Supervise la red y la actividad del sensor con la escala de tiempo de eventos
La actividad detectada por los sensores de Microsoft Defender para IoT se registra en la escala de tiempo del evento. La actividad incluye alertas y acciones de gestión de alertas, eventos de red y operaciones de usuario, como el inicio de sesión de usuarios o la eliminación de usuarios.
La escala de tiempo del evento del sensor OT proporciona una vista cronológica y un contexto de toda la actividad de red para ayudar a determinar la causa y el efecto de los incidentes. La vista escala de tiempo facilita la extracción de información de eventos de red y, de forma más eficaz, analiza alertas y eventos observados en la red. Con la capacidad de almacenar grandes cantidades de datos, la vista de escala de tiempo del evento puede ser un recurso valioso para que los equipos de seguridad realicen investigaciones y obtengan una comprensión más profunda de la actividad de red.
Use la escala de tiempo de evento durante las investigaciones para comprender y analizar la cadena de eventos que precedieron y siguieron a un ataque o incidente. La vista centralizada de varios eventos relacionados con la seguridad en la misma escala de tiempo ayuda a identificar patrones y correlaciones, y permite a los equipos de seguridad evaluar rápidamente el impacto de los incidentes y responder en consecuencia.
Para más información, consulte:
- Visualización de eventos en la escala de tiempo
- Auditoría de la actividad de los usuarios
- Ver y administrar alertas.
- Análisis de los detalles y los cambios de programación
Permisos
Antes de realizar los procedimientos descritos en este artículo, asegúrese de tener acceso a un sensor de OT como un rol de Administrador o Analista de seguridad. Para obtener más información, consulte Usuarios y roles locales para la supervisión de OT con Defender para IoT.
Visualización de la escala de tiempo de eventos
Inicie sesión en la consola del sensor y seleccione Escala de tiempo de eventos en el menú de la izquierda.
Revise y filtre los eventos según sea necesario.
Seleccione una fila de eventos para ver los detalles del evento en un panel de la derecha, donde también puede filtrar para ver los eventos de los dispositivos relacionados. El filtro Operaciones de usuario está activado de forma predeterminada, puede seleccionar ocultar o mostrar eventos de usuario según sea necesario.
Por ejemplo:
También puede ver la escala de tiempo del evento de un dispositivo específico desde el inventario de dispositivos.
Para ver la escala de tiempo del evento de un dispositivo específico:
En la consola del sensor, vaya a Inventario de dispositivos.
Seleccione el dispositivo específico para abrir el panel de detalles del dispositivo y, a continuación, seleccione Ver detalles completos para abrir la página de propiedades del dispositivo.
Seleccione la pestaña Escala de tiempo del evento para ver todos los eventos asociados a este dispositivo y filtre los eventos según sea necesario.
Por ejemplo:
Filtro de eventos en la escala de tiempo
En la página escala de tiempo del evento, seleccione Agregar filtro para especificar los eventos que se muestran.
Seleccione el filtro Tipo. Use cualquiera de las siguientes opciones para filtrar los dispositivos que se muestran:
Tipo Descripción Operaciones de usuario Este filtro está activado de forma predeterminada y elige mostrar u ocultar eventos de operación de usuario. Fecha Busque eventos en un intervalo de fechas específico. Grupo de dispositivos Filtre dispositivos específicos por grupo tal y como se define en el mapa del dispositivo. Gravedad del evento Muestra Solo alertas, Alertas y avisos o Todos los eventos. Excluir dispositivos Busque y filtre los dispositivos que quiera excluir. Incluir dispositivos Busque y filtre los dispositivos que quiera incluir. Excluir tipos de eventos Busque y filtre los tipos de eventos específicos que se excluirán. Incluir tipos de eventos Busque y filtre los tipos de eventos específicos que se incluirán. Palabras clave Filtra los eventos mediante una palabra clave específica. Seleccione Aplicar para establecer el filtro.
Exporte la escala de tiempo de los eventos a CSV
Puede exportar la escala de tiempo del evento a un archivo CSV, los datos exportados se aplican según los filtros aplicados al exportar.
Para exportar la escala de tiempo del evento:
En la página Escala de tiempo del evento, seleccione Exportar en el menú superior para exportar la escala de tiempo del evento a un archivo CSV.
Creación de un evento
Además de ver los eventos detectados por el sensor, puede agregar manualmente los eventos a la escala de tiempo. Este proceso es útil si un evento del sistema externo afecta a la red y desea registrarlo en la escala de tiempo.
En la página Escala de tiempo del evento, seleccione Crear evento.
En el cuadro de diálogo Crear evento, agregue los siguientes detalles del evento:
Tipo. Especifique el tipo de evento (Información, Aviso o Alerta).
Timestamp. Configure la fecha y la hora del evento.
Dispositivo. Seleccione el dispositivo con el que se debe conectar el evento.
Descripción. Proporcione una descripción del evento.
Seleccione Guardar para agregar el evento a la escala de tiempo.
Por ejemplo:
Capacidad de escala de tiempo de eventos
La cantidad de datos que se pueden almacenar en la escala de tiempo del evento depende de varios factores, como el tamaño de la red, la frecuencia de eventos y la capacidad de almacenamiento del sensor. Los datos almacenados en la escala de tiempo del evento pueden incluir información sobre el tráfico de red, los eventos de seguridad y otros puntos de datos pertinentes.
El número máximo de eventos que se muestran en la escala de tiempo del evento depende del perfil de hardware seleccionado durante la instalación del sensor. Cada perfil de hardware tiene una capacidad máxima de eventos. Para obtener más información sobre la capacidad máxima de eventos para cada perfil de hardware, consulte Retención de escala de tiempo de eventos de OT.
Pasos siguientes
Para más información, consulte: