Acompanhe a atividade de rede e sensor com a linha do tempo do evento

  • Artigo

A atividade detectada pelos sensores do Microsoft Defender para IoT é registrada na linha do tempo do evento. As atividades incluem alertas e ações de gerenciamento de alertas, eventos de rede e operações de usuário, como entrada de usuário ou exclusão de usuário.

A linha do tempo de evento do sensor de OT fornece uma exibição cronológica e um contexto de todas as atividades de rede, para ajudar a determinar a causa e o efeito dos incidentes. A exibição da linha do tempo facilita a extração de informações de eventos de rede e analisa alertas e eventos observados com mais eficiência na rede. Com a capacidade de armazenar grandes quantidades de dados, a exibição da linha do tempo do evento pode ser um recurso valioso para as equipes de segurança realizarem investigações e obterem uma compreensão mais profunda da atividade de rede.

Use a linha do tempo do evento durante investigações para entender e analisar a cadeia de eventos que aconteceram antes e após um ataque ou um incidente. A exibição centralizada de vários eventos relacionados à segurança na mesma linha do tempo ajuda a identificar padrões e correlações e permitir que as equipes de segurança avaliem rapidamente o impacto dos incidentes e respondam adequadamente.

Para obter mais informações, consulte:

Permissões

Antes de realizar os procedimentos descritos neste artigo, certifique-se de que você tenha acesso a um sensor de OT como uma função de Administrador ou Analista de Segurança. Para obter mais informações, confira Usuários locais e funções para monitoramento de OT com o Defender para IoT.

Visualizar a linha do tempo de eventos

  1. Entre no console do sensor e selecione Linha do Tempo do Evento no menu à esquerda.

  2. Examine e filtre os eventos conforme necessário.

  3. Selecione uma linha de evento para exibir os detalhes do evento em um painel à direita. Você também pode filtrar para exibir eventos de dispositivos relacionados. O filtro Operações do Usuário está ativado por padrão. Você pode selecioná-lo para ocultar ou mostrar eventos do usuário conforme necessário.

    Por exemplo:

    Captura de tela de eventos na linha do tempo do evento.

Você também pode exibir a linha do tempo do evento de um dispositivo específico do Inventário de dispositivos.

Para exibir a linha do tempo do evento de um dispositivo específico:

  1. No console do sensor, vá para Inventário de dispositivos.

  2. Selecione o dispositivo específico para abrir o painel de detalhes do dispositivo e selecione Exibir detalhes completos para abrir a página de propriedades do dispositivo.

  3. Selecione a guia Linha do tempo do evento para exibir todos os eventos associados a esse dispositivo e filtre os eventos conforme necessário.

    Por exemplo:

    Captura de tela da guia linha do tempo do evento na página de propriedades do dispositivo.

Filtrar eventos na linha do tempo

  1. Na página da linha do tempo do evento, selecione Adicionar filtro para especificar os eventos mostrados.

  2. Selecione o filtro Tipo. Use qualquer uma das seguintes opções para filtrar os dispositivos mostrados:

    Type Descrição
    Operações do Usuário Esse filtro está ativado por padrão, escolha mostrar ou ocultar eventos de operação do usuário.
    Data Pesquise por eventos em um intervalo de datas específico.
    Grupo de dispositivos Filtre dispositivos específicos por grupo conforme definido no mapa do dispositivo.
    Severidade do evento Mostrar Somente alertas, Alertas e avisos ou Todos os eventos.
    Excluir Dispositivos Pesquise por dispositivos que deseja excluir.
    Incluir Dispositivos Pesquise por dispositivos que deseja incluir.
    Excluir Tipos de Eventos Pesquise por tipos de eventos específicos a excluir.
    Incluir Tipos de Eventos Pesquise por tipos de eventos específicos a incluir.
    Palavras-chave Filtre os eventos por palavras-chave específica.

  3. Selecione Aplicar para definir o filtro.

Exportar a linha do tempo do evento para CSV

Você pode exportar a linha do tempo do evento para um arquivo CSV, os dados exportados são de acordo com todos os filtros aplicados ao exportar.

Para exportar a linha do tempo do evento:

Na página Linha do tempo do evento, selecione Exportar no menu superior para exportar a linha do tempo do evento para um arquivo CSV.

Criar um evento

Além de exibir os eventos detectados pelo sensor, você pode adicionar eventos manualmente à linha do tempo. Esse processo é útil se um evento de sistema externo impacta sua rede e você deseja gravá-lo na linha do tempo.

  1. Na página Linha do tempo do evento, selecione Criar Evento.

  2. Na caixa de diálogo Criar Evento, adicione os seguintes detalhes do evento:

    • Type. Especifique o tipo de evento (Informações, Aviso ou Alerta).

    • Timestamp. Defina a data e a hora do evento.

    • Dispositivo. Selecione o dispositivo com o qual o evento deve ser conectado.

    • Descrição. Forneça uma descrição do evento.

  3. Selecione Salvar para adicionar o evento à linha do tempo.

Por exemplo:

Captura de tela da criação de um novo evento na linha do tempo.

Capacidade da linha do tempo do evento

A quantidade de dados que podem ser armazenados na linha do tempo do evento depende de vários fatores, como o tamanho da rede, a frequência dos eventos e a capacidade de armazenamento do sensor. Os dados armazenados na linha do tempo do evento podem incluir informações sobre tráfego de rede, eventos de segurança e outros pontos de dados relevantes.

O número máximo de eventos mostrados na linha do tempo do evento depende do perfil de hardware selecionado durante a instalação do sensor. Cada perfil de hardware tem uma capacidade máxima de eventos. Para obter mais informações sobre a capacidade máxima de evento para cada perfil de hardware, consulte Retenção da linha do tempo do evento de OT.

Próximas etapas

Para obter mais informações, consulte: