Créer une ligne de base apprise à partir des alertes OT
Cet article fait partie d’une série d’articles décrivant le chemin de déploiement pour la supervision OT avec Microsoft Defender pour IoT, et explique comment créer une ligne de base de trafic appris sur votre capteur OT.
Présentation du mode d’apprentissage
Un capteur réseau OT commence automatiquement à surveiller votre réseau, une fois qu’il y est connecté et que vous vous êtes connecté. Les périphériques réseau commencent à apparaître dans votre inventaire des appareils, et des alertes se déclenchent pour tous les incidents de sécurité ou opérationnels qui se produisent dans votre réseau.
Initialement, cette activité se produit en mode d’apprentissage, qui indique à votre capteur OT d’apprendre l’activité habituelle de votre réseau, y compris les périphériques et les protocoles du réseau, ainsi que les transferts de fichiers réguliers qui se produisent entre des appareils spécifiques. Toute activité détectée régulièrement devient le trafic de ligne de base de votre réseau.
Conseil
En mode d’apprentissage, consacrez votre temps à trier les alertes et à apprendre celles que vous souhaitez marquer comme activité autorisée et attendue. Le trafic appris ne génère pas de nouvelles alertes la prochaine fois que le même trafic est détecté.
Une fois le mode d’apprentissage désactivé, toute activité qui diffère de votre activité de ligne de base déclenche une alerte.
Pour plus d’informations, consultez Alertes Microsoft Defender pour IoT.
Durée du mode d’apprentissage
La création de votre ligne de base d’alertes OT peut prendre de quelques jours à plusieurs semaines, en fonction de la taille et de la complexité de votre réseau. Le mode d’apprentissage se désactive automatiquement quand le capteur détecte une diminution du nouveau trafic détecté, généralement entre 2 et 6 semaines après le déploiement.
Désactivez le mode d’apprentissage manuellement plus tôt si vous estimez que les alertes actuelles reflètent l’activité réseau avec précision.
Prérequis
Vous pouvez effectuer les procédures décrites dans cet article à partir du portail Azure, d’un capteur OT ou d’une console de gestion locale.
Avant de commencer, vérifiez que vous disposez des éléments suivants :
Un capteur OT installé, configuré et activé, avec des alertes déclenchées par le trafic détecté.
Un accès à votre capteur OT en tant qu’utilisateur Analyste de sécurité ou Administrateur. Pour plus d’informations, consultez Utilisateurs et rôles locaux pour le monitoring OT avec Defender pour IoT.
Tri des alertes
Triez les alertes vers la fin de votre déploiement pour créer une ligne de base initiale pour l’activité réseau.
Connectez-vous à votre capteur OT et sélectionnez la page Alertes.
Utilisez les options de tri et de regroupement pour afficher d’abord les alertes les plus importantes. Passez en revue chaque alerte pour mettre à jour l’état et apprendre les alertes pour le trafic OT autorisé.
Pour plus d’informations, consultez Visualiser et gérer les alertes sur votre capteur OT.
Étapes suivantes
Une fois le mode d’apprentissage désactivé, vous passez du mode d’apprentissage au mode d’exploitation. Continuez avec l’une des opérations suivantes :
- Visualiser les données Microsoft Defender pour IoT avec des classeurs Azure Monitor
- Afficher et gérer les alertes à partir du portail Azure
- Gérer l’inventaire de votre appareil à partir du Portail Azure
Intégrez les données Defender pour IoT à Microsoft Sentinel pour unifier la surveillance de la sécurité de votre équipe SOC. Pour plus d'informations, consultez les pages suivantes :