eliminar una regla existente:

  1. Inicie sesión en la consola de administración local y seleccione Reenvío en el menú de la izquierda.

  2. Busque la fila de la regla y seleccione el botón Editar o Eliminar.

Configuración de acciones de regla de reenvío de alertas

En esta sección se describe cómo configurar las opciones para las acciones de regla de reenvío admitidas, en un sensor de OT o en la consola de administración local.

Acción de dirección de correo electrónico

Configure una acción de correo electrónico para reenviar los datos de alerta a la dirección de correo electrónico configurada.

En el área Acciones, incluya los siguientes detalles:

Nombre Descripción
Server Seleccione Correo electrónico.
Correo electrónico Escriba la dirección de correo electrónico a la que desea reenviar las alertas. Cada regla admite una única dirección de correo electrónico.
Zona horaria Seleccione la zona horaria que desea usar para la detección de alertas en el sistema de destino.

Acciones de servidor de Syslog

Configure una acción de servidor de Syslog para reenviar datos de alerta al tipo de servidor de Syslog seleccionado.

En el área Acciones, incluya los siguientes detalles:

Nombre Descripción
Server Seleccione uno de los siguientes tipos de formatos de Syslog:

- Servidor de SYSLOG (formato CEF)
- Servidor de SYSLOG (formato LEEF)
- Servidor de SYSLOG (objeto)
- Servidor SYSLOG (mensaje de texto)
Host / Puerto Escriba el nombre de host y el puerto del servidor Syslog.
Zona horaria Seleccione la zona horaria que desea usar para la detección de alertas en el sistema de destino.
Protocolo Solo se admite para mensajes de texto. Seleccione TCP o UDP.
Habilitación del cifrado Solo se admite para el formato CEF. Active esta opción para configurar un archivo de certificado de cifrado TLS, un archivo de clave y una frase de contraseña.

En las siguientes secciones se describe la sintaxis de salida de Syslog de cada formato.

Campos de salida del mensaje de texto de syslog

Nombre Descripción
Priority Usuario. Alerta
Message Nombre de la plataforma CyberX: el nombre del sensor.
Alerta de Microsoft Defender para IoT: el título de la alerta.
Tipo: tipo de alerta. Puede ser infracción del protocolo, infracción de la directiva, malware, anomalía u operativa.
Gravedad: gravedad de la alerta. Puede ser advertencia, leve, grave o crítica.
Origen: nombre del dispositivo de origen.
IP de origen: la dirección IP del dispositivo de origen.
Protocolo (opcional): el protocolo de origen detectado.
Dirección (opcional): dirección del protocolo de origen.
Destino: nombre del dispositivo de destino.
IP de destino: dirección IP del dispositivo de destino.
Protocolo (opcional): el protocolo de destino detectado.
Dirección (opcional): la dirección del protocolo de destino.
Mensaje: mensaje de la alerta.
Grupo de alertas: el grupo de alertas asociado a la alerta.
UUID (opcional): el UUID de la alerta.

Campos de salida del objeto Syslog

Nombre Descripción
Priority User.Alert
Fecha y hora Fecha y hora en que el equipo servidor de syslog recibió la información.
Hostname Dirección IP del sensor
Message Nombre del sensor: nombre del dispositivo.
Hora de la alerta: momento en que se detectó la alerta. Puede variar en función de la hora de la máquina del servidor de syslog y depende de la configuración de zona horaria de la regla de reenvío.
Título de la alerta: el título de la alerta.
Mensaje de alerta: el mensaje de la alerta.
Gravedad de la alerta: gravedad de la alerta, que puede ser Advertencia, Leve, Grave o Crítica.
Tipo de alerta: Infracción del protocolo, infracción de la directiva, malware, anomalía u operativa.
Protocolo: protocolo de la alerta.
Source_MAC: dirección IP, nombre, proveedor o sistema operativo del dispositivo de origen.
Destination_MAC: dirección IP, nombre, proveedor o sistema operativo del destino. Si faltan datos, el valor será N/D.
alert_group: el grupo de alertas asociado a la alerta.

