Nota
O acesso a esta página requer autorização. Pode tentar iniciar sessão ou alterar os diretórios.
O acesso a esta página requer autorização. Pode tentar alterar os diretórios.
Este artigo é um de uma série de artigos que descrevem o caminho de implementação da monitorização de OT com Microsoft Defender para IoT e descreve como criar uma linha de base de tráfego aprendido no sensor de OT.
Descrição geral do processo de monitorização em várias fases
Um sensor de rede OT começa a monitorizar a sua rede automaticamente depois de se ligar à rede e iniciar sessão. Os dispositivos de rede começam a aparecer no inventário de dispositivos e os alertas são acionados para quaisquer incidentes operacionais ou de segurança que ocorram na sua rede.
O Defender para IoT utiliza um processo de monitorização de três fases que aprende o comportamento normal de tráfego da sua rede. Estas três fases garantem a deteção precisa, ao mesmo tempo que reduzem alertas desnecessários, são:
Resumo das fases de monitorização
| Modo | Objetivo | Alertas de acionadores | Ações do utilizador necessárias |
|---|---|---|---|
| Aprendizagem | Cria uma linha de base do tráfego de rede normal | Alertas de software maligno, alertas de anomalias, alertas operacionais, alertas de violação de protocolos | Desativar manualmente após 2 a 6 semanas ou quando a linha base refletir uma atividade de rede precisa |
| Dinâmico | Refina a linha de base ao introduzir gradualmente alertas de Violações de Políticas para garantir a precisão e reduzir o ruído dos alertas | São introduzidos alertas de Violação de Política | Opcional: Ajustar as definições para cenários específicos (por exemplo, durante as POCs) |
| Operacional | Monitoriza todo o tráfego de rede com uma linha de base estável, acionando todos os alertas para refletir desvios ou atividade suspeita | Todos os tipos de alertas | Nenhum. Transições automáticas quando a linha de base estabiliza |
Modo de aprendizagem
Inicialmente, o sensor é executado no modo de aprendizagem para monitorizar todo o tráfego de rede e criar uma linha de base de todos os padrões de tráfego normais. Esta linha base inclui todos os dispositivos e protocolos na sua rede e as transferências regulares de ficheiros que ocorrem entre dispositivos. Normalmente, este processo demora entre 2 e 6 semanas, consoante o tamanho e a complexidade da rede. Além disso, todos os dispositivos detetados posteriormente entram no modo de aprendizagem durante 7 dias para estabelecer a linha de base de tráfego de rede.
No modo de aprendizagem, o sensor monitoriza e protege o seu ambiente ao acionar alertas de segurança relevantes, como software maligno, anomalias e alertas operacionais. No entanto, os alertas de Violação de Política, que indicam desvios da linha de base, não são acionados enquanto o sistema estiver no modo de aprendizagem.
Modo dinâmico
Assim que o processo de deteção e o tráfego de rede estiverem estáveis, deve desativar manualmente o modo de aprendizagem. Neste momento, o sensor transita para o modo dinâmico. No modo dinâmico, o sensor continua a monitorizar a sua rede, validando e refinando a linha de base. O sensor avalia cada categoria e cenário de alerta individualmente, alterando-os dinamicamente para o modo operacional quando as linhas de base são confirmadas como precisas. Em alternativa, se o sensor detetar alterações significativas no tráfego, poderá expandir automaticamente o modo de aprendizagem para alertas ou cenários específicos.
No modo dinâmico, os alertas de Violação de Política são introduzidos gradualmente e começam a aparecer no inventário de alertas.
Modo operacional
Assim que o sensor identificar que a linha de base está estável e a concluir, transita automaticamente para o modo operacional, monitorizando todo o tráfego de rede e acionando todos os tipos de alerta.
A ação Aprender torna-se relevante depois de o modo de aprendizagem ser desativado, quando o cenário transitar para o modo operacional e quiser marcar operações específicas como atividade autorizada ou esperada. Depois de aprendida, a atividade semelhante não irá gerar novos alertas no futuro.
Desative o modo de aprendizagem manualmente quando o nível de alertas refletir com precisão a sua atividade de rede.
Para obter mais informações, veja Microsoft Defender para alertas de IoT.
Pré-requisitos
Pode efetuar os procedimentos neste artigo a partir do portal do Azure ou de um sensor OT.
Antes de começar, certifique-se de que tem:
Um sensor OT instalado, configurado e ativado, com alertas acionados pelo tráfego detetado.
Acesso ao sensor OT como Analista de Segurança ou Administração utilizador. Para obter mais informações, veja Utilizadores e funções no local para monitorização de OT com o Defender para IoT.
Alertas de triagem
Faça a triagem de alertas no final da implementação para criar uma linha de base inicial para a atividade de rede.
Inicie sessão no sensor OT e selecione a página Alertas .
Utilize as opções de ordenação e agrupamento para ver primeiro os alertas mais críticos. Reveja cada alerta para atualizar os estados e conhecer os alertas de tráfego autorizado de OT.
Para obter mais informações, veja Ver e gerir alertas no sensor OT.
Passos seguintes
Depois de o modo de aprendizagem estar desativado, e passar do modo de aprendizagem para o modo de operação , continue com qualquer um dos seguintes procedimentos:
- Visualizar Microsoft Defender para dados IoT com livros do Azure Monitor
- Ver e gerir alertas a partir do portal do Azure
- Gerir o inventário de dispositivos a partir do portal do Azure
Integre dados do Defender para IoT com Microsoft Sentinel para unificar a monitorização de segurança da sua equipa do SOC. Para mais informações, consulte: