Criar uma linha de base aprendida de alertas de OT

Este artigo faz parte de uma série de artigos que descrevem o caminho de implantação para monitoramento de OT com Microsoft Defender para IoT e descreve como criar uma linha de base de tráfego aprendido em um sensor de OT.

Entender o modo de aprendizado

Um sensor de rede OT começa a monitorar sua rede automaticamente depois que ele é conectado à rede e você conectado. Os dispositivos de rede começam a aparecer no inventário de dispositivos e os alertas são disparados para quaisquer incidentes operacionais ou de segurança que ocorram em sua rede.

Inicialmente, essa atividade ocorre no modo de aprendizado, o que instrui o sensor de OT a aprender a atividade usual da rede, incluindo os dispositivos e protocolos em sua rede e as transferências de arquivos regulares que ocorrem entre dispositivos específicos. Qualquer atividade detectada regularmente se torna o tráfego de linha de base da rede.

Dica

Use seu tempo no modo de aprendizado para fazer a triagem dos alertas e Aprenda aqueles que você deseja marcar como atividades autorizadas e esperadas. O tráfego aprendido não gera novos alertas na próxima vez que o mesmo tráfego for detectado.

Após desabilitar o modo de aprendizado, qualquer atividade diferente dos seus dados de linha de base disparará um alerta.

Para obter mais informações, confira Alertas do Microsoft Defender para IoT.

Linha do tempo do Modo de aprendizado

A criação da linha de base de alertas de OT pode levar de alguns dias a várias semanas, dependendo do tamanho e da complexidade da rede. O modo de aprendizado é desativado automaticamente quando o sensor detecta uma diminuição no tráfego detectado recentemente, que normalmente é entre 2 a 6 semanas após a implantação.

Desative o modo de aprendizado manualmente antes disso se você achar que os alertas atuais refletem com precisão sua atividade de rede.

Pré-requisitos

Você pode executar os procedimentos neste artigo do portal do Azure, de um sensor de OT ou de um console de gerenciamento local.

Antes de começar, verifique se você tem estes itens:

• Um sensor OT instalado, configurado e ativado, com alertas sendo acionados pelo tráfego detectado.

• Acesso ao sensor de OT como Analista de Segurança ou usuárioAdministrador. Para obter mais informações, confira Usuários locais e funções para monitoramento de OT com o Defender para IoT.

Alertas de triagem

Faça alertas de triagem no final da implantação para criar uma linha de base inicial para sua atividade de rede.

1. Entre no sensor de OT e selecione a página Alertas.

2. Use as opções de classificação e agrupamento para exibir os alertas mais críticos primeiro. Revise cada alerta para atualizar status e saiba mais sobre alertas para tráfego autorizado por OT.

Para obter mais informações, consulte Exibir e gerenciar alertas no sensor de OT.

Próximas etapas

« Verificar e atualizar o inventário de dispositivo detectado

Depois que o modo de aprendizado estiver desativado, você mudará do modo de aprendizado para o modo de operação. Continue com qualquer uma das seguintes opções:

• Visualizar dados do Microsoft Defender para IoT com pastas de trabalho do Azure Monitor
• Exibir e gerenciar alertas no portal do Azure
• Gerenciar o inventário de dispositivos no portal do Azure

Integrar os dados do Defender para IoT ao Microsoft Sentinel para unificar o monitoramento de segurança da equipe do SOC. Para obter mais informações, consulte:

• Tutorial: conectar o Microsoft Defender para IoT ao Microsoft Sentinel
• Tutorial: investigar e detectar ameaças para dispositivos IoT