Compartilhar via

Exibir e gerenciar alertas a partir do portal do Azure

  • Artigo

Os alertas do Microsoft Defender para IoT aprimoram a segurança e as operações de rede com detalhes em tempo real sobre eventos registrados em sua rede. Este artigo descreve como gerenciar alertas do Microsoft Defender para IoT no portal do Azure, incluindo alertas gerados por sensores de rede de OT e Enterprise IoT.

Pré-requisitos

Para obter mais informações, consulte Funções e permissões de usuário do Azure para o Defender para IoT.

Exibir alertas no portal do Azure

  1. No Defender para IoT no portal do Azure, selecione a página Alertas à esquerda. Por padrão, os seguintes detalhes são mostrados na grade:

    Coluna Descrição
    Gravidade Uma severidade de alerta predefinida atribuída pelo sensor que você pode modificar conforme necessário.
    Nome O título do alerta.
    Site O site associado ao sensor que detectou o alerta, conforme indicado na página Sites e sensores.
    Mecanismo O mecanismo de detecção do Defender para IoT que detectou a atividade e disparou o alerta.

    Observação: o valor Microagente indica que o evento foi disparado pela plataforma Construtor de Dispositivos do Defender para IoT.
    Última detecção A primeira vez que o alerta foi detectado.

    - Se o status de um alerta for Novo e o mesmo tráfego for visto novamente, a hora da Última detecção será atualizada para o mesmo alerta.
    - Se o status do alerta for Fechado e o tráfego for visto novamente, a hora da Última detecçãonão será atualizada e um novo alerta será disparado.
    Status O status do alerta: Novo, Ativo, Fechado

    Para obter mais informações, consulte Status de alerta e opções de triagem.
    Dispositivo de origem O endereço IP, o endereço MAC ou o nome do dispositivo em que o tráfego que disparou o alerta foi originado.
    Táticas A fase MITRE ATT&CK.

    1. Para exibir mais detalhes, selecione o botão Editar colunas.

      No painel Editar colunas à direita, selecione Adicionar Coluna e qualquer uma das seguintes colunas extra:

      Coluna Descrição
      Endereço do dispositivo de origem O endereço IP do dispositivo de origem.
      Endereço do dispositivo de destino O endereço IP do dispositivo de destino.
      Dispositivo de destino O endereço IP ou MAC de destino ou o nome do dispositivo de destino.
      Primeira detecção A primeira vez que o alerta foi detectado na rede.
      Id A ID de alerta exclusiva, alinhada com a ID no console do sensor.

      Observação: se o alerta foi mesclado com outros alertas de sensores que detectaram o mesmo alerta, o portal do Azure exibirá a ID de alerta do primeiro sensor que gerou os alertas.
      Última atividade A última vez em que o alerta foi alterado, incluindo atualizações manuais de severidade ou status ou alterações automatizadas para atualizações de dispositivo ou eliminação de duplicação de dispositivos/alertas
      Protocolo O protocolo detectado no tráfego de rede para o alerta.
      Sensor O sensor que detectou o alerta.
      Zona A zona atribuída ao sensor que detectou o alerta.
      Categoria A categoria associada ao alerta, como problemas operacionais, alertas personalizados ou comandos ilegais.
      Tipo O nome interno do alerta.

Dica

Se você estiver vendo mais alertas do que o esperado, talvez queira criar regras de supressão para impedir que alertas sejam disparados para atividades de rede legítimas. Para saber mais, confira Suprimir alertas irrelevantes.

Filtrar alertas exibidos

Use a caixa Pesquisa e as opções Intervalo de tempo eAdicionar filtro para filtrar os alertas exibidos por parâmetros específicos ou ajudar a localizar um alerta específico.

Por exemplo, filtre os alertas por Categoria:

Screenshot of the Category filter option in Alerts page in the Azure portal.

Agrupar alertas exibidos

Use o menu Agrupar por no canto superior direito para recolher a grade em subseções de acordo com parâmetros específicos.

