Criar uma linha de base aprendida de alertas de OT

Este artigo é um de uma série de artigos que descrevem o caminho de implementação da monitorização de OT com Microsoft Defender para IoT e descreve como criar uma linha de base de tráfego aprendido no sensor de OT.

Compreender o modo de aprendizagem

Um sensor de rede OT começa a monitorizar a sua rede automaticamente depois de estar ligado à rede e de ter iniciado sessão. Os dispositivos de rede começam a aparecer no inventário do dispositivo e os alertas são acionados para quaisquer incidentes de segurança ou operacionais que ocorram na sua rede.

Inicialmente, esta atividade ocorre no modo de aprendizagem , o que instrui o sensor de OT a aprender a atividade habitual da sua rede, incluindo os dispositivos e protocolos na sua rede, e as transferências regulares de ficheiros que ocorrem entre dispositivos específicos. Qualquer atividade detetada regularmente torna-se o tráfego de linha de base da sua rede.

Dica

Utilize o seu tempo no modo de aprendizagem para fazer a triagem dos alertas e Saiba quem pretende marcar como atividade autorizada e esperada. O tráfego aprendido não gera novos alertas da próxima vez que for detetado o mesmo tráfego.

Depois de o modo de aprendizagem estar desativado, qualquer atividade que seja diferente dos seus dados de linha de base irá acionar um alerta.

Para obter mais informações, veja Microsoft Defender para alertas IoT.

Linha cronológica do modo de aprendizagem

A criação da sua linha de base de alertas de OT pode demorar entre alguns dias e várias semanas, dependendo do tamanho e complexidade da rede. O modo de aprendizagem desliga-se automaticamente quando o sensor deteta uma diminuição do tráfego recentemente detetado, que normalmente ocorre entre 2 a 6 semanas após a implementação.

Desative o modo de aprendizagem manualmente antes disso , se sentir que os alertas atuais refletem com precisão a sua atividade de rede.

Pré-requisitos

Pode executar os procedimentos neste artigo a partir do portal do Azure, de um sensor de OT ou de uma consola de gestão no local.

Antes de começar, certifique-se de que tem:

• Um sensor OT instalado, configurado e ativado, com alertas a serem acionados pelo tráfego detetado.

• Acesso ao sensor OT como Analista de Segurança ou Administração utilizador. Para obter mais informações, veja Utilizadores e funções no local para monitorização de OT com o Defender para IoT.

Alertas de triagem

Faça a triagem de alertas no final da implementação para criar uma linha de base inicial para a sua atividade de rede.

1. Inicie sessão no sensor de OT e selecione a página Alertas .

2. Utilize as opções de ordenação e agrupamento para ver primeiro os alertas mais críticos. Reveja cada alerta para atualizar os estados e saiba mais sobre o tráfego autorizado do OT.

Para obter mais informações, consulte Ver e gerir alertas no sensor de OT.

Passos seguintes

« Verificar e atualizar o inventário de dispositivos detetado

Depois de desativar o modo de aprendizagem, passou do modo de aprendizagem para o modo de operação . Continue com qualquer um dos seguintes procedimentos:

• Visualizar Microsoft Defender para dados IoT com livros do Azure Monitor
• Ver e gerir alertas a partir do portal do Azure
• Gerir o inventário de dispositivos a partir do portal do Azure

Integre os dados do Defender para IoT com o Microsoft Sentinel para unificar a monitorização de segurança da sua equipa do SOC. Para obter mais informações, consulte:

• Tutorial: Ligar Microsoft Defender para IoT com o Microsoft Sentinel
• Tutorial: Investigar e detetar ameaças para dispositivos IoT