Investigar e responder a um alerta de rede OT

Este artigo descreve como investigar e responder a um alerta de rede OT no Microsoft Defender para IoT.

Você pode ser um engenheiro de centro de operações de segurança (SOC) usando o Microsoft Sentinel, que viu um novo incidente em seu espaço de trabalho do Microsoft Sentinel e continua no Defender for IoT para obter mais detalhes sobre dispositivos relacionados e etapas de correção recomendadas.

Como alternativa, você pode ser um engenheiro de OT atento a alertas operacionais diretamente no Defender for IoT. Os alertas operacionais podem não ser maliciosos, mas podem indicar atividades operacionais que podem ajudar nas investigações de segurança.

Pré-requisitos

Antes de começar, certifique-se de que tem:

• Uma subscrição do Azure. Se precisar, inscreva-se para obter uma conta gratuita.

• Um sensor de rede OT conectado à nuvem integrado ao Defender for IoT, com alertas transmitidos para o portal do Azure.

• Para investigar um alerta de um incidente do Microsoft Sentinel, certifique-se de que concluiu os seguintes tutoriais:

  • Tutorial: Conectar o Microsoft Defender para IoT com o Microsoft Sentinel
  • Tutorial: Investigar e detetar ameaças para dispositivos IoT

• Uma página de detalhes do alerta é aberta, acessada na página Alertas do Defender for IoT no portal do Azure, na página de detalhes do dispositivo Defender for IoT ou em um incidente do Microsoft Sentinel.

Investigar um alerta do portal do Azure

Em uma página de detalhes do alerta no portal do Azure, comece alterando o status do alerta para Ativo, indicando que ele está atualmente sob investigação.

Por exemplo:

Importante

Se estiver a integrar com o Microsoft Sentinel, certifique-se de que gere o estado do alerta apenas a partir do incidente no Microsoft Sentinel. Os status dos alertas não são sincronizados do Defender for IoT para o Microsoft Sentinel.

Depois de atualizar o status, verifique na página de detalhes do alerta os seguintes detalhes para ajudar na sua investigação:

• Detalhes do dispositivo de origem e destino. Os dispositivos de origem e destino estão listados na guia Detalhes do alerta e também na área Entidades abaixo, como entidades do Microsoft Sentinel, com suas próprias páginas de entidade. Na área Entidades, você usará os links na coluna Nome para abrir as páginas de detalhes relevantes do dispositivo para investigação adicional.

• Local e/ou zona. Esses valores ajudam a entender a localização geográfica e de rede do alerta e se há áreas da rede que agora estão mais vulneráveis a ataques.

• Táticas e técnicas MITRE ATT&CK . Desloque-se para baixo no painel esquerdo para ver todos os detalhes do MITRE ATT&CK. Além das descrições das táticas e técnicas, selecione os links para o site da MITRE ATT&CK para saber mais sobre cada uma delas.

• Baixar PCAP. Na parte superior da página, selecione Baixar PCAP para baixar os arquivos de tráfego brutos para o alerta selecionado.

Investigar alertas relacionados no portal do Azure

Procure outros alertas acionados pelo mesmo dispositivo de origem ou destino. Correlações entre vários alertas podem indicar que o dispositivo está em risco e pode ser explorado.

Por exemplo, um dispositivo que tentou se conectar a um IP mal-intencionado, juntamente com outro alerta sobre alterações não autorizadas na programação do PLC no dispositivo, pode indicar que um invasor já ganhou o controle do dispositivo.

Para encontrar alertas relacionados no Defender for IoT:

1. Na página Alertas, selecione um alerta para ver os detalhes à direita.

2. Localize os links do dispositivo na área Entidades , no painel de detalhes à direita ou na página de detalhes do alerta. Selecione um link de entidade para abrir a página de detalhes do dispositivo relacionado, tanto para um dispositivo de origem quanto para um dispositivo de destino.

3. Na página de detalhes do dispositivo, selecione a guia Alertas para exibir todos os alertas desse dispositivo. Por exemplo:

   

Investigue os detalhes do alerta no sensor OT

O sensor OT que disparou o alerta terá mais detalhes para ajudar na sua investigação.

Para continuar a sua investigação sobre o sensor OT:

1. Inicie sessão no seu sensor OT como utilizador do Viewer ou do Security Analyst.

2. Selecione a página Alertas e localize o alerta que está a investigar. Selecione **Ver mais detalhes para abrir a página de detalhes do alerta do sensor OT. Por exemplo:

   

Na página de detalhes do alerta do sensor:

• Selecione a guia Visualização do mapa para visualizar o alerta dentro do mapa do dispositivo do sensor OT, incluindo todos os dispositivos conectados.

• Selecione a guia Linha do tempo do evento para visualizar a linha do tempo completa do evento do alerta, incluindo outras atividades relacionadas também detetadas pelo sensor OT.

• Selecione Exportar PDF para baixar um resumo em PDF dos detalhes do alerta.

Tomar medidas de reparação

O tempo para quando você toma ações de correção pode depender da gravidade do alerta. Por exemplo, para alertas de alta gravidade, você pode querer tomar medidas antes mesmo de investigar, como se precisar colocar imediatamente em quarentena uma área da rede.

Para alertas de menor gravidade ou para alertas operacionais, convém investigar completamente antes de tomar medidas.

Para corrigir um alerta, use os seguintes recursos do Defender for IoT:

• Em uma página de detalhes do alerta no portal do Azure ou no sensor OT, selecione a guia Agir para exibir detalhes sobre as etapas recomendadas para reduzir o risco.

• Em uma página de detalhes do dispositivo no portal do Azure, para os dispositivos de origem e destino:

  • Selecione a guia Vulnerabilidades e verifique se há vulnerabilidades detetadas em cada dispositivo.

  • Selecione a guia Recomendações e verifique as recomendações de segurança atuais para cada dispositivo.

Os dados de vulnerabilidade e as recomendações de segurança do Defender for IoT podem fornecer ações simples que você pode tomar para mitigar os riscos, como atualizar o firmware ou aplicar um patch. Outras ações podem exigir mais planejamento.

Quando terminar as atividades de mitigação e estiver pronto para fechar o alerta, atualize o status do alerta para Fechado ou notifique sua equipe de SOC para gerenciamento adicional de incidentes.

Nota

Se você integrar o Defender for IoT ao Microsoft Sentinel, as alterações de status de alerta feitas no Defender for IoT não serão atualizadas no Microsoft Sentinel. Certifique-se de gerenciar seus alertas no Microsoft Sentinel juntamente com o incidente relacionado.

Alertas de triagem regularmente

Alertas de triagem regularmente para evitar fadiga de alerta em sua rede e garantir que você seja capaz de ver e lidar com alertas importantes em tempo hábil.

Para alertas de triagem:

1. No Defender for IoT no portal do Azure, vá para a página Alertas . Por padrão, os alertas são classificados pela coluna Última deteção, do alerta mais recente para o mais antigo, para que você possa ver primeiro os alertas mais recentes na rede.

2. Use outros filtros, como Sensor ou Severidade para localizar alertas específicos.

3. Verifique os detalhes do alerta e investigue conforme necessário antes de tomar qualquer ação de alerta. Quando estiver pronto, aja em uma página de detalhes de alerta para um alerta específico ou na página Alertas para ações em massa.

   Por exemplo, atualize o status ou a gravidade do alerta ou aprenda um alerta para autorizar o tráfego detetado. Os alertas aprendidos não são acionados novamente se o mesmo tráfego exato for detetado novamente.

   

Para alertas de alta gravidade, convém agir imediatamente.

Próximos passos

Melhore a postura de segurança com recomendações de segurança