Campos de salida de CEF de Syslog

Nombre Descripción
Priority User.Alert
Fecha y hora Fecha y hora en que el sensor envió la información, en formato UTC
Hostname Nombre de host del sensor
Message CEF:0
Microsoft Defender para IoT/CyberX
Nombre del sensor
Versión del sensor
Alerta de Microsoft Defender para IoT
Título de la alerta
Número entero para indicar la gravedad 1=Advertencia, 4=Menor, 8=Mayor o 10=Crítico.
msg= el mensaje de la alerta.
protocol= el protocolo de la alerta.
severity= Advertencia, Leve, Grave o Crítico.
type= Infracción de protocolo, Infracción de directiva, Malware, Anomalía u Operativa.
UUID = UUID de la alerta (opcional)
start= la hora en que se detectó la alerta.
Puede variar en función de la hora de la máquina del servidor de syslog y depende de la configuración de zona horaria de la regla de reenvío.
src_ip: dirección IP del dispositivo de origen. (Opcional)
src_mac: dirección MAC del dispositivo de origen. (Opcional)
dst_ip: dirección IP del dispositivo de destino. (Opcional)
dst_mac: dirección MAC del dispositivo de destino. (Opcional)
cat: el grupo de alertas asociado a la alerta.

Campos de salida de LEEF de Syslog

Nombre Descripción
Priority User.Alert
Fecha y hora Fecha y hora en que el sensor envió la información, en formato UTC
Hostname Dirección IP del sensor
Message Nombre del sensor: el nombre del dispositivo Microsoft Defender para IoT.
LEEF:1.0
Microsoft Defender para IoT
Sensor
Versión del sensor
Alerta de Microsoft Defender para IoT
title: título de la alerta.
msg: mensaje de la alerta.
protocol: el protocolo de la alerta.
severity: Advertencia, Leve, Grave o Crítica.
type: tipo de alerta, que puede ser Infracción del protocolo, Infracción de la directiva, Malware, Anomalía u Operativa.
start: la hora de la alerta. Puede diferir de la hora de la máquina de servidor de Syslog, y depende de la configuración de la zona horaria.
src_ip: dirección IP del dispositivo de origen.
dst_ip: dirección IP del dispositivo de destino.
cat: el grupo de alertas asociado a la alerta.

Acción del servidor de webhooks

Solo se admite en la consola de administración local.

Configure una acción de webhook para configurar una integración que se suscriba a eventos de alerta de Defender para IoT. Por ejemplo, envíe datos de alerta a un servidor de webhook para actualizar un sistema SIEM externo, un sistema SOAR o un sistema de administración de incidentes.

Cuando haya configurado el reenvío de alertas a un servidor de webhook y se desencadene un evento de alerta, la consola de administración local envía una carga HTTP POST a la dirección URL de webhook configurada.

En el área Acciones, incluya los siguientes detalles:

Nombre Descripción
Server Seleccione Webhook.
URL Escriba la dirección URL del servidor de webhook.
Key/Value (Clave/Valor) Escriba pares clave-valor para personalizar el encabezado HTTP según sea necesario. Entre los caracteres admitidos se incluyen los siguientes:
- Las claves solo pueden contener letras, números, guiones y subrayados.
- Los valores solo pueden contener un espacio inicial o final.

Webhook extendido

Solo se admite en la consola de administración local.

Configure una acción de webhook extendido para enviar los siguientes datos adicionales al servidor de webhook:

  • sensorID
  • sensorName
  • zoneID
  • zoneName
  • siteID
  • siteName
  • sourceDeviceAddress
  • destinationDeviceAddress
  • remediationSteps
  • handled
  • additionalInformation

En el área Acciones, incluya los siguientes detalles:

Nombre Descripción
Server Seleccione Webhook extended (Webhook extendido).
URL Escriba la dirección URL de datos del punto de conexión.
Key/Value (Clave/Valor) Escriba pares clave-valor para personalizar el encabezado HTTP según sea necesario. Entre los caracteres admitidos se incluyen los siguientes:
- Las claves solo pueden contener letras, números, guiones y subrayados.
- Los valores solo pueden contener un espacio inicial o final.

