Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Questo articolo è uno di una serie di articoli che descrivono il percorso di distribuzione per il monitoraggio OT con Microsoft Defender per IoT e descrive come creare una linea di base del traffico appreso nel sensore OT.
Panoramica del processo di monitoraggio a più fasi
Un sensore di rete OT avvia automaticamente il monitoraggio della rete dopo la connessione alla rete e l'accesso. I dispositivi di rete iniziano a essere visualizzati nell'inventario dei dispositivi e vengono attivati avvisi per eventuali eventi imprevisti operativi o di sicurezza che si verificano nella rete.
Defender per IoT usa un processo di monitoraggio in tre fasi che apprende il normale comportamento del traffico della rete. Queste tre fasi garantiscono un rilevamento accurato riducendo al contempo gli avvisi non necessari:
Riepilogo delle fasi di monitoraggio
| Modalità | Finalità | Attivare gli avvisi | Azioni utente necessarie |
|---|---|---|---|
| Apprendimento | Crea una linea di base del normale traffico di rete | Avvisi di malware, avvisi di anomalie, avvisi operativi, avvisi di violazione del protocollo | Disattiva manualmente dopo 2-6 settimane o quando la linea di base riflette un'attività di rete accurata |
| Dinamico | Affina la linea di base introducendo gradualmente gli avvisi di violazioni dei criteri per garantire l'accuratezza e ridurre il rumore degli avvisi | Sono stati introdotti gli avvisi di violazione dei criteri | Facoltativo: modificare le impostazioni per scenari specifici (ad esempio durante i PC) |
| Operativo | Monitora tutto il traffico di rete con una linea di base stabile, attivando tutti gli avvisi per riflettere deviazioni o attività sospette | Tutti i tipi di avvisi | Nessuna. Esegue automaticamente la transizione quando la linea di base si stabilizza |
Modalità di apprendimento
Inizialmente, il sensore viene eseguito in modalità di apprendimento per monitorare tutto il traffico di rete e creare una linea di base di tutti i normali modelli di traffico. Questa baseline include tutti i dispositivi e i protocolli nella rete e i normali trasferimenti di file che si verificano tra i dispositivi. Questo processo richiede in genere da 2 a 6 settimane, a seconda delle dimensioni e della complessità della rete. Inoltre, tutti i dispositivi individuati in un secondo momento entrano in modalità di apprendimento per 7 giorni per stabilire la baseline del traffico di rete.
In modalità di apprendimento, il sensore monitora e protegge l'ambiente attivando avvisi di sicurezza pertinenti, ad esempio malware, anomalie e avvisi operativi. Tuttavia, gli avvisi di violazione dei criteri, che indicano deviazioni dalla linea di base, non vengono attivati mentre il sistema è in modalità di apprendimento.
Modalità dinamica
Una volta che il processo di individuazione e il traffico di rete sono stabili, è necessario disattivare manualmente la modalità di apprendimento. A questo punto, il sensore passa alla modalità dinamica. In modalità dinamica il sensore continua a monitorare la rete, convalidando e affinando la linea di base. Il sensore valuta singolarmente ogni categoria e scenario di avviso, modificandoli dinamicamente in modalità operativa quando le baseline vengono confermate accurate. In alternativa, se il sensore rileva modifiche significative nel traffico, potrebbe estendere automaticamente la modalità di apprendimento per avvisi o scenari specifici.
In modalità dinamica, gli avvisi di violazione dei criteri vengono introdotti gradualmente e iniziano a essere visualizzati nell'inventario degli avvisi.
Modalità operativa
Una volta che il sensore identifica che la linea di base è stabile e completa, passa automaticamente alla modalità operativa, monitorando tutto il traffico di rete e attivando tutti i tipi di avviso.
L'azione Learn diventa rilevante dopo la disattivazione della modalità di apprendimento, quando lo scenario passa alla modalità operativa e si desidera contrassegnare operazioni specifiche come attività autorizzate o previste. Una volta apprese, attività simili non genereranno nuovi avvisi in futuro.
Disattivare manualmente la modalità di apprendimento quando il livello di avvisi riflette in modo accurato l'attività di rete.
Per altre informazioni, vedere Microsoft Defender per gli avvisi IoT.
Prerequisiti
È possibile eseguire le procedure descritte in questo articolo dal portale di Azure o da un sensore OT.
Prima di iniziare, assicurarsi di avere:
Un sensore OT installato, configurato e attivato, con avvisi attivati dal traffico rilevato.
Accesso al sensore OT come analista della sicurezza o utente Amministrazione. Per altre informazioni, vedere Utenti e ruoli locali per il monitoraggio OT con Defender per IoT.
Avvisi di valutazione
Valutare gli avvisi verso la fine della distribuzione per creare una baseline iniziale per l'attività di rete.
Accedere al sensore OT e selezionare la pagina Avvisi .
Usare le opzioni di ordinamento e raggruppamento per visualizzare prima gli avvisi più critici. Esaminare ogni avviso per aggiornare gli stati e apprendere gli avvisi per il traffico autorizzato OT.
Per altre informazioni, vedere Visualizzare e gestire gli avvisi nel sensore OT.
Passaggi successivi
Dopo che la modalità di apprendimento è stata disattivata e si passa dalla modalità di apprendimento alla modalità operativa , continuare con una delle operazioni seguenti:
- Visualizzare Microsoft Defender per i dati IoT con le cartelle di lavoro di Monitoraggio Azure
- Visualizzare e gestire gli avvisi dal portale di Azure
- Gestire l'inventario dei dispositivi dal portale di Azure
Integrare i dati di Defender per IoT con Microsoft Sentinel per unificare il monitoraggio della sicurezza del team SOC. Per altre informazioni, vedere: