Investigación de incidentes y alertas
Microsoft Defender para IoT en el portal de Microsoft Defender muestra incidentes y alertas, lo que mejora la seguridad y las operaciones de red con detalles en tiempo real sobre los eventos registrados en la red de tecnología operativa (OT).
Las alertas son la base de todos los incidentes e indican la aparición de eventos malintencionados o sospechosos en su entorno. Dentro de un incidente, se analizan las alertas que afectan a la red, se entiende lo que significan y se intercalan las pruebas para que pueda diseñar un plan de corrección eficaz.
Obtenga más información sobre alertas e incidentes en el portal de Defender.
En este artículo, aprenderá a investigar un incidente de Microsoft Defender para IoT y sus alertas asociadas, y a corregir los problemas de seguridad generados por la alerta.
Las alertas de la página Incidentes combinan de forma única las señales del entorno de TI y OT para detectar posibles amenazas y fugas de datos. La página Incidentes muestra:
- Un historial de las alertas conectadas al incidente y un gráfico de incidentes. El gráfico muestra otros dispositivos conectados al dispositivo OT afectado que también podrían estar en peligro.
- Descripciones de alertas, que explican el tipo de problema de seguridad detectado.
- Opciones de corrección para resolver el problema de seguridad.
Nota:
Los datos de incidentes y alertas de Defender para IoT solo aparecen una vez configurado un sitio y los dispositivos envían datos al portal de Defender. Obtenga información sobre cómo configurar un sitio.
Importante
En este artículo se describe Microsoft Defender para IoT en el portal de Defender (versión preliminar).
Si es un cliente existente que trabaja en el portal clásico de Defender para IoT (Azure Portal), consulte la documentación de Defender para IoT en Azure.
Obtenga más información sobre los portales de administración de Defender para IoT.
Parte de la información contenida en este artículo se refiere a un producto preliminar que puede sufrir modificaciones sustanciales antes de su lanzamiento comercial. Microsoft no otorga garantías, expresas o implícitas, con respecto a la información que aquí se proporciona.
Investigar alertas
Para investigar una alerta:
En el menú del portal de Microsoft Defender , seleccione Incidentes & alertas > Incidentes.
Para mostrar incidentes relacionados con OT:
- Seleccione Agregar filtro.
- Seleccione Nombre del producto y seleccione Agregar.
- Seleccione la pestaña Nombres de producto que aparece y escriba: Defender para IoT.
- Seleccione Aplicar.
Busque y seleccione un incidente.
En la página específica del incidente se muestra el caso de ataque formado por la escala de tiempo de alertas, un gráfico de incidentes y los detalles del incidente.
Seleccione una alerta de la lista de alertas.
El gráfico de incidentes y los detalles del incidente muestran datos específicos para esta alerta.
En el panel Incidente , revise la información, lea la descripción de la alerta, evidencia y recursos afectados y siga las acciones recomendadas de alerta para corregir el problema.
Alerta de Defender para IoT
Defender para IoT genera su propia alerta única.
| Nombre | Descripción |
|---|---|
| Posible impacto operativo debido a un dispositivo en peligro | Un dispositivo en peligro comunicado con un recurso de tecnología operativa (OT). Un atacante podría estar intentando controlar o interrumpir las operaciones físicas. |
Búsqueda avanzada de amenazas
Use la propiedad Site que aparece en la tabla DeviceInfo para escribir consultas para la búsqueda avanzada. Esto le permite filtrar los dispositivos según un sitio específico, por ejemplo, todos los dispositivos que se comunicaron con dispositivos malintencionados en un sitio específico.
En la consulta siguiente se enumeran todos los dispositivos de punto de conexión con la dirección IP específica en el sitio de San Francisco.
DeviceInfo
|where Site == "SanFrancisco" and PublicIP == "192.168.1.1" and DeviceCategory == "Endpoint"
Esto es relevante tanto para el inventario de dispositivos como para la seguridad del sitio. Para obtener más información, vea Búsqueda avanzada y el esquema DeviceInfo de búsqueda avanzada.