Acción de NetWitness

Configure una acción de NetWitness para enviar información de alertas a un servidor de NetWitness.

En el área Acciones, incluya los siguientes detalles:

Nombre Descripción
Server Seleccione NetWitness.
Nombre de host/Puerto Escriba el nombre de host y el puerto del servidor de NetWitness.
Zona horaria Escriba la zona horaria que quiera usar en la marca de tiempo de la detección de alertas en SIEM.

Configuración de reglas de reenvío para integraciones de asociados

Puede que vaya a integrar Defender para IoT con un servicio de asociado para enviar información de inventario de dispositivos o alertas a otro sistema de administración de dispositivos o de seguridad, o bien para comunicarse con firewalls del lado asociado.

Las integraciones de asociado ayudan a conectar soluciones de seguridad que antes estaban aisladas, mejoran la visibilidad del dispositivo y aceleran la respuesta en todo el sistema para mitigar los riesgos con mayor rapidez.

En estos casos, use el valor de Acciones admitido para especificar las credenciales y otra información necesaria para comunicarse con los servicios de asociado integrados.

Para más información, consulte:

Configuración de grupos de alertas en servicios de asociados

Al configurar reglas de reenvío para enviar datos de alerta a servidores Syslog, QRadar y ArcSight, se aplican automáticamente grupos de alertas, que estarán disponibles en esos servidores de asociados.

Los grupos de alertas ayudan a los equipos de SOC a usar esas soluciones de asociados para administrar las alertas según las directivas de seguridad empresariales en vigor y las prioridades empresariales. Por ejemplo, las alertas sobre nuevas detecciones se organizan en un grupo de detección, e incluye alertas sobre nuevos dispositivos, VLAN, cuentas de usuario, direcciones MAC, etc.

Los grupos de alertas aparecen en los servicios de asociados con los siguientes prefijos:

Prefijo Servicio de asociado
cat QRadar, ArcSight, Syslog CEF, Syslog LEEF
Alert Group Mensajes de texto de Syslog
alert_group Objetos de Syslog

Para usar grupos de alertas en la integración, asegúrese de configurar los servicios de asociados de forma que se muestren los nombre de grupos de alertas.

Las alertas se agrupan de la siguiente manera de forma predeterminada:

  • Comportamiento de comunicación anómalo
  • Alertas personalizadas
  • Acceso remoto
  • Comportamiento de comunicación HTTP anómalo
  • Detección
  • Comandos de reinicio y detención
  • Authentication
  • Cambio de firmware
  • Explorar
  • Comportamiento de comunicación no autorizado
  • Comandos ilegales
  • Tráfico del sensor
  • Anomalías de ancho de banda
  • Acceso a Internet
  • Sospecha de malware
  • Desbordamiento de búfer
  • Errores de operación
  • Sospecha de actividad malintencionada
  • Errores de comando
  • Problemas operativos
  • Cambios en la configuración
  • Programar

Para obtener más información y crear grupos de alertas personalizados, póngase en contacto con el soporte técnico de Microsoft.

Solución de problemas de reglas de reenvío

Si las reglas de reenvío de alertas no funcionan según lo previsto, compruebe los detalles siguientes:

  • Validación de certificados. Las reglas de reenvío de CEF de Syslog, Microsoft Sentinel y QRadar admiten el cifrado y la validación de certificados.

    Si los sensores de OT o la consola de administración local están configurados para validar certificados y el certificado no se puede verificar, las alertas no se reenvían.

    En estos casos, el sensor o la consola de administración local es el cliente e iniciador de la sesión. Los certificados se reciben normalmente del servidor, o bien usan el cifrado asimétrico, donde se proporcionará un certificado específico para configurar la integración.

  • Reglas de exclusión de alertas. Si tiene reglas de exclusión configuradas en la consola de administración local, es posible que los sensores omitan las alertas que está intentando reenviar. Para obtener más información, vea Creación de reglas de exclusión de alertas en una consola de administración local.

Pasos siguientes