Exibir e gerenciar alertas no sensor de OT

  • Artigo

Os alertas do Microsoft Defender para IoT aprimoram a segurança e as operações de rede com detalhes em tempo real sobre eventos registrados em sua rede. Os alertas de OT são disparados quando sensores de rede de OT detectam alterações ou atividades suspeitas no tráfego de rede que precisam de sua atenção.

Este artigo descreve como exibir alertas do Defender para IoT diretamente em um sensor de rede de OT. Você também pode exibir alertas de OT no portal do Azure ou em um console de gerenciamento local.

Para obter mais informações, confira Alertas do Microsoft Defender para IoT.

Pré-requisitos

  • Para ter alertas no sensor de OT, você precisa ter uma porta SPAN configurada para o sensor e o software de monitoramento do Defender para IoT instalado. Para saber mais, confira Instalar software de monitoramento de OT sem agente.

  • Para exibir alertas no sensor de OT, entre no sensor como um usuário Administrador, Analista de Segurança ou Visualizador.

  • Para gerenciar alertas em um sensor de OT, entre no sensor como um usuário Administrador ou Analista de Segurança. As atividades de gerenciamento de alertas incluem modificar os status ou severidades deles, aprender ou ativar o mudo de um alerta, acessar dados de PCAP ou adicionar comentários predefinidos a um alerta.

Para obter mais informações, confira Usuários locais e funções para monitoramento de OT com o Defender para IoT.

Exibir alertas em um sensor de OT

  1. Entre no console do sensor de OT e selecione a página Alertas à esquerda.

    Por padrão, os seguintes detalhes são mostrados na grade:

    Nome Descrição
    Gravidade Uma severidade de alerta predefinida atribuída pelo sensor que você pode modificar conforme necessário, incluindo: Crítico, Principal, Secundário, Aviso.
    Nome O título do alerta
    Mecanismo O mecanismo de detecção do Defender para IoT que detectou a atividade e disparou o alerta.
    Última detecção A primeira vez que o alerta foi detectado.

    - Se o status de um alerta for Novo e o mesmo tráfego for visto novamente, a hora da Última detecção será atualizada para o mesmo alerta.
    - Se o status do alerta for Fechado e o tráfego for visto novamente, a hora da Última detecçãonão será atualizada e um novo alerta será disparado.
    Status O status do alerta: Novo, Ativo, Fechado

    Para obter mais informações, consulte Status de alerta e opções de triagem.
    Dispositivo de origem O endereço IP, MAC ou nome do dispositivo de origem.

    1. Para exibir mais detalhes, selecione o botão Editar Colunas.

      No painel Editar Colunas à direita, selecione Adicionar Coluna e qualquer uma das seguintes colunas extra:

      Nome Descrição
      Dispositivo de destino O endereço IP do dispositivo de destino.
      Primeira detecção A primeira vez que a atividade de alerta foi detectada.
      ID A ID do alerta.
      Última atividade A última vez em que o alerta foi alterado, incluindo atualizações manuais de severidade ou status ou alterações automatizadas para atualizações de dispositivo ou eliminação de duplicação de dispositivos/alertas

Filtrar alertas exibidos

Use a caixa Pesquisa, Intervalo de tempo eAdicionar filtro para filtrar os alertas exibidos por parâmetros específicos ou ajudar a localizar um alerta específico.

Por exemplo:

Screenshot of an OT sensor Alerts page being filtered by Groups.

A filtragem de alertas por Grupos usa os grupos personalizados que você pode ter criado nas páginas Inventário de dispositivos ou Mapa do dispositivo.

Agrupar alertas exibidos

Use o menu Agrupar por no canto superior direito para recolher a grade em subseções com base na Severidade, no Nome, no Mecanismo ou no Status.

Por exemplo, enquanto o número total de alertas aparece acima da grade, talvez você queira informações mais específicas sobre o detalhamento da contagem de alertas, como o número de alertas com uma severidade ou um status específico.

Exibir detalhes e corrigir um alerta específico

  1. Entre no sensor de OT e selecione Alertas no menu à esquerda.

  2. Selecione um alerta na grade para exibir mais detalhes no painel à direita. O painel de detalhes do alerta inclui a descrição do alerta, a origem e o destino do tráfego e muito mais. Selecione Exibir os detalhes completos para continuar com a busca detalhada. Por exemplo:

    Screenshot of an alert selected from the Alerts page on an OT sensor.

  3. A página de detalhes do alerta fornece mais detalhes sobre o alerta, bem como um conjunto de etapas de correção, na guia Executar ação.

    Use as seguintes guias para obter mais insights contextuais:

    • Exibição de Mapa. Veja os dispositivos de origem e destino em uma exibição de mapa com outros dispositivos conectados ao sensor. Por exemplo:

      Screenshot of the Map View tab on an alert details page.

    • Linha do Tempo do Evento. Veja o evento em conjunto com outras atividades recentes nos dispositivos relacionados. Filtre opções para personalizar os dados exibidos. Por exemplo:

      Screenshot of an event timeline on an alert details page.

