Controlar a atividade de rede e sensor com a linha cronológica do evento
A atividade detetada pela sua Microsoft Defender para sensores IoT é registada na linha cronológica do evento. A atividade inclui alertas e ações de gestão de alertas, eventos de rede e operações de utilizador, como o início de sessão do utilizador ou a eliminação de utilizadores.
A linha cronológica do evento do sensor de OT fornece uma vista cronológica e contexto de toda a atividade de rede, para ajudar a determinar a causa e o efeito dos incidentes. A vista de linha cronológica facilita a extração de informações de eventos de rede e analisa os alertas e eventos observados na rede de forma mais eficiente. Com a capacidade de armazenar grandes quantidades de dados, a vista de linha cronológica do evento pode ser um recurso valioso para as equipas de segurança realizarem investigações e obterem uma compreensão mais aprofundada da atividade de rede.
Utilize a linha cronológica do evento durante as investigações para compreender e analisar a cadeia de eventos que precedeu e seguiu um ataque ou incidente. A vista centralizada de vários eventos relacionados com segurança na mesma linha cronológica ajuda a identificar padrões e correlações e a permitir que as equipas de segurança avaliem rapidamente o impacto dos incidentes e respondam em conformidade.
Para obter mais informações, consulte:
- Ver eventos na linha cronológica
- Auditar a atividade do utilizador
- Ver e gerir alertas
- Analisar detalhes e alterações de programação
Permissões
Antes de efetuar os procedimentos descritos neste artigo, certifique-se de que tem acesso a um sensor de OT como uma função Administração ou Analista de Segurança. Para obter mais informações, veja Utilizadores e funções no local para monitorização de OT com o Defender para IoT.
Ver a linha cronológica do evento
Inicie sessão na consola do sensor e selecione Linha Cronológica do Evento no menu esquerdo.
Reveja e filtre os eventos conforme necessário.
Selecione uma linha de eventos para ver os detalhes do evento num painel à direita, onde também pode filtrar para ver eventos de dispositivos relacionados. Por predefinição, o filtro Operações de Utilizador está ativado. Pode selecionar para ocultar ou mostrar eventos de utilizador conforme necessário.
Por exemplo:
Também pode ver a linha cronológica do evento de um dispositivo específico a partir do Inventário de dispositivos.
Para ver a linha cronológica do evento de um dispositivo específico:
Na consola do sensor, aceda a Inventário de dispositivos.
Selecione o dispositivo específico para abrir o painel de detalhes do dispositivo e, em seguida, selecione Ver detalhes completos para abrir a página de propriedades do dispositivo.
Selecione o separador Linha cronológica do evento para ver todos os eventos associados a este dispositivo e filtre os eventos conforme necessário.
Por exemplo:
Filtrar eventos na linha cronológica
Na página da linha cronológica do evento, selecione Adicionar filtro para especificar os eventos apresentados.
Selecione o tipo de filtro. Utilize qualquer uma das seguintes opções para filtrar os dispositivos apresentados:
Tipo Descrição Operações do utilizador Por predefinição, este filtro está ativado, opte por mostrar ou ocultar eventos de operação de utilizador. Data Procure eventos num intervalo de datas específico. Grupo de dispositivos Filtre dispositivos específicos por grupo, conforme definido no mapa do dispositivo. Gravidade do evento Mostrar Apenas Alertas, Alertas e Avisos ou Todos os Eventos. Excluir dispositivos Procure e filtre dispositivos que pretende excluir. Incluir dispositivos Procure e filtre os dispositivos que pretende incluir. Excluir Tipos de Eventos Procure e filtre tipos de eventos específicos a excluir. Incluir Tipos de Eventos Procure e filtre tipos de eventos específicos a incluir. Palavras-chave Filtre eventos por palavras-chave específicas. Selecione Aplicar para definir o filtro.
Exportar a linha cronológica do evento para CSV
Pode exportar a linha cronológica do evento para um ficheiro CSV, os dados exportados são de acordo com os filtros aplicados ao exportar.
Para exportar a linha cronológica do evento:
Na página Linha cronológica do evento , selecione Exportar no menu superior para exportar a linha cronológica do evento para um ficheiro CSV.
Criar um evento
Além de ver os eventos que o sensor detetou, pode adicionar manualmente eventos à linha cronológica. Este processo é útil se um evento de sistema externo afetar a sua rede e quiser gravá-lo na linha cronológica.
Na página Linha cronológica do evento , selecione Criar Evento.
Na caixa de diálogo Criar Evento , adicione os seguintes detalhes do evento:
Escreva. Especifique o tipo de evento (Informações, Aviso ou Alerta).
Carimbo de data/hora. Defina a data e hora do evento.
Dispositivo. Selecione o dispositivo ao quais o evento deve estar ligado.
Descrição. Forneça uma descrição do evento.
Selecione Guardar para adicionar o evento à linha cronológica.
Por exemplo:
Capacidade da linha cronológica do evento
A quantidade de dados que podem ser armazenados na linha cronológica do evento depende de vários fatores, como o tamanho da rede, a frequência dos eventos e a capacidade de armazenamento do sensor. Os dados armazenados na linha cronológica do evento podem incluir informações sobre tráfego de rede, eventos de segurança e outros pontos de dados relevantes.
O número máximo de eventos apresentados na linha cronológica do evento depende do perfil de hardware selecionado durante a instalação do sensor. Cada perfil de hardware tem uma capacidade máxima de eventos. Para obter mais informações sobre a capacidade máxima do evento para cada perfil de hardware, veja Retenção da linha cronológica de eventos OT.
Passos seguintes
Para obter mais informações, consulte: