Encaminhar informações de alertas de OT locais
Os alertas do Microsoft Defender para IoT aprimoram a segurança e as operações de rede com detalhes em tempo real sobre eventos registrados em sua rede. Os alertas de OT são disparados quando sensores de rede de OT detectam alterações ou atividades suspeitas no tráfego de rede que precisam de sua atenção.
Este artigo descreve como configurar um sensor de OT ou console de gerenciamento local para encaminhar alertas para serviços de parceiros, servidores syslog, endereços de email e muito mais. As informações de alerta encaminhadas incluem detalhes como:
- A data e hora do alerta
- Mecanismo que detectou o evento
- Título do alerta e mensagem descritiva
- Severidade do alerta
- Nome de origem e destino e endereço IP
- Tráfego suspeito detectado
- Sensores desconectados
- Falhas de backup remoto
Observação
As regras de alerta de encaminhamento são executadas somente em alertas disparados após a criação da regra de encaminhamento. Os alertas que já estavam no sistema antes da criação da regra de encaminhamento não serão afetados pela regra.
Pré-requisitos
Dependendo de onde deseja criar as regras de alerta de encaminhamento, é necessário ter um sensor de rede de OT ou console de gerenciamento local instalado, com acesso como usuário Administrador.
Para obter mais informações, consulte Instalar software de monitoramento sem agente de OT e Usuários e funções locais para monitoramento de OT com o Defender para IoT.
Também é necessário definir as configurações de SMTP no sensor de OT ou no console de gerenciamento local.
Para obter mais informações, confira Definir configurações de servidor de email SMTP em um sensor de OT e Definir configurações de servidor de email SMTP no console de gerenciamento local.
Criar regras de encaminhamento em um sensor de OT
Entre no sensor de OT e selecione Encaminhamento no menu à esquerda >+ Criar regra.
No painel Adicionar regra de encaminhamento, insira um nome de regra significativo e defina as condições e ações da regra da seguinte maneira:
Nome Descrição Nível mínimo de alerta Selecione o nível mínimo de severidade do alerta que deseja encaminhar.
Por exemplo, se Menos grave estiver selecionado, os alertas menos graves e todos os alertas acima desse nível de severidade serão encaminhados.Qualquer protocolo detectado Ative para encaminhar alertas de tráfego de todos os protocolos ou desative e selecione os protocolos específicos que deseja incluir. Tráfego detectado por qualquer mecanismo Ative para encaminhar alertas de todos os mecanismos de análise ou desative e selecione os mecanismos específicos que deseja incluir. Ações Selecione o tipo de servidor para o qual deseja encaminhar alertas e defina outras informações necessárias para esse tipo de servidor.
Para adicionar vários servidores à mesma regra, selecione + Adicionar servidor e adicione mais detalhes.
Para obter mais informações, consulte Configurar ações de regra de encaminhamento de alerta.Quando terminar de configurar a regra, selecione Salvar. A regra é listada na página Encaminhamento.
Teste a regra que você criou:
- Selecione o menu de opções (...) para a regra >Enviar Mensagem de Teste.
- Vá atá o sistema de destino para verificar se as informações enviadas pelo sensor foram recebidas.
Editar ou excluir regras de encaminhamento em um sensor de OT
Para editar ou excluir uma regra existente:
Entre no sensor de OT e selecione Encaminhamento no menu à esquerda.
Selecione o menu de opções (...) para a regra e siga um destes procedimentos:
Selecione Editar e atualize os campos conforme necessário. Quando terminar, selecione Salvar.
Selecione Excluir>Sim para confirmar a exclusão.
Criar regras de encaminhamento em um console de gerenciamento local
Para criar uma regra de encaminhamento no console de gerenciamento:
Entre no console de gerenciamento local e selecione Encaminhamento no menu à esquerda.
Selecione o botão + no canto superior direito para criar uma regra.
Na janela Criar Regra de Encaminhamento, insira um nome significativo para a regra e defina as condições e ações dela da seguinte maneira:
Nome Descrição Nível mínimo de alerta No canto superior direito da caixa de diálogo, use a lista suspensa para selecionar o nível mínimo de severidade do alerta que deseja encaminhar.