Por exemplo, enquanto o número total de alertas aparece acima da grade, talvez você queira informações mais específicas sobre a divisão da contagem de alertas, como o número de alertas com uma gravidade específica, protocolo ou site.

As opções de agrupamento com suporte incluem Mecanismo, Nome, Sensor, Severidade e Site.

Exibir detalhes e corrigir um alerta específico

  1. Na página Alertas, selecione um alerta na grade para exibir mais detalhes no painel à direita. O painel de detalhes do alerta inclui a descrição do alerta, a origem e o destino do tráfego e muito mais.

    Selecione Exibir os detalhes completos para continuar com a busca detalhada. Por exemplo:

    Screenshot of an alert selected from Alerts page in the Azure portal.

  2. A página de detalhes do alerta fornece mais detalhes sobre o alerta, bem como um conjunto de etapas de correção, na guia Executar ação. Por exemplo:

    Screenshot of the alert details page on the Azure portal.

Gerenciar o status e a severidade do alerta

Recomendamos que você atualize a severidade do alerta no Defender para IoT no portal do Azure assim que fizer a triagem de um alerta para priorizar os alertas mais arriscados o quanto antes. Atualize o status do alerta depois de executar as etapas de correção para que o progresso seja registrado.

Você pode atualizar o status e a severidade de um só alerta ou de uma seleção de alertas em massa.

Conheça um alerta para indicar ao Defender para IoT que o tráfego de rede detectado está autorizado. Os alertas conhecidos não serão disparados novamente na próxima vez que o mesmo tráfego for detectado em sua rede. O aprendizado tem suporte apenas para alertas selecionados, e o esquecimento só tem suporte do sensor de rede de OT.

Para obter mais informações, consulte Status de alerta e opções de triagem.

  • Para gerenciar um único alerta:

    1. No Defender para IoT no portal do Azure, selecione a página Alertas à esquerda e selecione um alerta na grade.
    2. Selecione o novo status e/ou a gravidade no painel de detalhes à direita ou na página de detalhes do alerta.

  • Para gerenciar vários alertas em massa:

    1. No Defender para IoT no portal do Azure, selecione a página Alertas à esquerda e selecione os alertas na grade que você deseja modificar.
    2. Use as opções Alterar status e/ou Alterar gravidade na barra de ferramentas para atualizar o status e/ou a gravidade de todos os alertas selecionados.

  • Para aprender sobre um ou mais alertas:

    No Defender para IoT no portal do Azure, selecione a página Alertas à esquerda e siga um destes procedimentos:

    • Selecione um ou mais alertas que podem ser aprendidos na grade e, em seguida, selecione Aprender na barra de ferramentas.
    • Em uma página de detalhes de um alerta que pode ser aprendido, na guia Executar ação, selecione Learn.

Acessar dados de PCAP do alerta

Talvez você queira acessar arquivos de tráfego brutos, também conhecidos como arquivos de captura de pacotes ou arquivos PCAP, como parte de sua investigação. Se você for um engenheiro de segurança de SOC ou OT, acesse arquivos de PCAP diretamente do portal do Azure para ajudá-lo a investigar mais rapidamente.

Para acessar arquivos de tráfego brutos para o alerta, selecione Baixar PCAP no canto superior esquerdo da página de detalhes do alerta.

Por exemplo:

Screenshot of the Download PCAP button.

O portal solicita o arquivo do sensor que detectou o alerta e o baixa no armazenamento do Azure.

Baixar o arquivo PCAP pode levar vários minutos, dependendo da qualidade da conectividade do sensor.

Exportar alertas para um arquivo CSV

Talvez você queira exportar uma seleção de alertas para um arquivo CSV para compartilhamento offline e criação de relatórios.

  1. No Defender para IoT no portal do Azure, selecione a página Alertas à esquerda.

  2. Use a caixa de pesquisa e as opções de filtro para mostrar apenas os alertas que você exportar.

  3. Na barra de ferramentas acima da grade, selecione Exportar>Confirmar.

O arquivo é gerado e você é solicitado a salvá-lo localmente.

Próximas etapas

Alertas do Microsoft Defender para IoT