Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Este artículo es uno de una serie de artículos en los que se describe la ruta de implementación para la supervisión de OT con Microsoft Defender para IoT y se describe cómo crear una línea base de tráfico aprendido en el sensor OT.
Introducción al proceso de supervisión de varias fases
Un sensor de red OT comienza a supervisar la red automáticamente después de conectarse a la red e iniciar sesión. Los dispositivos de red comienzan a aparecer en el inventario de dispositivos y se desencadenan alertas para cualquier incidente operativo o de seguridad que se produzca en la red.
Defender para IoT emplea un proceso de supervisión en tres fases que aprende el comportamiento normal del tráfico de la red. Estas tres fases garantizan una detección precisa a la vez que reducen las alertas innecesarias:
Resumen de las fases de supervisión
| Modo | Objetivo | Desencadenar alertas | Acciones de usuario necesarias |
|---|---|---|---|
| Aprendizaje | Crea una línea base de tráfico de red normal | Alertas de malware, alertas de anomalías, alertas operativas, alertas de infracción de protocolo | Desactivar manualmente después de 2 a 6 semanas o cuando la línea base refleje una actividad de red precisa |
| Dinámico | Refina la línea base al tiempo que introduce gradualmente alertas de infracciones de directivas para garantizar la precisión y reducir el ruido de las alertas | Se introducen alertas de infracción de directiva | Opcional: ajuste la configuración de escenarios específicos (por ejemplo, durante los POC) |
| Operativo | Supervisa todo el tráfico de red con una línea base estable, desencadenando todas las alertas para reflejar las desviaciones o la actividad sospechosa. | Todos los tipos de alertas | Ninguno. Transiciones automáticas cuando se estabiliza la línea base |
Modo de aprendizaje
Inicialmente, el sensor se ejecuta en modo de aprendizaje para supervisar todo el tráfico de red y crear una línea base de todos los patrones de tráfico normales. Esta línea base incluye todos los dispositivos y protocolos de la red, y las transferencias de archivos normales que se producen entre dispositivos. Este proceso normalmente tarda entre 2 y 6 semanas, dependiendo del tamaño y la complejidad de la red. Además, los dispositivos detectados más adelante entran en modo de aprendizaje durante 7 días para establecer su línea base de tráfico de red.
En el modo de aprendizaje, el sensor supervisa y protege el entorno mediante la activación de alertas de seguridad pertinentes, como malware, anomalías y alertas operativas. Sin embargo, las alertas de infracción de directivas, que indican desviaciones de la línea base, no se desencadenan mientras el sistema está en modo de aprendizaje.
Modo dinámico
Una vez que el proceso de detección y el tráfico de red son estables, debe desactivar manualmente el modo de aprendizaje. En este momento, el sensor pasa al modo dinámico. En modo dinámico, el sensor sigue supervisando la red, validando y refinando la línea base. El sensor evalúa cada categoría de alerta y escenario de forma individual, cambiando dinámicamente al modo operativo cuando se confirma que sus líneas base son precisas. Como alternativa, si el sensor detecta cambios significativos en el tráfico, podría ampliar automáticamente el modo de aprendizaje para alertas o escenarios específicos.
En el modo dinámico, las alertas de infracción de directivas se introducen gradualmente y comienzan a aparecer en el inventario de alertas.
Modo operativo
Una vez que el sensor identifica que la línea base es estable y completa, pasa automáticamente al modo operativo, supervisando todo el tráfico de red y desencadenando todos los tipos de alerta.
La acción Learn es relevante después de desactivar el modo de aprendizaje, cuando el escenario pasa al modo operativo y desea marcar operaciones específicas como actividad autorizada o esperada. Una vez aprendido, una actividad similar no generará nuevas alertas en el futuro.
Desactive el modo de aprendizaje manualmente cuando el nivel de alertas refleje con precisión la actividad de la red.
Para obtener más información, consulte Microsoft Defender para alertas de IoT.
Requisitos previos
Puede realizar los procedimientos de este artículo desde el Azure Portal o un sensor OT.
Antes de empezar, asegúrese de que tiene:
Un sensor OT instalado, configurado y activado, con alertas desencadenadas por el tráfico detectado.
Acceso al sensor OT como analista de seguridad o Administración usuario. Para obtener más información, consulte Usuarios y roles locales para la supervisión de OT con Defender para IoT.
Evaluación de las alertas
Valore las alertas hacia el final de la implementación para crear una línea base inicial para la actividad de red.
Inicie sesión en el sensor OT y seleccione la página Alertas .
Use las opciones de ordenación y agrupación para ver primero las alertas más críticas. Revise cada alerta para actualizar los estados y obtenga información sobre las alertas de tráfico autorizado de OT.
Para obtener más información, consulte Visualización y administración de alertas en el sensor OT.
Pasos siguientes
Después de desactivar el modo de aprendizaje y pasar del modo de aprendizaje al modo de operación , continúe con cualquiera de las siguientes opciones:
- Visualización de Microsoft Defender para datos de IoT con libros de Azure Monitor
- Visualización y administración de alertas desde el Azure Portal
- Administrar el inventario de dispositivos desde el Azure Portal
Integre datos de Defender para IoT con Microsoft Sentinel para unificar la supervisión de seguridad del equipo soc. Para más información, vea: