Partilhar via


Visualize e gerencie alertas em seu sensor OT

Os alertas do Microsoft Defender para IoT melhoram a segurança e as operações da rede com detalhes em tempo real sobre eventos registrados na rede. Os alertas OT são acionados quando os sensores de rede OT detetam alterações ou atividades suspeitas no tráfego de rede que precisam de sua atenção.

Este artigo descreve como exibir alertas do Defender for IoT diretamente em um sensor de rede OT. Você também pode exibir alertas de OT no portal do Azure ou em um console de gerenciamento local.

Para obter mais informações, consulte Alertas do Microsoft Defender para IoT.

Pré-requisitos

  • Para ter alertas no sensor OT, você deve ter uma porta SPAN configurada para o sensor e o software de monitoramento Defender for IoT instalado. Para obter mais informações, consulte Instalar software de monitoramento sem agente OT.

  • Para visualizar alertas no sensor OT, inicie sessão no sensor como Administrador, Analista de Segurança ou Visualizador .

  • Para gerir alertas num sensor OT, inicie sessão no sensor como utilizador Administrador ou Analista de Segurança . As atividades de gerenciamento de alertas incluem modificar seus status ou gravidades, aprender ou silenciar um alerta, acessar dados PCAP ou adicionar comentários predefinidos a um alerta.

Para obter mais informações, consulte Usuários e funções locais para monitoramento de OT com o Defender for IoT.

Ver alertas num sensor OT

  1. Inicie sessão na consola do sensor OT e selecione a página Alertas à esquerda.

    Por padrão, os seguintes detalhes são mostrados na grade:

    Nome Descrição
    Gravidade Uma severidade de alerta predefinida atribuída pelo sensor que pode ser modificada conforme necessário, incluindo: Crítica, Maior, Menor, Aviso.
    Nome O título do alerta
    Motores O mecanismo de deteção do Defender for IoT que detetou a atividade e disparou o alerta.
    Última deteção A última vez que o alerta foi detetado.

    - Se o status de um alerta for Novo e o mesmo tráfego for visto novamente, a última hora de deteção será atualizada para o mesmo alerta.
    - Se o status do alerta for Fechado e o tráfego for visto novamente, a última hora de deteção não será atualizada e um novo alerta será acionado.

    Observação: enquanto o console do sensor exibe o campo Última deteção de um alerta em tempo real, o Defender for IoT no portal do Azure pode levar até uma hora para exibir a hora atualizada. Isso explica um cenário em que a última hora de deteção no console do sensor não é a mesma que a última hora de deteção no portal do Azure.
    Status O estado do alerta: Novo, Ativo, Fechado

    Para obter mais informações, consulte Status de alerta e opções de triagem.
    Dispositivo de origem O endereço IP do dispositivo de origem, MAC ou nome do dispositivo.
    ID A ID de alerta exclusiva, alinhada com a ID no portal do Azure.

    Observação: se o alerta foi mesclado com outros alertas de sensores que detetaram o mesmo alerta, o portal do Azure exibirá a ID de alerta do primeiro sensor que gerou os alertas.
    1. Para ver mais detalhes, selecione o botão Editar colunas .

      No painel Editar Colunas à direita, selecione Adicionar Coluna e qualquer uma das seguintes colunas extras:

      Nome Descrição
      Dispositivo de destino O endereço IP do dispositivo de destino.
      Primeira deteção A primeira vez que a atividade de alerta foi detetada.
      ID O ID do alerta.
      Última atividade A última vez que o alerta foi alterado, incluindo atualizações manuais para gravidade ou status, ou alterações automatizadas para atualizações de dispositivo ou eliminação de duplicação de dispositivo/alerta

Filtrar alertas exibidos

Use a caixa Pesquisar, Intervalo de tempo e Adicionar opções de filtro para filtrar os alertas exibidos por parâmetros específicos ou ajudar a localizar um alerta específico.

Por exemplo:

Captura de ecrã de uma página de Alertas do sensor OT a ser filtrada por Grupos.

A filtragem de alertas por Grupos usa quaisquer grupos personalizados que você possa ter criado nas páginas Inventário de dispositivos ou Mapa de dispositivos.

Alertas de grupo exibidos

Use o menu Agrupar por no canto superior direito para recolher a grade em subseções com base em Gravidade, Nome, Mecanismo ou Status.

Por exemplo, embora o número total de alertas apareça acima da grade, talvez você queira informações mais específicas sobre a divisão da contagem de alertas, como o número de alertas com uma gravidade ou status específicos.

Ver detalhes e corrigir um alerta específico

  1. Entre no sensor OT e selecione Alertas no menu à esquerda.

  2. Selecione um alerta na grade para exibir mais detalhes no painel à direita. O painel de detalhes do alerta inclui a descrição do alerta, a origem e o destino do tráfego e muito mais. Selecione Exibir detalhes completos para detalhar mais. Por exemplo:

    Captura de ecrã de um alerta selecionado na página Alertas num sensor OT.

  3. A página de detalhes do alerta fornece mais detalhes sobre o alerta e um conjunto de etapas de correção na guia Executar ação .

    Use as seguintes guias para obter mais informações contextuais:

    • Visualização do Mapa. Veja os dispositivos de origem e destino numa vista de mapa com outros dispositivos ligados ao seu sensor.

