Alertas do Microsoft Defender para IoT
Os alertas do Microsoft Defender para IoT melhoram a segurança e as operações da rede com detalhes em tempo real sobre eventos registrados na rede. Os alertas são acionados quando os sensores de rede OT detetam alterações ou atividades suspeitas no tráfego de rede que precisam de sua atenção.
Por exemplo:
Use os detalhes mostrados na página Alertas ou em uma página de detalhes do alerta para investigar e tomar medidas que corrijam qualquer risco para sua rede, seja de dispositivos relacionados ou do processo de rede que disparou o alerta.
Gorjeta
Use as etapas de correção de alertas para ajudar suas equipes de SOC a entender possíveis problemas e resoluções. Recomendamos que você revise as etapas de correção recomendadas antes de atualizar um status de alerta ou tomar medidas no dispositivo ou na rede.
Opções de gerenciamento de alertas
Os alertas do Defender for IoT estão disponíveis no portal do Azure, nos consoles do sensor de rede OT e no console de gerenciamento local. Com a segurança Enterprise IoT, os alertas também estão disponíveis para dispositivos Enterprise IoT detetados pelo Defender for Endpoint, no Microsoft 365 Defender.
Embora você possa exibir detalhes do alerta, investigar o contexto do alerta e triar e gerenciar status de alertas de qualquer um desses locais, cada local também oferece ações de alerta extras. A tabela a seguir descreve os alertas suportados para cada local e as ações extras disponíveis somente nesse local:
| Localização | Description | Ações de alerta adicionais |
|---|---|---|
| Portal do Azure | Alertas de todos os sensores OT conectados à nuvem | - Ver táticas e técnicas relacionadas MITRE ATT&CK - Use pastas de trabalho prontas para uso para visibilidade de alertas de alta prioridade - Visualize alertas do Microsoft Sentinel e execute investigações mais profundas com playbooks e pastas de trabalho do Microsoft Sentinel. |
| Consolas de sensores de rede OT | Alertas gerados por esse sensor OT | - Veja a origem e o destino do alerta no mapa do dispositivo - Ver eventos relacionados na cronologia do Evento - Encaminhar alertas diretamente para fornecedores parceiros - Criar comentários de alerta - Criar regras de alerta personalizadas - Desaprender alertas |
| Um console de gerenciamento local | Alertas gerados por sensores OT conectados | - Encaminhar alertas diretamente para fornecedores parceiros - Criar regras de exclusão de alertas |
| Microsoft 365 Defender | Alertas gerados para dispositivos Enterprise IoT detetados pelo Microsoft Defender for Endpoint | - Gerencie dados de alertas juntamente com outros dados do Microsoft 365 Defender, incluindo caça avançada |
Gorjeta
Todos os alertas gerados por diferentes sensores na mesma zona dentro de um período de tempo de 10 minutos, com o mesmo tipo, status, protocolo de alerta e dispositivos associados, são listados como um único alerta unificado.
- O período de tempo de 10 minutos é baseado no primeiro tempo de deteção do alerta.
- O alerta único e unificado lista todos os sensores que detetaram o alerta.
- Os alertas são combinados com base no protocolo de alerta e não no protocolo do dispositivo.
Para obter mais informações, consulte:
- Retenção de dados de alerta
- Acelerando fluxos de trabalho de alertas de OT
- Status de alerta e opções de triagem
- Planejar sites e zonas de OT
As opções de alerta também diferem dependendo da sua localização e função de usuário. Para obter mais informações, consulte Funções e permissões de usuário do Azure e Usuários e funções locais.
Alertas focados em ambientes OT/IT
As organizações onde os sensores são implantados entre OT e redes de TI lidam com muitos alertas, relacionados ao tráfego de OT e TI. A quantidade de alertas, alguns dos quais são irrelevantes, pode causar fadiga de alerta e afetar o desempenho geral. Para enfrentar esses desafios, a política de deteção do Defender for IoT orienta seus diferentes mecanismos de alerta a se concentrarem em alertas com impacto nos negócios e relevância para uma rede OT e reduzir alertas relacionados a TI de baixo valor. Por exemplo, o alerta de conectividade à Internet não autorizada é altamente relevante em uma rede OT, mas tem valor relativamente baixo em uma rede de TI.
Para focar os alertas acionados nesses ambientes, todos os mecanismos de alerta, exceto o mecanismo de Malware , disparam alertas somente se detetarem uma sub-rede ou protocolo OT relacionado. No entanto, para manter o acionamento de alertas que indicam cenários críticos:
- O mecanismo de malware aciona alertas de malware, independentemente de os alertas estarem relacionados a OT ou dispositivos de TI.
- Os outros mecanismos incluem exceções para cenários críticos. Por exemplo, o mecanismo operacional dispara alertas relacionados ao tráfego do sensor, independentemente de o alerta estar relacionado ao tráfego de OT ou TI.