Por exemplo, se Menos grave estiver selecionado, os alertas menos graves e todos os alertas acima desse nível de severidade serão encaminhados.Protocolos Selecione Todos para encaminhar alertas de tráfego de todos os protocolos ou Específico para adicionar apenas protocolos específicos. Mecanismos Selecione Todos para encaminhar alertas disparados por todos os mecanismos de análise de sensor ou Específico para adicionar apenas mecanismos específicos. Notificações do Sistema Selecione a opção Notificações do Sistema de Relatórios para notificar sobre sensores desconectados ou falhas de backup remoto. Notificações de Alerta Selecione a opção Relatar Notificações de Alerta para notificar sobre a data e hora do alerta, o título, a severidade, o nome de origem e destino e o endereço IP, o tráfego suspeito e o mecanismo que detectou o evento. Ações Selecione Adicionar para adicionar uma ação a ser aplicada e insira os valores de parâmetro necessários para a ação escolhida. Repita conforme necessário para adicionar várias ações.
Para obter mais informações, consulte Configurar ações de regra de encaminhamento de alerta.Quando terminar de configurar a regra, selecione SALVAR. A regra é listada na página Encaminhamento.
Teste a regra que você criou:
- Na linha da regra, selecione o botão
testar esta regra de encaminhamento. Uma notificação de êxito será mostrada se a mensagem for enviada com êxito. - Vá para o sistema parceiro para verificar se as informações enviadas pelo sensor foram recebidas.
- Na linha da regra, selecione o botão
Editar ou excluir regras de encaminhamento em um console de gerenciamento local
Para editar ou excluir uma regra existente:
Entre em seu console de gerenciamento local e selecione Encaminhamento no menu à esquerda.
Localize a linha da regra e selecione o botão
Editar ou 
Excluir.Se estiver editando a regra, atualize os campos conforme necessário e selecione SALVAR.
Se estiver excluindo a regra, selecione CONFIRMAR para confirmar a exclusão.
Configurar ações de regra de encaminhamento de alerta
Esta seção descreve como definir configurações para ações de regra de encaminhamento com suporte em um sensor OT ou no console de gerenciamento local.
Ação de endereço de email
Configure uma ação de Email para encaminhar dados de alerta para o endereço de email configurado.
Na área Ações, insira os seguintes detalhes:
| Nome | Descrição |
|---|---|
| Servidor | Selecione Email. |
| Insira o endereço de email para o qual deseja encaminhar os alertas. Cada regra dá suporte a um só endereço de email. | |
| TimeZone | Selecione o fuso horário que deseja usar para a detecção de alertas no sistema de destino. |
Ações do servidor syslog
Configure uma ação do servidor Syslog para encaminhar dados de alerta para o tipo selecionado de servidor Syslog.
Na área Ações, insira os seguintes detalhes:
| Nome | Descrição |
|---|---|
| Servidor | Selecione um dos seguintes tipos de formatos de syslog: - Servidor SYSLOG (formato CEF) - Servidor SYSLOG (formato LEEF) - Servidor SYSLOG (objeto) - Servidor SYSLOG (mensagem de texto) |
| Host / Porta | Insira a porta e o nome do host do servidor syslog |
| TimeZone | Selecione o fuso horário que deseja usar para a detecção de alertas no sistema de destino. |
| Protocolo | Compatível apenas com mensagens de texto. Selecione TCP ou UDP. |
| Habilitar criptografia | Compatível apenas com o formato CEF. Ative para configurar um arquivo de certificado de criptografia TLS, um arquivo de chave e uma frase secreta. |
As seções a seguir descrevem a sintaxe de saída de syslog para cada formato.
Campos de saída de mensagem de texto do syslog
| Nome | Descrição |
|---|---|
| Prioridade | Usuário. Alerta |
| Mensagem | Nome da plataforma CyberX: o nome do sensor. Alerta do Microsoft Defender para IoT: o título do alerta. Tipo: o tipo do estado do alerta. Pode ser Violação de Protocolo,Violação dePolítica, Malware,Anomaliaou Operacional. Gravidade: a gravidade do alerta. Pode ser Aviso, Secundário,Principalou Crítico. Origem: o nome do dispositivo de origem. IP de origem: o endereço IP do dispositivo de origem. Protocolo (opcional): o protocolo de origem detectado. Endereço (opcional): o endereço do protocolo de origem. Destino: o nome do dispositivo de destino. IP de destino: o endereço IP do dispositivo de destino. Protocolo (opcional): o protocolo de destino detectado. Endereço (opcional): o endereço do protocolo de destino. Mensagem: a mensagem do alerta. Grupo de alertas: o grupo de alertas associado ao alerta. UUID (opcional): a UUID do alerta. |
Campos de saída de objeto de syslog
| Nome | Descrição |
|---|---|
| Prioridade | User.Alert |
| Data e hora | Data e hora em que o computador do servidor syslog recebeu as informações. |
| Nome do host | IP do sensor |
| Mensagem | Nome do sensor: o nome do dispositivo. Hora do alerta: a hora em que o alerta foi detectado: pode variar de acordo com o horário do computador do servidor syslog e depende da configuração de fuso horário da regra de encaminhamento. Alert title: o título do alerta. Mensagem de alerta: a mensagem do alerta. Severidade do alerta: a severidade do alerta, que pode ser Aviso, Baixa, Alta ou Crítica. Tipo de alerta : violação de protocolo, violação de política, malware, anomaliaou operacional. Protocolo: o protocolo do alerta. Source_MAC: endereço IP, nome, fornecedor ou sistema operacional do dispositivo de origem. Destination_MAC: endereço IP, nome, fornecedor ou sistema operacional do destino. Se os dados estiverem ausentes, o valor será N/A. alert_group: o grupo de alertas associado ao alerta. |
Campos de saída CEF de syslog
| Nome | Descrição |
|---|---|
| Prioridade | User.Alert |
| Data e hora | Data e hora em que o sensor enviou as informações, no formato UTC |
| Nome do host | Nome do host do sensor |
| Mensagem | CEF:0 Microsoft Defender para IoT/CyberX Nome do sensor Versão do sensor Alerta do Microsoft Defender para IoT Título do alerta Indicação de número inteiro de gravidade. 1=Aviso, 4=Baixa, 8=Alta ou 10=Crítica. msg: a mensagem do alerta. protocol: o protocolo do alerta. severity: Aviso, Secundária, Importante ou Crítica. type: violação de protocolo, violação de política, malware, anomalia ou operacional. UUID= UUID do alerta (opcional) start: a hora em que o alerta foi detectado. Pode variar de acordo com o tempo do computador do servidor syslog e depende da configuração de fuso horário da regra de encaminhamento. src_ip: o endereço IP do dispositivo de origem. (Opcional) src_mac= o endereço MAC do dispositivo de origem. (Opcional) dst_ip: o endereço IP do dispositivo de destino. (Opcional) dst_mac= endereço MAC do dispositivo de destino. (Opcional) cat: o grupo de alerta associado ao alerta. |
Campos de saída LEEF de Syslog
| Nome | Descrição |
|---|---|
| Prioridade | User.Alert |
| Data e hora | Data e hora em que o sensor enviou as informações, no formato UTC |
| Nome do host | IP do sensor |
| Mensagem | Nome do sensor: o nome do dispositivo Microsoft Defender para IoT. LEEF:1.0 Microsoft Defender para IoT Sensor Versão do sensor Alerta do Microsoft Defender para IoT título: o título do alerta. msg: a mensagem do alerta. protocol: o protocolo do alerta. severidade: Aviso, Baixa, Alta ou Crítica. tipo: o tipo de alerta, que pode ser Violação de Protocolo, Violação de Política, Malware, Anomalia ou Operacional. start: hora de início do alerta. Talvez seja diferente de acordo com a hora do computador do servidor syslog e depende da configuração de fuso horário. src_ip: endereço IP do dispositivo de origem. dst_ip: endereço IP do dispositivo de destino. cat: o grupo de alertas associado ao alerta. |
Ação do servidor webhook
Compatível apenas com o console de gerenciamento local
Configure uma ação de Webhook para configurar uma integração que assina eventos de alerta do Defender para IoT. Por exemplo, envie dados de alerta para um servidor de webhook para atualizar um sistema SIEM externo, um sistema SOAR ou um sistema de gerenciamento de incidentes.
Quando você configura alertas a serem encaminhados para um servidor de webhook e um evento de alerta é disparado, o console de gerenciamento local envia conteúdo HTTP POST para a URL do webhook configurado.
Na área Ações, insira os seguintes detalhes:
| Nome | Descrição |
|---|---|
| Servidor | Selecione Webhook. |
| URL | Insira a URL do servidor do webhook. |
| Chave/valor | Insira pares chave/valor para personalizar o cabeçalho HTTP conforme necessário. Os caracteres com suporte incluem: - Chaves podem conter apenas letras, números, traços e sublinhados. - Valores podem conter apenas um espaço à esquerda e/ou à direita. |
Webhook estendido
Compatível apenas com o console de gerenciamento local
Configure uma ação de Webhook estendido para enviar os seguintes dados extra para o servidor de webhook:
- sensorID
- sensorName
- zoneID
- zoneName
- siteID
- siteName
- sourceDeviceAddress
- destinationDeviceAddress
- remediationSteps
- manipulado
- additionalInformation
Na área Ações, insira os seguintes detalhes:
| Nome | Descrição |
|---|---|
| Servidor | Selecione Webhook estendido. |
| URL | Insira a URL de dados do ponto de extremidade. |
| Chave/valor | Insira pares chave/valor para personalizar o cabeçalho HTTP conforme necessário. Os caracteres com suporte incluem: - Chaves podem conter apenas letras, números, traços e sublinhados. - Valores podem conter apenas um espaço à esquerda e/ou à direita. |
Ação NetWitness
Configure uma ação NetWitness para enviar informações de alerta para um servidor NetWitness.
Na área Ações, insira os seguintes detalhes:
| Nome | Descrição |
|---|---|
| Servidor | Selecione NetWitness. |
| Nome do host/porta | Insira o nome do host e a porta do servidor NetWitness. |
| Fuso horário | Insira o fuso horário que deseja usar no carimbo de data/hora para a detecção de alerta no SIEM. |
Configurar regras de encaminhamento para integrações de parceiros
Talvez você esteja integrando o Defender para IoT a um serviço de parceiro para enviar informações de inventário de dispositivos ou alertas para outro sistema de segurança ou de gerenciamento de dispositivos ou para se comunicar com firewalls do lado do parceiro.
As integrações de parceiro podem ajudar a fazer a ponte entre soluções de segurança anteriormente em silos, aprimorar a visibilidade do dispositivo e acelerar a resposta em todo o sistema para reduzir os riscos mais rapidamente.
Nesses casos, use asAções com suporte para inserir credenciais e outras informações necessárias para se comunicar com serviços de parceiro integrados.
Para saber mais, veja:
Configurar grupos de alertas em serviços de parceiros
Quando você configura regras de encaminhamento para enviar dados de alerta para servidores Syslog, QRadar e ArcSight, grupos de alertas são aplicados automaticamente e ficam disponíveis nesses servidores parceiros.
Os grupos de alertas ajudam as equipes do SOC a usar essas soluções de parceiros para gerenciar alertas com base em políticas de segurança corporativa e prioridades de negócios. Por exemplo, alertas sobre novas detecções são organizados em um grupo de descoberta, que inclui alertas sobre novos dispositivos, VLANs, contas de usuário, endereços MAC e mais.
Grupos de alertas aparecem em serviços de parceiros com os seguintes prefixos:
| Prefixo | Serviço de parceiro |
|---|---|
cat |
QRadar, ArcSight, Syslog CEF, Syslog LEEF |
Alert Group |
Mensagens de texto de syslog |
alert_group |
Objetos de syslog |
Para usar grupos de alertas em sua integração, configure os serviços de parceiros para exibir o nome do grupo de alertas.
Por padrão, os alertas são agrupados da seguinte maneira:
- Comportamento de comunicação anormal
- Alertas personalizados
- Acesso remoto
- Comportamento anormal de comunicação HTTP
- Descoberta
- Reiniciar e parar comandos
- Autenticação
- Alteração de firmware
- Verificar
- Comportamento de comunicação não autorizado
- Comandos ilegais
- Tráfego do sensor
- Anomalias de largura de banda
- Acesso à Internet
- Suspeita de malware
- Estouro de buffer
- Falhas de operação
- Suspeita de atividade mal-intencionada
- Falhas de comando
- Problemas operacionais
- Alterações de configuração
- Programação
Para obter mais informações e criar grupos de alertas personalizados, entre em contato com o Suporte da Microsoft.
Solucionar problemas com regras de encaminhamento
Se as regras de alerta de encaminhamento não estiverem funcionando conforme o esperado, verifique os seguintes detalhes:
Validação do certificado. Regras de encaminhamento para Syslog CEF, Microsoft Sentinel e QRadar dão suporte à criptografia e à validação de certificado.
Se os sensores de OT ou o console de gerenciamento local estiverem configurados para validar certificados e o certificado não puder ser verificado, os alertas não serão encaminhados.
Nesses casos, o sensor ou o console de gerenciamento local é o cliente e o iniciador da sessão. Normalmente, os certificados são recebidos do servidor ou usam criptografia assimétrica, em que um certificado específico é fornecido para configurar a integração.
Regras de exclusão de alertas. Se você tiver regras de exclusão configuradas no console de gerenciamento local, os sensores poderão estar ignorando os alertas que você está tentando encaminhar. Para saber mais, confira Criar regras de exclusão de alerta em um console de gerenciamento local.