    • Linha do Tempo do Evento. Visualize o evento juntamente com outras atividades recentes nos dispositivos relacionados. Opções de filtro para personalizar os dados exibidos. Por exemplo:

      Captura de ecrã de uma cronologia de um evento numa página de detalhes de alerta.

Gerenciar alertas de status e triagem

Certifique-se de atualizar o status do alerta depois de executar as etapas de correção para que o progresso seja registrado. Você pode atualizar o status de um único alerta ou de uma seleção de alertas em massa.

Aprenda um alerta para indicar ao Defender for IoT que o tráfego de rede detetado está autorizado. Os alertas aprendidos não serão acionados novamente na próxima vez que o mesmo tráfego for detetado na sua rede. Silencie um alerta quando a aprendizagem não estiver disponível e pretender ignorar um cenário específico na sua rede.

Para obter mais informações, consulte Status de alerta e opções de triagem.

  • Para gerenciar o status do alerta:

    1. Inicie sessão na consola do sensor OT e selecione a página Alertas à esquerda.

    2. Selecione um ou mais alertas na grade cujo status você deseja atualizar.

    3. Use o botão Alterar Status da barra de ferramentas ou a opção Status no painel de detalhes à direita para atualizar o status do alerta.

      A opção Status também está disponível na página de detalhes do alerta.

  • Para saber mais sobre um ou mais alertas:

    Inicie sessão na consola do sensor OT, selecione a página Alertas à esquerda e, em seguida, efetue um dos seguintes procedimentos:

    • Selecione um ou mais alertas aprendíveis na grade e, em seguida, selecione Aprender na barra de ferramentas.
    • Em uma página de detalhes do alerta, na guia Agir , selecione Aprender.
  • Para silenciar um alerta:

    1. Inicie sessão na consola do sensor OT e selecione a página Alertas à esquerda.
    2. Localize o alerta que deseja silenciar e abra a página de detalhes do alerta.
    3. Na guia Executar ação, ative a opção Silenciar alerta.
  • Para desaprender ou desativar o som de um alerta:

    1. Inicie sessão na consola do sensor OT e selecione a página Alertas à esquerda.
    2. Localize o alerta que você aprendeu ou silenciou e abra a página de detalhes do alerta.
    3. Na guia Executar ação, desative a opção Aprender alerta ou Silenciar alerta.

    Depois de desaprender ou desativar o som de um alerta, os alertas são acionados novamente sempre que o sensor deteta a combinação de tráfego selecionada.

Aceder a dados PCAP de alerta

Você pode querer acessar arquivos de tráfego bruto, também conhecidos como arquivos de captura de pacotes ou arquivos PCAP como parte de sua investigação.

Para acessar arquivos de tráfego bruto para seu alerta, selecione Baixar PCAP no canto superior esquerdo da página de detalhes do alerta:

Por exemplo:

Captura de ecrã das opções de Download PCAP no sensor OT.

O arquivo PCAP é baixado e seu navegador solicita que você o abra ou salve localmente.

Exportar alertas para CSV ou PDF

Talvez você queira exportar uma seleção de alertas para um arquivo CSV ou PDF para compartilhamento e relatórios offline.

  • Exporte alertas para um arquivo CSV na página principal Alertas . Alertas de exportação um de cada vez ou em massa.
  • Exporte alertas para um arquivo PDF apenas um de cada vez, na página principal de Alertas ou em uma página de detalhes de alerta.

Para exportar alertas para um arquivo CSV:

  1. Inicie sessão na consola do sensor OT e selecione a página Alertas à esquerda.

  2. Use a caixa de pesquisa e as opções de filtro para mostrar apenas os alertas que você deseja exportar.

  3. Na barra de ferramentas acima da grade, selecione Exportar para CSV.

O arquivo é gerado e você é solicitado a abri-lo ou salvá-lo localmente.

Para exportar um alerta para um ficheiro PDF:

Inicie sessão na consola do sensor OT, selecione a página Alertas à esquerda e, em seguida, efetue um dos seguintes procedimentos:

  • Na página Alertas, selecione um alerta e, em seguida, selecione Exportar para PDF na barra de ferramentas acima da grade.
  • Em uma página de detalhes de alertas, selecione Exportar para PDF.

O arquivo é gerado e você será solicitado a salvá-lo localmente.

Adicionar comentários de alerta

Os comentários de alerta ajudam a acelerar o processo de investigação e remediação, tornando a comunicação entre os membros da equipe e o registro de dados mais eficiente.

Se o administrador tiver criado comentários personalizados para sua equipe adicionar aos alertas, adicione-os na seção Comentários em uma página de detalhes do alerta.

  1. Inicie sessão na consola do sensor OT e selecione a página Alertas à esquerda.

  2. Localize o alerta onde pretende adicionar um comentário e abra a página de detalhes do alerta.

  3. Na lista Escolher comentário, selecione o comentário que deseja adicionar e selecione Adicionar. Por exemplo:

    Captura de ecrã da secção Comentários numa página de detalhes do alerta no sensor.

Para obter mais informações, consulte Acelerando fluxos de trabalho de alertas de OT.

Próximos passos