Gerenciando alertas de OT em um ambiente híbrido
Os usuários que trabalham em ambientes híbridos podem estar gerenciando alertas OT no Defender for IoT no portal do Azure, no sensor OT e em um console de gerenciamento local.
Nota
Enquanto o console do sensor exibe o campo Última deteção de um alerta em tempo real, o Defender for IoT no portal do Azure pode levar até uma hora para exibir a hora atualizada. Isso explica um cenário em que a última hora de deteção no console do sensor não é a mesma que a última hora de deteção no portal do Azure.
Caso contrário, os status de alerta são totalmente sincronizados entre o portal do Azure e o sensor OT e entre o sensor e o console de gerenciamento local. Isso significa que, independentemente de onde você gerencia o alerta no Defender for IoT, o alerta também é atualizado em outros locais.
Definir um status de alerta como Fechado ou Mudo em um sensor ou console de gerenciamento local atualiza o status do alerta para Fechado no portal do Azure. No console de gerenciamento local, o status de alerta Fechado é chamado de Confirmado.
Gorjeta
Se estiver a trabalhar com o Microsoft Sentinel, recomendamos que configure a integração para sincronizar também o estado de alerta com o Microsoft Sentinel e, em seguida, gerir os estados de alerta juntamente com os incidentes relacionados do Microsoft Sentinel.
Para obter mais informações, consulte Tutorial: Investigar e detetar ameaças para dispositivos IoT.
Alertas de IoT empresarial e Microsoft Defender for Endpoint
Se você estiver usando a segurança Enterprise IoT no Microsoft 365 Defender, os alertas para dispositivos Enterprise IoT detetados pelo Microsoft Defender for Endpoint estarão disponíveis somente no Microsoft 365 Defender. Muitas deteções baseadas em rede do Microsoft Defender for Endpoint são pertinentes para dispositivos Enterprise IoT, como alertas acionados por verificações envolvendo pontos de extremidade gerenciados.
Para obter mais informações, consulte Protegendo dispositivos IoT na empresa e a fila de alertas no Microsoft 365 Defender.
Acelerando fluxos de trabalho de alertas de OT
Novos alertas são fechados automaticamente se nenhum tráfego idêntico for detetado 90 dias após a deteção inicial. Se um tráfego idêntico for detetado nesses primeiros 90 dias, a contagem de 90 dias será redefinida.
Além do comportamento padrão, você pode querer ajudar suas equipes de gerenciamento de SOC e OT a triar e corrigir alertas mais rapidamente. Entre em um sensor OT ou em um console de gerenciamento local como um usuário Admin para usar as seguintes opções:
Crie regras de alerta personalizadas. Apenas sensores OT.
Adicione regras de alerta personalizadas para disparar alertas para atividades específicas na sua rede que não são cobertas pela funcionalidade pronta para uso.
Por exemplo, para um ambiente que executa o MODBUS, você pode adicionar uma regra para detetar quaisquer comandos escritos em um registro de memória em um endereço IP específico e destino ethernet.
Para obter mais informações, consulte Criar regras de alerta personalizadas em um sensor OT.
Crie comentários de alerta. Apenas sensores OT.
Crie um conjunto de comentários de alerta que outros usuários do sensor OT podem adicionar a alertas individuais, com detalhes como etapas de mitigação personalizadas, comunicações com outros membros da equipe ou outras informações ou avisos sobre o evento.
Os membros da equipe podem reutilizar esses comentários personalizados enquanto fazem a triagem e gerenciam os status dos alertas. Os comentários de alerta são mostrados em uma área de comentários em uma página de detalhes de alerta. Por exemplo:
Para obter mais informações, consulte Criar comentários de alerta em um sensor OT.
Criar regras de exclusão de alerta: somente consoles de gerenciamento locais.
Se você estiver trabalhando com um console de gerenciamento local, defina regras de exclusão de alerta para ignorar eventos em vários sensores que atendam a critérios específicos. Por exemplo, você pode criar uma regra de exclusão de alerta para ignorar todos os eventos que disparariam alertas irrelevantes durante uma janela de manutenção específica.
Os alertas ignorados pelas regras de exclusão não são mostrados no portal do Azure, no sensor ou no console de gerenciamento local, nem nos logs de eventos.
Para obter mais informações, consulte Criar regras de exclusão de alerta em um console de gerenciamento local.
Encaminhe dados de alerta para sistemas parceiros para SIEMs parceiros, servidores syslog, endereços de e-mail especificados e muito mais.
Suportado por sensores OT e consoles de gerenciamento locais. Para obter mais informações, consulte Encaminhar informações de alerta.
Status de alerta e opções de triagem
Use os seguintes status de alerta e opções de triagem para gerenciar alertas no Defender for IoT.