Gerenciar o status dos alertas e fazer a triagem de alertas

Atualize o status do alerta depois de executar as etapas de correção para que o progresso seja registrado. Você pode atualizar o status de um só alerta ou de uma seleção de alertas em massa.

Conheça um alerta para indicar ao Defender para IoT que o tráfego de rede detectado está autorizado. Os alertas conhecidos não serão disparados novamente na próxima vez que o mesmo tráfego for detectado em sua rede. Ative o mudo para um alerta quando o aprendizado não estiver disponível e você quiser ignorar um cenário específico na rede.

Para obter mais informações, consulte Status de alerta e opções de triagem.

  • Para gerenciar o status do alerta:

    1. Entre no console do sensor de OT e selecione a página Alertas à esquerda.

    2. Selecione um ou mais alertas na grade cujo status você deseja atualizar.

    3. Use o botão Alterar Status da barra de ferramentas ou a opção Status no painel de detalhes à direita para atualizar o status do alerta.

      A opção Status também está disponível na página de detalhes do alerta.

  • Para aprender sobre um ou mais alertas:

    Entre no console do sensor de OT, selecione a página Alertas à esquerda e siga um destes procedimentos:

    • Selecione um ou mais alertas que podem ser aprendidos na grade e, em seguida, selecione Aprender na barra de ferramentas.
    • Em uma página de detalhes do alerta, na guia Executar ação, selecione Learn.

  • Para ativar o mudo para um alerta:

    1. Entre no console do sensor de OT e selecione a página Alertas à esquerda.
    2. Localize o alerta para o qual deseja ativar o mudo e abra a página de detalhes dele.
    3. Na guia Executar ação, ative a opção Ativar mudo para o alerta.

  • Para esquecer ou desativar o mudo para um alerta:

    1. Entre no console do sensor de OT e selecione a página Alertas à esquerda.
    2. Localize o alerta que você aprendeu ou para o qual ativou o mudo e abra a página de detalhes dele.
    3. Na guia Executar ação, desative a opção Aprender alerta ou Ativar mudo para o alerta.

    Após você esquecer ou desativar o mudo para um alerta, os alertas serão disparados novamente sempre que o sensor detectar a combinação de tráfego selecionada.

Acessar dados de PCAP do alerta

Talvez você queira acessar arquivos de tráfego brutos, também conhecidos como arquivos de captura de pacotes ou arquivos PCAP, como parte de sua investigação.

Para acessar arquivos de tráfego bruto para seu alerta, selecione Baixar PCAP no canto superior esquerdo da página de detalhes do alerta:

Por exemplo:

Screenshot of the Download PCAP options on the OT sensor.

O arquivo PCAP é baixado e o navegador solicita que você o abra ou salve localmente.

Exportar alertas para CSV ou PDF

Talvez você queira exportar uma seleção de alertas para um arquivo CSV ou PDF para compartilhamento offline e criação de relatórios.

  • Exporte alertas para um arquivo CSV da página principal de Alertas. Exporte os alertas um por vez ou em massa.
  • Exporte os alertas para um arquivo PDF um por vez, seja na página principal de Alertas ou em uma página de detalhes do alerta.

Para exportar alertas para um arquivo CSV:

  1. Entre no console do sensor de OT e selecione a página Alertas à esquerda.

  2. Use a caixa de pesquisa e as opções de filtro para mostrar apenas os alertas que você exportar.

  3. Na barra de ferramentas acima da grade, selecione Exportar para CSV.

O arquivo é gerado e você é solicitado a abri-lo ou salvá-lo localmente.

Para exportar um alerta para um arquivo PDF:

Entre no console do sensor de OT, selecione a página Alertas à esquerda e siga um destes procedimentos:

  • Na página Alertas, selecione um alerta e, em seguida, selecione Exportar para PDF na barra de ferramentas acima da grade.
  • Na página de detalhes de um alerta, selecione Exportar para PDF.

O arquivo é gerado e você é solicitado a salvá-lo localmente.

Adicionar comentários de alerta

Os comentários de alerta ajudam você a acelerar o processo de investigação e correção, tornando a comunicação entre os membros da equipe e a gravação de dados mais eficientes.

Se o administrador criou comentários personalizados para sua equipe adicionar aos alertas, adicione-os na seção Comentários na página de detalhes do alerta.

  1. Entre no console do sensor de OT e selecione a página Alertas à esquerda.

  2. Localize o alerta onde deseja adicionar um comentário e abra a página de detalhes do alerta.

  3. Na lista Escolher comentário, selecione o comentário que deseja adicionar e, em seguida, selecione Adicionar. Por exemplo:

    Screenshot of the Comments section on an alert details page on the sensor.

Para obter mais informações, confira Acelerando fluxos de trabalho de OT.

Próximas etapas

Retenção de dados no Microsoft Defender para IoT