Ao triar um alerta, considere que alguns alertas podem refletir alterações de rede válidas, como um dispositivo autorizado tentando acessar um novo recurso em outro dispositivo.
Embora as opções de triagem do sensor de OT e do console de gerenciamento local estejam disponíveis apenas para alertas de OT, as opções disponíveis no portal do Azure estão disponíveis para alertas de OT e Enterprise IoT.
Use a tabela a seguir para saber mais sobre cada status de alerta e opção de triagem.
| Status / ação de triagem | Disponível em | Description |
|---|---|---|
| New | - Portal do Azure - Sensores de rede OT - Console de gerenciamento local |
Novos alertas são alertas que ainda não foram triados ou investigados pela equipe. O novo tráfego detetado para os mesmos dispositivos não gera um novo alerta, mas é adicionado ao alerta existente. No console de gerenciamento local, Novos alertas são chamados de Não reconhecidos. Observação: você pode ver vários alertas Novos ou Não Reconhecidos com o mesmo nome. Nesses casos, cada alerta separado é acionado por tráfego separado, em diferentes conjuntos de dispositivos. |
| Activo | - Apenas portal do Azure | Defina um alerta como Ativo para indicar que uma investigação está em andamento, mas que o alerta ainda não pode ser fechado ou triado. Esse status não tem efeito em nenhum outro lugar do Defender for IoT. |
| Fechadas | - Portal do Azure - Sensores de rede OT - Console de gerenciamento local |
Feche um alerta para indicar que ele está totalmente investigado e você deseja ser alertado novamente na próxima vez que o mesmo tráfego for detetado. Fechar um alerta adiciona-o à linha do tempo do evento do sensor. No console de gerenciamento local, Novos alertas são chamados de Confirmados. |
| Aprender | - Portal do Azure - Sensores de rede OT - Console de gerenciamento local Desaprender um alerta está disponível apenas no sensor OT. |
Aprenda um alerta quando quiser fechá-lo e adicioná-lo como tráfego permitido, para que você não seja alertado novamente na próxima vez que o mesmo tráfego for detetado. Por exemplo, quando o sensor deteta alterações na versão do firmware seguindo os procedimentos de manutenção padrão ou quando um novo dispositivo esperado é adicionado à rede. Aprender um alerta fecha o alerta e adiciona um item à linha do tempo do evento do sensor. O tráfego detetado é incluído nos relatórios de mineração de dados, mas não ao calcular outros relatórios de sensores OT. Os alertas de aprendizagem estão disponíveis apenas para alertas selecionados, principalmente aqueles acionados por alertas do mecanismo de Política e Anomalia . |
| Mudo | - Sensores de rede OT - Console de gerenciamento local O cancelamento do mudo de um alerta está disponível apenas no sensor OT. |
Silencie um alerta quando quiser fechá-lo e não ver novamente para o mesmo tráfego, mas sem adicionar o alerta de tráfego permitido. Por exemplo, quando o mecanismo Operacional dispara um alerta indicando que o Modo PLC foi alterado em um dispositivo. O novo modo pode indicar que o PLC não é seguro, mas após investigação, é determinado que o novo modo é aceitável. Silenciar um alerta o fecha, mas não adiciona um item à linha do tempo do evento do sensor. O tráfego detetado é incluído nos relatórios de mineração de dados, mas não ao calcular dados para outros relatórios de sensores. O silenciamento de um alerta está disponível apenas para alertas selecionados, principalmente aqueles acionados pelos mecanismos Anomalia, Violação de Protocolo ou Operacional. |
Gorjeta
Se você souber com antecedência quais eventos são irrelevantes para você, como durante uma janela de manutenção, ou se não quiser acompanhar o evento na linha do tempo do evento, crie uma regra de exclusão de alerta em um console de gerenciamento local.
Para obter mais informações, consulte Criar regras de exclusão de alerta em um console de gerenciamento local.
Alertas OT de triagem durante o modo de aprendizagem
O modo de aprendizagem refere-se ao período inicial após a implantação de um sensor OT, quando o sensor OT aprende a atividade de linha de base da rede, incluindo os dispositivos e protocolos na rede e as transferências regulares de arquivos que ocorrem entre dispositivos específicos.
Use o modo de aprendizagem para realizar uma triagem inicial nos alertas em sua rede, aprendendo aqueles que você deseja marcar como atividade esperada autorizada. O tráfego aprendido não gera novos alertas na próxima vez que o mesmo tráfego for detetado.
Para obter mais informações, consulte Criar uma linha de base aprendida de alertas OT.
Próximos passos
Analise os tipos de alerta e as mensagens para ajudá-lo a entender e planejar ações de correção e integrações de playbook. Para obter mais informações, consulte Tipos e descrições de alertas de monitoramento de OT.